Contenido del Curso: Administración de la función informáticaUNIDAD IIntroducción a la auditoria informática.Conceptos de ...
1.3 Campo de la auditoria         control de las operaciones1.2.1 Auditoría interna y        informática.                 ...
seguridad y calidad, se         toda la empresa, incluyendo       “Cualquier tipo de empresaauditan los recursos que      ...
pormenorizado        de     sus   UNIDAD II Planeación de         sustanciosas), herramientascaracterísticas intrínsecas. ...
Periodo en el que se                hemos de conjugar ambos a        Una Librería de Áreas y unadesarrollan las pruebas y ...
Riesgo                         contar con un equipo              sino también el del usuario                              ...
3.2 Evaluación de        los                                   El entrevistador te dará larecursos humanos                ...
grado de confianza que se                                        olvidados a la hora deldepositará en él y le permita    a...
generada por los sistemas,       conceptos más vitales y          Clasificación general de lospor    el   software     de ...
Este apartado aborda los       . Participación de personal      arquitectura de la Base deaspectos     asociados     al   ...
Procedimientos        para       . Construcción de los            importantes. Por ejemplo, lamantener la consistencia y  ...
asimismo va aumentando el       Otros delincuentes de la        corto periodo. En caso deuso indebido de la misma.       i...
hardware, periféricos, y        panorama general del tema.equipos     asociados,    las   Luego mencionamos de            ...
Con el paso del tiempo y la     la lucha por la subsistencia     impacto mucho mayor queevolución tecnológica, la       o ...
la auditoría. Uso de            evaluarlos      hay      quecontraseñas, cifrado de las     considerar el tipo demismas, s...
implementados       para            también, si dichas cuentas      incluye          información    proteger el hardware y...
se aportan comentarios          consecuencia, para que el         referencia a lo anotado enconstructivos.                ...
numerarse y adjuntarsecomo anexos del informe(ver cuadro No. 1).7. Descripción del impactoactual o potencial de losresulta...
Upcoming SlideShare
Loading in …5
×

Ejercicio

4,643 views

Published on

  • Be the first to comment

Ejercicio

  1. 1. Contenido del Curso: Administración de la función informáticaUNIDAD IIntroducción a la auditoria informática.Conceptos de auditoría y auditoria Informática.La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si unSistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva acabo eficazmente los fines de la organización y utiliza eficientemente los recursos.Auditar consiste - Servicios de Entrega y controles subyacentes y losprincipalmente en estudiar Soporte registros de contabilidad delos mecanismos de control - Protección y Seguridad una empresa realizada porque están implantados en - Planes de continuidad y un contador público.una empresa u Recuperación de desastres Auditoria de operaciones:organización, determinando Se define como una técnicasi los mismos son 1.2 Tipos de auditoría. para evaluaradecuados y cumplen unos sistemáticamente de unadeterminados objetivos o Auditoría contable (de función o una unidad conestrategias, estableciendo estados financieros) – no es referencia a normas de lalos cambios que se interés del curso. empresa, utilizandodeberían realizar para la Auditoría interna. La lleva a personal no especializadoconsecución de los mismos. cabo un departamento en el área de estudio. dentro de la organización y Auditoría fiscal: ConsisteLos objetivos de la auditoría existe una relación laboral. en verificar el correcto yInformática son: Auditoría externa. No existe oportuno pago de los * El control de la función relación laboral y la hacen diferentes impuestos yinformática personas externas al obligaciones fiscales de los * El análisis de la negocio para que los contribuyentes desde eleficiencia de los Sistemas resultados que nos arroje punto de vista físicoInformáticos sean imparciales como (SHCP), direcciones o * La verificación del pueden ser las firmas de tesorerías de haciendacumplimiento de la contadores o estatales o tesoreríasNormativa en este ámbito administradores municipales. * La revisión de la eficaz independientes. Auditoria de resultados degestión de los recursos Auditoria administrativa. programas: Esta auditoría lainformáticos. (William. P Leonard) es un eficacia y congruencia examen completo y alcanzadas en el logro deLa auditoría informática constructivo de la los objetivos y las metassirve para mejorar ciertas estructura organizativa de la establecidas.características en la empresa, institución o Auditoria de legalidad: Esteempresa como: departamento tipo de auditoría tiene como - Eficiencia gubernamental o de finalidad revisar si la - Eficacia cualquier otra entidad y de dependencia o entidad, en - Rentabilidad sus métodos de control, el desarrollo de sus - Seguridad medios de operación y actividades. empleo que dé a sus Auditoría integral: Es unGeneralmente se puede recursos humanos y examen que proporcionadesarrollar en alguna o materiales. una evaluación objetiva ycombinación de las Auditoria gubernamental. constructiva acerca delsiguientes áreas: grado en que los recursos Auditoría Financiera: - Gobierno corporativo humanos, financieros y Consiste en una revisión - Administración del Ciclo materiales. exploratoria y critica de losde vida de los sistemas
  2. 2. 1.3 Campo de la auditoria control de las operaciones1.2.1 Auditoría interna y informática. con el objeto de asegurar laexterna. protección de todos los Algunos campos de recursos informáticos yLa Auditoría Externa aplicación de la informática mejorar los índices deexamina y evalúa son las siguientes: economía, eficiencia ycualquiera de los sistemas efectividad de los procesosde información de una Investigación científica y operativos automatizados.organización y emite una humanística: Se usan la lasopinión independiente sobre computadoras para la También se puede definirlos mismos, pero las resolución de cálculos el Control Interno comoempresas generalmente matemáticos, recuentos cualquier actividad o acciónrequieren de la evaluación numéricos, etc. realizada manual y/ode su sistema de Aplicaciones técnicas: Usa automáticamente parainformación financiero en la computadora para prevenir, corregir errores oforma independiente para facilitar diseños de irregularidades que puedanotorgarle validez ante los ingeniería y de productos afectar al funcionamientousuarios del producto de comerciales, trazado de de un sistema paraeste, por lo cual planos, etc. conseguir sus objetivos.tradicionalmente se ha Documentación easociado el término información: Es uno de los 1.5 Modelos de controlAuditoría Externa a campos más importantes utilizados en auditoriaAuditoría de Estados para la utilización de informática.Financieros, lo cual como computadoras. Estas sese observa no es totalmente usan para el El COBIT es precisamenteequivalente, pues puede almacenamiento de grandes un modelo para auditar laexistir. Auditoría Externa cantidades de datos y la gestión y control de losdel Sistema de Información recuperación controlada de sistemas de información yTributario, Auditoría los mismos en bases de tecnología, orientado aExterna del Sistema de datos. todos los sectores de unaInformación Gestión administrativa: organización, es decir,Administrativo, Auditoría Automatiza las funciones de administradores IT,Externa del Sistema de gestión típicas de una usuarios y por supuesto, losInformación Automático empresa. auditores involucrados en eletc. Inteligencia artificial: Las proceso. computadoras se programan La auditoría Interna es el de forma que emulen el Las siglas COBITexamen crítico, sistemático comportamiento de la significan Objetivos dey detallado de un sistema de mente humana. Los Control para Tecnología deinformación de una unidad programas responden como Información y Tecnologíaseconómica, realizado por un previsiblemente lo haría una relacionadas (Controlprofesional con vínculos persona inteligente. Objetiveslaborales con la misma, Instrumentación y control: forInformationSystems andutilizando técnicas Instrumentación relatedTechnology). Eldeterminadas y con el electrónica, electro modelo es el resultado deobjeto de emitir informes y medicina, robots una investigación conformular sugerencias para industriales, entre otros. expertos de varios países,el mejoramiento de la desarrollado por ISACAmisma. Estos informes son 1.4 Control interno. (InformationSystemsAuditde circulación interna y no and Control Association).tienen trascendencia a los El Control Internoterceros pues no se Informático puede definirse La estructura del modeloproducen bajo la figura de como el sistema integrado COBIT propone un marcola Fe Pública. al proceso administrativo, de acción donde se evalúan en la planeación, los criterios de información, organización, dirección y como por ejemplo la 2
  3. 3. seguridad y calidad, se toda la empresa, incluyendo “Cualquier tipo de empresaauditan los recursos que los computadores puede adoptar unacomprenden la tecnología personales y las redes. Está metodología COBIT, comode información, como por basado en la filosofía de parte de un proceso deejemplo el recurso humano, que los recursos TI reingeniería en aras deinstalaciones, sistemas, necesitan ser administrados reducir los índices deentre otros, y finalmente se por un conjunto de procesos incertidumbre sobrerealiza una evaluación sobre naturalmente agrupados vulnerabilidades y riesgoslos procesos involucrados para proveer la información de los recursos IT yen la organización. pertinente y confiable que consecuentemente, sobre la requiere una organización posibilidad de evaluar elEl COBIT es un modelo de para lograr sus objetivos. logro de los objetivos delevaluación y monitoreo que negocio apalancado enenfatiza en el control de El conjunto de lineamientos procesos tecnológicos”,negocios y la seguridad IT y y estándares internacionales finalizó el informe deque abarca controles conocidos como COBIT, ETEK.específicos de IT desde una define un marco deperspectiva de negocios. referencia que clasifica los 1.6 Principios aplicados a“La adecuada procesos de las unidades de los auditores informáticos.implementación de un tecnología de informaciónmodelo COBIT en una de las organizaciones en El auditor deberá ver cómoorganización, provee una cuatro “dominios” se puede conseguir laherramienta automatizada, principales, a saber: máxima eficacia ypara evaluar de manera ágil -Planificación y rentabilidad de los mediosy consistente el organización informáticos de la empresacumplimiento de los -Adquisición e auditada, estando obligadoobjetivos de control y implantación a presentarcontroles detallados, que -Soporte y Servicios recomendaciones acerca delaseguran que los procesos y - Monitoreo reforzamiento del sistema yrecursos de información y el estudio de las solucionestecnología contribuyen al Estos dominios agrupan más idóneas según loslogro de los objetivos del objetivos de control de alto problemas detectados en elnegocio en un mercado nivel, que cubren tanto los sistema informático de estacada vez más exigente, aspectos de información, última. En ningún caso estácomplejo y diversificado”, como de la tecnología que justificado que realice suseñaló un informe de la respalda. Estos dominios trabajo el prisma del propioETEK. y objetivos de control beneficio. Cualquiera facilitan que la generación y actitud que se antepongaCOBIT, lanzado en 1996, procesamiento de la intereses personales deles una herramienta de información cumplan con auditor a los del auditadogobierno de TI que ha las características de deberá considerarse comocambiado la forma en que efectividad, eficiencia, no ética. Para garantizar eltrabajan los profesionales confidencialidad, beneficio del auditado comode tecnología. Vinculando integridad, disponibilidad, la necesaria independenciatecnología informática y cumplimiento y del auditor, este últimoprácticas de control, el confiabilidad. deberá evitar estar ligado enmodelo COBIT consolida y cualquier forma, a interesesarmoniza estándares de Asimismo, se deben tomar de determinadas marcas,fuentes globales en cuenta los recursos que productos o equiposprominentes en un recurso proporciona la tecnología compatibles con los de sucrítico para la gerencia, los de información, tales como: cliente. La adaptación delprofesionales de control y datos, aplicaciones, auditor al sistema dellos auditores. plataformas tecnológicas, auditado debe implicar una instalaciones y recurso cierta simbiosis con elCOBIT se aplica a los humano. mismo, a fin de adquirir unsistemas de información de conocimiento 3
  4. 4. pormenorizado de sus UNIDAD II Planeación de sustanciosas), herramientascaracterísticas intrínsecas. la auditoria Informática. y conocimientos previos,Únicamente en los casos en así como de crear su equipoel que el auditor dedujese la 2.1 Fases de la auditoria. de auditores expertos en laimposibilidad de que el materia con el fin de evitarsistema pudiera acomodarse Fase I: Conocimientos del tiempos muertos a la horaa las exigencias propias de Sistema de iniciar la auditoria.su cometido, este podrá Fase II: Análisis deproponer un cambio transacciones y recursos Es de tomarse en cuenta quecualitativamente Fase III: Análisis de riesgos el propietario de dichasignificativo de y amenazas empresa, ordena unadeterminados elementos o Fase IV: Análisis de auditoria cuando siente quedel propio sistema controles un área tiene una falla oinformático globalmente Fase V: Evaluación de simplemente no trabajacontemplado. Una vez Controles productivamente como seestudiado el sistema Fase VI: El Informe de sugiere, por esta razóninformático a auditar, el auditoria habrá puntos claves que seauditor deberá establecer Fase VII: Seguimiento de nos instruya sean revisados,los requisitos mínimos, las Recomendaciones hay que recordar que lasaconsejables y óptimos para auditorias parten desde unsu adecuación a la finalidad 2.1.1 Planeación. ámbito administrativo y nopara la que ha sido solo desde la partediseñado. El auditor deberá Para hacer una adecuada tecnológica, porque al finlógicamente abstenerse de planeación de la auditoría de cuentas hablamos derecomendar actuaciones en informática, hay que tiempo y costo deinnecesariamente onerosas, seguir una serie de pasos producción, ejercicio dedañinas o que generen previos que permitirán ventas, etc. Es decir, todoriesgos injustificados para dimensionar el tamaño y aquello que representa unel auditado. Una de las características de área gasto para la empresa.cuestiones más dentro del organismo acontrovertidas, respecto de auditar, sus sistemas, 2.1.3 Revisión detallada.la aplicación de este organización y equipo. Enprincipio, es la referente a el caso de la auditoría en Los objetos de la fasefacilitar el derecho de las informática, la planeación detallada son los de obtenerorganizaciones auditadas a es fundamental, pues habrá la información necesariala libre elección del auditor. que hacerla desde el punto para que el auditor tenga unSi el auditado decidiera de vista de los dos profundo entendimiento deencomendar posteriores objetivos: los controles usados dentroauditorías a otros del área de informática.profesionales, éstos • Evaluación de los sistemasdeberías poder tener acceso y procedimientos. El auditor debe de decidira los informes de los • Evaluación de los equipos se debe continuartrabajos profesionales, éstos de cómputo. elaborando pruebas dedeberían poder tener acceso consentimiento, con laa los informes de los 2.1.2 Revisión preliminar. esperanza de obtener mayortrabajos anteriormente confianza por medio delrealizados sobre el sistema En esta fase el auditor debe sistema de control interno, odel auditado. de armarse de un proceder directamente a conocimiento amplio del revisión con los usuariosdel grado de cobertura que área que va a auditar, los (pruebas compensatorias) odan las aplicaciones a las objetivos que debe cumplir, a las pruebas sustantivas.necesidades estratégicas y tiempos (una empresa nooperativas de información pude dejar sus equipos y 2.1.4 Examen y evaluaciónde la empresa. personal que lo opera sin de la información. trabajar porque esto le genera pérdidas 4
  5. 5. Periodo en el que se hemos de conjugar ambos a Una Librería de Áreas y unadesarrollan las pruebas y su fin de realizar un análisis e Librería de Pruebas puedenextensión identificar los puntos también ser mantenida para fuertes y débiles del proveer Áreas y PruebasLos auditores sistema. Standard para su selecciónindependientes podrán en cada auditoria.realizar las pruebas de En esa labor decumplimiento durante el identificación, influye Las Áreas de Auditoriaperiodo preliminar. primordialmente la estructuran sus pruebas en habilidad para entender el programas de trabajoCuando éste sea el caso, la sistema y comprender los lógicos y pueden usarseaplicación de tales pruebas puntos fuertes y débiles de para capturar informacióna todo el periodo restante su control interno. relacionada con lospuede no ser necesaria, objetivos de cada programadependiendo La conjugación de ambas de trabajo.fundamentalmente del nos dará el nivel deresultado de estas pruebas confianza de los controles 2.1.6 Pruebas sustantivas.en el periodo preliminar así que operan en la empresa, ycomo de la evidencia del será preciso determinar si El objetivo de las pruebascumplimiento, dentro del los errores tienen una sustantivas es obtenerperiodo restante, que puede repercusión directa en los evidencia suficiente queobtenerse de las pruebas estados financieros, o si los permita al auditor emitir susustantivas realizadas por el puntos fuertes del control juicio en las conclusionesauditor independiente. eliminarían el error. acerca de cuándo pueden ocurrir pérdidas materialesLa determinación de la 2.1.5 Pruebas de controles durante el proceso de laextensión de las pruebas de de usuario. información.cumplimento se realizarásobre bases estadísticas o En una auditoria existen los Se pueden identificar 8sobre bases subjetivas. El siguientes módulos para diferentes pruebasmuestreo estadístico es, en ayudarle a planificar y sustantivas:principio, el medio idóneo ejecutar pruebas:para expresar en términos 1 pruebas para identificarcuantitativos el juicio del Aéreas de Auditoria errores en el procesamientoauditor respecto a la Registro de Riesgos y o de falta de seguridad orazonabilidad, Controles confidencialidad.determinando la extensión Plan de Pruebas 2 prueba para asegurar lade las pruebas y evaluando Realizar pruebas calidad de los datos.su resultado.  Permite especificar la 3 pruebas para identificar la estructura bajo la cual se inconsistencia de datos.Cuando se utilicen bases agruparan las pruebas. 4 prueba para comparar consubjetivas se deberá dejar  Permite planificar y ejecutar los datos o contadoresconstancia en los papeles de pruebas relacionadas con físicos.trabajo de las razones que los riesgos y controles 5 confirmaciones de datoshan conducido a tal definidos para esta con fuentes externaselección, justificando los auditoría. 6 pruebas para confirmar lacriterios y bases de  Permite agregar, editar y adecuada comunicación.selección. borrar pruebas con 7 prueba para determinar independencia del Registro falta de seguridad.Evaluación del control de Riesgos y Controles. 8 pruebas para determinarinterno  Permite registrar el problemas de legalidad. resultado y el status de cadaRealizados los cuestionarios prueba (completadas, 2.2 Evaluación de losy representado gráficamente revisadas o aprobadas). sistemas de acuerdo alel sistema de acuerdo con riesgo.los procedimientos vistos, 5
  6. 6. Riesgo contar con un equipo sino también el del usuario seleccionado y con ciertas del sistema. Proximidad o posibilidad de características que puedan un daño, peligro, etc. ayudar a llevar la auditoria UNIDAD III Auditoria de de manera correcta y en el la función informática. Cada uno de los tiempo estimado. imprevistos, hechos 3.1 Recopilación de la desafortunados, etc., que Aquí no se verá el número información organizacional. puede cubrir un seguro. de persona que deberán participar, ya que esto Para que un proceso de Sinónimos: amenaza, depende de las dimensiones D.O. tenga éxito debe contingencia, emergencia, de la organización, de los comenzar por obtener un urgencia, apuro. sistemas y de los equipos, diagnostico con lo que se deberá considerar información verdadera y a Seguridad son exactamente las tiempo de lo que sucede en características que debe la organización bajo Cualidad o estado de seguro cumplir cada uno del análisis, esta obtención de personal que habrá de la información debe ser Garantía o conjunto de participar en la auditoria. planeada en forma garantías que se da a estructurada para garantizar alguien sobre el Uno de los esquemas una generación de datos que cumplimiento de algo. generalmente aceptados ayuden posteriormente su para tener un adecuado análisis. Es un ciclo Ejemplo: Seguridad Social control es que el personal continuo en el cual se Conjunto de organismos, que intervenga esté planea la recolección de medios, medidas, etc., de la debidamente capacitado, datos, se analiza, se administración estatal para que tenga un alto sentido de retroalimentan y se da un prevenir o remediar los moralidad, al cual se le seguimiento. posibles riesgos, problemas exija la optimización de y necesidades de los recursos (eficiencia) y se le La recolección de datos trabajadores, como retribuya o compense puede darse de varias enfermedad, accidentes justamente por su trabajo. maneras: laborales, incapacidad, maternidad o jubilación; se Con estas bases debemos • Cuestionarios financia con aportaciones considerar los • Entrevistas del Estado, trabajadores y conocimientos, la práctica • Observación empresarios. profesional y la • Información documental capacitación que debe tener (archivo) Se dice también de todos el personal que intervendrá aquellos objetos, en la auditoria. Toda la información tiene dispositivos, medidas, etc., un valor en sí misma, el que contribuyen a hacer También se deben contar método de obtención de más seguro el con personas asignadas por información está funcionamiento o el uso de los usuarios para que en el directamente ligado a la una cosa: cierre de momento que se solicite disponibilidad, dificultad y seguridad, cinturón de información, o bien se costo. Existen ventajas y seguridad. efectúe alguna entrevista de desventajas en el uso de comprobación de hipótesis, cada una de estas 2.4 Personal participante. nos proporcionen aquello herramientas, su utilidad que se está solicitando, y dependerá del objetivo que Una de las partes más complementen el grupo se busque y los medios para importantes en la multidisciplinario, ya que llevar a cabo esa planeación de la auditoría debemos analizar no sólo el recolección de datos en en informática es el punto de vista de la tiempo y forma para su personal que deberá dirección de informática, posterior análisis. participar, ya que se debe 6
  7. 7. 3.2 Evaluación de los El entrevistador te dará larecursos humanos La entrevista es uno de los iniciativa a ti, y deberás eslabones finales para desenvolverte por tu cuenta.La auditoría de recursos conseguir la posición El entrevistador podríahumanos puede definirse deseada. Desde el otro lado empezar con la pregunta:como el análisis de las del mostrador y habiendo “Háblame de ti”, y luegopolíticas y prácticas de entrevistado a 5.000 seguir con preguntaspersonal de una empresa y profesionales en sistemas generales, que surgen enla evaluación de su entre nuestro equipo de función del desarrollo de lafuncionamiento actual, selectores, te dejamos conversación.seguida de sugerencias para valiosos consejos en estamejorar. El propósito nota. Lo más aconsejable esprincipal de la auditoria de empezar siguiendo el guiónrecursos humanos es Es un diálogo directo entre de tu historial profesional.mostrar cómo está el entrevistador y También puedes preguntarfuncionado el programa, entrevistado. El si está interesado enlocalizando prácticas y entrevistador dirige la conocer algo en particular.condiciones que son conversación e intenta Aprovecha para llevar laperjudiciales para la obtener la máxima conversación a los puntosempresa o que no están información posible del fuertes que deseas destacarjustificando su costo, o candidato. en relación con el puestoprácticas y condiciones que ofertado.deben incrementarse. Te preguntará por tu currículum, experiencias, Semi-estructurada (mixta)La auditoría es un sistema habilidades, aficiones ede revisión y control para intentará ponerte en Es una combinación de lasinformar a la administración situaciones reales para dos anteriores. Elsobre la eficiencia y la estudiar tus reacciones. En entrevistador utilizaráeficacia del programa que ocasiones puede haber más preguntas directas paralleva a cabo. de un entrevistador, con el conseguir informaciones fin de tener más de un precisas sobre ti, yEl sistema de punto de vista a la hora de preguntas indirectas paraadministración de recursos elegir el candidato final. sondearte respecto a tushumanos necesita patrones motivaciones. Intenta seguircapaces de permitir una Modalidades de la un orden discursivo, sécontinua evaluación y Entrevista Personal conciso e intenta relacionarcontrol sistemático de su tus respuestas yfuncionamiento. Estructurada (dirigida) comentarios con las exigencias del puesto al quePatrón en in criterio o un El entrevistador dirige la optas.modelo que se establece conversación y hace laspreviamente para permitir la preguntas al candidato 3.4 Situación presupuestalcomparación con los siguiendo un cuestionario o y financiera.resultados o con los guión. El entrevistadorobjetivos alcanzados. Por formulará las mismas El estudio y evaluación delmedio de la comparación preguntas a todos los control interno deberácon el patrón pueden candidatos. efectuarse conforme a loevaluarse los resultados dispuesto en el boletín 3050obtenidos y verificar que Se recomienda contestar a “Estudio y Evaluación delajustes y correcciones las preguntas aportando Control Interno”, emitidodeben realizarse en el aquella información que se por la Comisión de Normassistema, con el fin de que pide, con claridad y y Procedimientos defuncione mejor. brevedad. Auditoría del Instituto Mexicano de Contadores 3.3 Entrevistas con el No estructurada (libre) Públicos, A.C., éste servirápersonal de informática. de base para determinar el 7
  8. 8. grado de confianza que se olvidados a la hora deldepositará en él y le permita a. Existencia de un diseño de un sistemadeterminar la naturaleza, presupuesto anual Informático. Si bienalcance y oportunidad, que autorizado algunos de los aspectosva a dar a los b. Existencia e políticas, tratados a continuación seprocedimientos de bases y lineamientos prevén, otros, como laauditoría, por lo que el presupuestarios detección de un atacanteauditor para el c. Existencia de un sistema interno a la empresa quecumplimiento de los de registro presupuestario intenta a accederobjetivos deberá considerar d. Existencia de un físicamente a una sala delo siguiente: procedimiento de operaciones de la misma, autorizaciones no.- Existencia de factores que e. Procedimientos deaseguren un ambiente de registro, control y reporte Esto puede derivar en quecontrol presupuestario para un atacante sea más- Existencia de riesgo en la fácil lograr tomar y copiarinformación financiera Obtener el estado analítico una cinta de la sala, que de recursos presupuestarios intentar acceder vía lógica aExistencia de un sistema y el ejercicio presupuestario la misma.presupuestal que permita del gasto, tal como loidentificar, reunir, analizar, establecen los Términos de Así, la Seguridad Físicaclasificar, registrar y Referencia para auditorías a consiste en la “aplicaciónproducir información Órganos de barreras físicas ycuantitativa de las Desconcentrados y procedimientos de control,operaciones basadas en Entidades Paraestatales de como medidas deflujos de efectivo y partidas la SFP, así como el flujo de prevención y contramedidasdevengadas efectivo que detalle el ante amenazas a los origen y el destino de los recursos e información- Existencia de egresos (Art.103 de la Ley confidencial” (1). Se refiereprocedimientos relativos a Federal de Presupuesto y a los controles yautorización, procesamiento Responsabilidad mecanismos de seguridady clasificación de Hacendaria) dentro y alrededor deltransacciones, salvaguarda Centro de Cómputo asífísica de documentación como los medios de accesosoporte y de verificación y remoto al y desde el mismo;evaluación, incluyendo los UNIDAD IV Evaluación de implementados paraaplicables a la actualización la seguridad. proteger el hardware yde cifras y a los controles medios de almacenamientorelativos al procesamiento Generalidades de la de datos.electrónico de datos. - seguridad del área física.Vigilancia sobre el 4.2 Seguridad lógica yestablecimiento y Es muy importante ser confidencial.mantenimiento de controles consciente que por más queinternos con objeto de nuestra empresa sea la más La seguridad lógica seidentificar si están operando segura desde el punto de encarga de los controles deefectivamente y si deben ser vista de ataques externos, acceso que están diseñadosmodificados cuando existan Hackers, virus, etc. para salvaguardar lacambios importantes. (conceptos luego integridad de la información tratados);la seguridad de la almacenada de unaPara efectos de estudio y misma será nula si no se ha computadora, así como deevaluación del control previsto como combatir un controlar el mal uso de lainterno en una revisión en incendio. información.una revisión de estadospresupuestarios, el auditor La seguridad física es uno La seguridad lógica sedeberá considerar los de los aspectos más encarga de controlar ysiguientes aspectos: salvaguardar la información 8
  9. 9. generada por los sistemas, conceptos más vitales y Clasificación general de lospor el software de necesarios para cualquier controlesdesarrollo y por los organización empresarial,programas en aplicación. los Sistemas de Información Controles Preventivos de la empresa.Identifica individualmente a Son aquellos que reducen lacada usuario y sus La Informática hoy, está frecuencia con que ocurrenactividades en el sistema, y subsumida en la gestión las causas del riesgo,restringe el acceso a datos, integral de la empresa, y permitiendo cierto margena los programas de uso por eso las normas y de violaciones.general, de uso específico, estándares propiamentede las redes y terminales. informáticos deben estar, Ejemplos: Letrero "No por lo tanto, sometidos a los fumar" para salvaguardarLa falta de seguridad lógica generales de la misma. En las instalacioneso su violación puede traer consecuencia, laslas siguientes consecuencias organizaciones informáticas Sistemas de claves dea la organización: forman parte de lo que se ha acceso denominado elCambio de los datos antes o "management" o gestión de Controles detectivescuando se le da entrada a la la empresa. Cabe aclararcomputadora. que la Informática no Son aquellos que no evitanCopias de programas y /o gestiona propiamente la que ocurran las causas delinformación. empresa, ayuda a la toma de riesgo sino que los detectaCódigo oculto en un decisiones, pero no decide luego de ocurridos. Son losprograma por sí misma. Por ende, más importantes para elEntrada de virus debido a su importancia en auditor. En cierta forma el funcionamiento de una sirven para evaluar laUn método eficaz para empresa, existe la Auditoría eficiencia de los controlesproteger sistemas de Informática. preventivos.computación es el softwarede control de acceso. Los El término de Auditoría se Ejemplo: Archivos ypaquetes de control de ha empleado procesos que sirvan comoacceso protegen contra el incorrectamente con pistas de auditoríaacceso no autorizado, pues frecuencia ya que se hapiden al usuario una considerado como una Procedimientos decontraseña antes de evaluación cuyo único fin validaciónpermitirle el acceso a es detectar errores y señalarinformación confidencial. fallas. A causa de esto, se Controles CorrectivosSin embargo, los paquetes ha tomado la frase "Tienede control de acceso Auditoría" como sinónimo Ayudan a la investigación ybasados en componentes de que, en dicha entidad, corrección de las causas delpueden ser eludidos por antes de realizarse la riesgo. La correccióndelincuentes sofisticados en auditoría, ya se habían adecuada puede resultarcomputación, por lo que no detectado fallas. difícil e ineficiente, siendoes conveniente depender de necesaria la implantación deesos paquetes por si solos El concepto de auditoría es controles defectivos sobrepara tener una seguridad mucho más que esto. Es un los controles correctivos,adecuada. examen crítico que se debido a que la corrección realiza con el fin de evaluar de errores es en sí una4.3 Seguridad personal. la eficacia y eficiencia de actividad altamente una sección, un organismo, propensa a errores.A finales del siglo XX, los una entidad, etc.Sistemas Informáticos se 4.5 Seguridad en los datoshan constituido en las 4.4 Clasificación de los y software de aplicación.herramientas más poderosas controles de seguridad.para materializar uno de los 9
  10. 10. Este apartado aborda los . Participación de personal arquitectura de la Base deaspectos asociados al externo. Datos elegida jerárquica,componente lógico del . Control de calidad. relacional, red, o biensistema: programas y datos. . Entornos real y de prueba. orientada a objetos.Para ello, se distingue entre . Control de cambios.las medidas para restringir y Debe realizarse unacontrolar el acceso a dichos Adquisición de software estimación previa delrecursos, los estándar. volumen necesario para elprocedimientos para almacenamiento de datosasegurar la fiabilidad del Metodología, basada en distintos aspectossoftware (tanto operativo pruebas, condiciones, tales como el númerocomo de gestión) y los garantías, contratos, mínimo y máximo decriterios a considerar para capacitación, licencias, registros de cada entidadgarantizar la integridad de derechos, soporte técnico. del modelo de datos y lasla información. predicciones de Datos. crecimiento.Control de acceso. Los datos es decir, la A partir de distintosSistemas de identificación, información que se procesa factores como el número deasignación y cambio de y se obtiene son la parte usuarios que accederá a laderechos de acceso, control más importante de todo el información, la necesidadde accesos, restricción de sistema informático y su de compartir información yterminales, desconexión de razón de ser. Un sistema las estimaciones dela sesión, limitación de informático existe como tal volumen se deberá elegir elreintento. desde el momento en que SGBD más adecuado a las es capaz de tratar y necesidades de la empresa oSoftware de base. suministrar información. proyecto en cuestión. Sin ésta, se reduciría a unControl de cambios y conjunto de elementos En la fase de diseño deversiones, control de uso de lógicos sin ninguna utilidad. datos, deben definirse losprogramas de utilidad, procedimientos decontrol de uso de recursos y En la actualidad la inmensa seguridad, confidencialidadmedición de performance. mayoría de sistemas tienen e integridad que se la información organizada aplicarán a los datos:Software de aplicación. en sendas Bases de Datos. Los criterios que se citan a Procedimientos paraEn este apartado se trata continuación hacen recuperar los datos en casostodo lo concerniente al referencia a la seguridad de de caída del sistema o desoftware de aplicación, es los Sistemas de Gestión de corrupción de los archivos.decir, todo lo relativo a las Bases de Datos (SGBD)aplicaciones de gestión, que cumplan normas ANSI, Procedimientos parasean producto de desarrollo si bien muchos de ellos prohibir el acceso nointerno de la empresa o bien pueden ser aplicables a los autorizado a los datos. Parasean paquetes estándar archivos de datos ello deberán identificarlos.adquiridos en el mercado. convencionales. Procedimientos paraDesarrollo de software. Diseño de bases de datos. restringir el acceso no autorizado a los datos.. Metodología: existe, se Es importante la utilización Debiendo identificar losaplica, es satisfactoria. de metodologías de diseño distintos perfiles de usuarioDocumentación: existe, esta de datos. El equipo de que accederán a losactualizada, es accesible. analistas y diseñadores archivos de la aplicación y. Estándares: se aplican, deben hacer uso de una los subconjuntos decomo y quien lo controla. misma metodología de información que podránInvolucración del usuario. diseño, la cual debe estar en modificar o consultar. concordancia con la 10
  11. 11. Procedimientos para . Construcción de los importantes. Por ejemplo, lamantener la consistencia y procedimientos de copia y recepción definitiva de lascorrección de la restauración de datos. máquinas debería estarinformación en todo . Construcción de los firmada por losmomento. procedimientos de responsables de restricción y control de Explotación. Tampoco elBásicamente existen dos acceso. Existen dos alta de una nuevaniveles de integridad: la de enfoques para este tipo de Aplicación podríadatos, que se refiere al tipo, procedimientos: producirse si no existieranlongitud y rango aceptable los Procedimientos deen cada caso, y la lógica, Confidencialidad basada en Backup y Recuperaciónque hace referencia a las roles, que consiste en la correspondientes.relaciones que deben existir definición de los perfiles deentre las tablas y reglas del usuario y las acciones que 3. Los Procedimientosnegocio. les son permitidas (lectura, Específicos Informáticos. actualización, alta, borrado, Igualmente, se revisara suDebe designarse un creación/eliminación de existencia en las áreasAdministrador de Datos, ya tablas, modificación de la fundamentales. Así,que es importante estructura de las tablas). Explotación no deberíacentralizar en personas explotar una Aplicación sinespecializadas en el tema 4.6 Controles para evaluar haber exigido a Desarrollolas tareas de redacción de software de aplicación. la pertinentenormas referentes al gestor documentación. Del mismode datos utilizado, Una vez conseguida la modo, deberá comprobarsedefinición de estándares y Operatividad de los que los Procedimientosnomenclatura, diseño de Sistemas, el segundo Específicos no se opongan aprocedimientos de arranque, objetivo de la auditoría es la los Procedimientosrecuperación de datos, verificación de la Generales. En todos losasesoramiento al personal observancia de las normas casos anteriores, a su vez,de desarrollo entre algunos teóricamente existentes en deberá verificarse que nootros aspectos. el departamento de existe contradicción alguna Informática y su coherencia con la Normativa y losCreación de bases de datos. con las del resto de la Procedimientos Generales empresa. Para ello, habrán de la propia empresa, a losDebe crearse un entorno de de revisarse sucesivamente que la Informática debedesarrollo con datos de y en este orden: estar sometida.prueba, de modo que lasactividades del desarrollo 1. Las Normas Generales de 4.7 Controles para prevenirno interfieran el entorno de la Instalación Informática. crímenes y fraudesexplotación. Los datos de Se realizará una revisión informáticos.prueba deben estar inicial sin estudiar a fondodimensionados de manera las contradicciones que En los años recientes lasque permitan la realización pudieran existir, pero redes de computadoras hande pruebas de integración registrando las áreas que crecido de maneracon otras aplicaciones, de carezcan de normativa, y asombrosa. Hoy en día, elrendimiento con volúmenes sobre todo verificando que número de usuarios que sealtos. esta Normativa General . comunican, hacen sus Informática no está en compras, pagan sus cuentas,En la fase de creación, contradicción con alguna realizan negocios y hastadeben desarrollarse los Norma General no consultan con sus médicosprocedimientos de informática de la empresa. online supera los 200seguridad, confidencialidad millones, comparado con 26e integridad definidos en la 2. Los Procedimientos millones en 1995.etapa de diseño: Generales Informáticos. Se verificará su existencia, al A medida que se va menos en los sectores más ampliando la Internet, 11
  12. 12. asimismo va aumentando el Otros delincuentes de la corto periodo. En caso deuso indebido de la misma. informática pueden sabotear un desastre, la interrupciónLos denominados las computadoras para prolongada de los serviciosdelincuentes cibernéticos se ganarle ventaja económica a de computación puedepasean a su aire por el sus competidores o llevar a pérdidas financierasmundo virtual, incurriendo amenazar con daños a los significativas, sobre todo sien delitos tales como el sistemas con el fin de está implicada laacceso sin autorización o cometer extorsión. Los responsabilidad de la"piratería informática", el malhechores manipulan los gerencia de informática. Lofraude, el sabotaje datos o las operaciones, ya más grave es que se puedeinformático, la trata de sea directamente o mediante perder la credibilidad delniños con fines los llamados "gusanos" o público o los clientes y,pornográficos y el acecho. "virus", que pueden como consecuencia, la paralizar completamente los empresa puede terminar enLos delincuentes de la sistemas o borrar todos los un fracaso total.informática son tan diversos datos del disco duro.como sus delitos; puede Algunos virus dirigidos En un estudio realizado portratarse de estudiantes, contra computadoras la Universidad deterroristas o figuras del elegidas al azar; que Minnesota, se hacrimen organizado. Estos originalmente pasaron de demostrado que más deldelincuentes pueden pasar una computadora a otra por 60% de las empresas quedesapercibidos a través de medio de disquetes sufren un desastre y que nolas fronteras, ocultarse tras "infectados"; también se tienen un plan deincontables "enlaces" o están propagando recuperación ya ensimplemente desvanecerse últimamente por las redes, funcionamiento, saldrán delsin dejar ningún documento con frecuencia camuflados negocio en dos o tres años.de rastro. Pueden despachar en mensajes electrónicos o Mientras vaya en aumentodirectamente las en programas la dependencia de lacomunicaciones o esconder "descargados" de la red. disponibilidad de lospruebas delictivas en recursos informáticos, este"paraísos informáticos" - o 4.8 Plan de contingencia, porcentaje seguramentesea, en países que carecen seguros, procedimientos de crecerá.de leyes o experiencia para recuperación de desastres.seguirles la pista -. Por lo tanto, la capacidad Medida que las empresas se para recuperarseSegún datos recientes del han vuelto cada vez más exitosamente de los efectosServicio Secreto de los dependientes de las de un desastre dentro de unEstados Unidos, se calcula computadoras y las redes periodo predeterminadoque los consumidores para manejar sus debe ser un elementopierden unos 500 millones actividades, la crucial en un plande dólares al año debido a disponibilidad de los estratégico de seguridadlos piratas que les roban de sistemas informáticos se ha para una organización.las cuentas online sus vuelto crucial. Actualmente,números de tarjeta de la mayoría de las empresas 4.9 Técnicas y herramientascrédito y de llamadas. necesitan un nivel alto de relacionadas con laDichos números se pueden disponibilidad y algunas seguridad física y delvender por jugosas sumas requieren incluso un nivel personal.de dinero a falsificadores continuo de disponibilidad,que utilizan programas ya que les resultaría SEGURIDAD FISICAespeciales para codificarlos extremadamente difícilen bandas magnéticas de funcionar sin los recursos Es todo lo relacionado contarjetas bancarias y de informáticos. la seguridad y salvaguardacrédito, señala el Manual de de los bienes tangibles dela ONU. Los procedimientos los sistemas manuales, si es que existen, computacionales de la sólo serían prácticos por un empresa, tales como el 12
  13. 13. hardware, periféricos, y panorama general del tema.equipos asociados, las Luego mencionamos de Explicaremos claramente lainstalaciones eléctricas, las forma genérica los importancia de lainstalaciones de elementos que integran un teleinformática y sucomunicación y de datos. sistema teleinformática, desarrollo a través de la desde un simple terminal historia desde el comienzoIgualmente todo lo hasta una red. ya que es uno de losrelacionado con la factores que ha constituidoseguridad y salvaguarda de Continuamos explicando las y constituye un elementolas construcciones, el técnicas fundamentales de fundamental para lamobiliario y equipo de transmisión de datos, para evolución de la humanidad:oficina, así como la comprender cómo viaja la la comunicación.protección a los accesos al información de un sistema acentro de sistematización. otro a través de los circuitos En una comunicación se de telecomunicación. transmite informaciónEn sí, es todo lo relacionado desde una persona a otra econ la seguridad, la Las técnicas de intervienen tres elementos:prevención de riesgos y comunicación se el emisor, que da origen a laprotección de los recursos estructuran en niveles: información, el medio, quefísicos informáticos de la físico, enlace de datos, red, permite la transmisión, y elempresa. transporte, sesión, receptor, que recibe la presentación y aplicación. información.UNIDAD V Auditoria de laseguridad en la También, mencionamos las La primera comunicaciónteleinformática. redes de área local ya que que existió entre los son muy importantes en lo hombres fue a base de5.1 Generalidades de la que a la teleinformática signos o gestos queseguridad en el área de la respecta. expresaban intuitivamenteteleinformática. determinadas Hicimos inca pié en la red manifestaciones con sentido En la actualidad tiene una Internet y su protocolo propio. Estos gestos ibangran trascendencia tanto TCP/IP, y en los conceptos acompañados de sonidos.técnica como social, lo que básicos sobrese denomina Programas de Posteriormente, comenzó lateleinformática: la unión de Comunicación y Gestión de comunicación hablada ala informática y las Red. través de un determinadotelecomunicaciones. Tanto lenguaje, en el cuál cadaen la vida profesional como Analizamos los servicios de palabra significaba algo yen las actividades valor añadido como el cada frase tenía uncotidianas, es habitual el Video tex, Ibercom o La contenido informativo.uso de expresiones y Telefonía Móvil.conceptos relacionados con Más tarde, el hombre tubola teleinformática. Además, establecimos los necesidad de realizar últimos desarrollos y las comunicaciones a distanciaEste trabajo se basa en tendencias de la como por ejemplo, entreconceptos fundamentales teleinformática, desde las personas de dos aldeasexpresados de la manera redes digitales hasta el situadas a cierta distanciamás simple posible, pero a proceso distribuido. pero con visibilidad entresu vez siendo precisos. ambas, o bien entre un Por último, manifestamos la barco y la costa. Es aquíComenzamos por introducir importancia de la relación donde aparecen las señalesla historia y evolución de que existe entre la de humo, destellos conlateleinformática y de la teleinformática y la espejos entre innumerablesmanera en que fue sociedad, en lo que respecta métodos de comunicación.desarrollándose, y a su vez, a la educación, la sanidad yproporcionando un la empresa. 13
  14. 14. Con el paso del tiempo y la la lucha por la subsistencia impacto mucho mayor queevolución tecnológica, la o continuidad de la hace algunos años.comunicación a distancia empresa.comenzó a ser cada vez más En la auditoría de otrasimportante. Como brillantemente lo áreas pueden también surgir expresa Fernando Gaziano revisiones solapadas con laLa primera técnica utilizada (Deloitte Chile), "los seguridad; así a la hora desurgió con la aparición del auditores y los astrónomos revisar el desarrollo se verátelégrafo y el código morse compartimos plenamente si se realiza en un entornoque permitieron una idea: el universo se seguro, etc.comunicaciones a través de expande. Así como despuéscables a unas distancias del "bigbang" un universo Los controles directivos.considerables. de planetas y estrellas Son los fundamentos de laPosteriormente se comenzó y continúa seguridad: políticas, planes,desarrolló la técnica que dio expandiéndose, de la misma funciones, objetivos deorigen al teléfono para la forma el mundo del Auditor control, presupuesto, asícomunicación directa de la Interno es cada vez más como si existen sistemas yvoz a larga distancia. Más amplio. Como nunca, métodos de evaluacióntarde la radio y la probablemente hoy se periódica de riesgos.transmisión de imágenes a enfrenta a uno de los El desarrollo de lastravés de la televisión cambios más importantes en políticas. Procedimientos,habilitaron un gran número su profesión, debiendo posibles estándares, normasde técnicas y métodos que abordar aspectos y guías.luego fueron muy relacionados con el Amenazas físicas externas.importantes a lo que Gobierno Corporativo y los Inundaciones, incendios,respecta a la comunicación. nuevos riesgos a los que se explosiones, corte de líneas enfrentan las o suministros, terremotos,5.2 Objetivos y criterios de organizaciones. terrorismo, huelgas, etc., sela auditoria en el área de la 5.3 Síntomas de riesgo. considera: la ubicación delteleinformática. centro de procesos, de los La Auditoría de la servidores, PCs, Así ante la continua Seguridad computadoras portátilesaparición de nuevas (incluso fuera de lasherramientas de gestión, la Para muchos la seguridad oficinas); estructura, diseño,auditoría interna se ve sigue siendo el área construcción y distribucióncompelida a velar entre principal a auditar, hasta el de edificios; amenazas deotras cosas por la aplicación punto de que en algunas fuego, riesgos por agua, pory buen uso de las mismas. entidades se creó accidentes atmosféricos;Ello ciertamente implica un inicialmente la función de contenido en paquetes},muy fuerte compromiso. auditoría informática para bolsos o carteras que seDijimos antes que la revisar la seguridad, aunque introducen o salen de losauditoría debía velar no después se hayan ido edificios; visitas, clientes,sólo por los activos de la ampliando los objetivos. proveedores, contratados;empresa sino además por su Cada día es mayor la protección de los soportescapacidad competitiva. importancia de la magnéticos en cuanto aCuidar de esto último información, especialmente acceso, almacenamiento ysignifica difundir, apoyar y relacionada con sistemas transporte.controlar las nuevas y basados en el uso de Control de accesosbuenas prácticas. Así, tecnología de información y adecuado. Tanto físicoshaciendo uso del comunicaciones, por lo que como lógicos, que sebenchmarking puede el impacto de las fallas, los realicen sólo lasverificar y promover las accesos no autorizados, la operaciones permitidas almejores prácticas para el revelación de la usuario: lectura, variación,mantenimiento de la más información, entre otros ejecución, borrado y copia,alta competitividad. Ser problemas, tienen un y quedando las pistascompetitivo es continuar en necesarias para el control y 14
  15. 15. la auditoría. Uso de evaluarlos hay quecontraseñas, cifrado de las considerar el tipo demismas, situaciones de información almacenada, UNIDAD VI Informe de labloqueo. procesada y transmitida, la auditoria informática. Protección de datos. Origen criticidad de lasdel dato, proceso, salida de operaciones, la tecnología 6.1 Generalidades de lalos datos. usada, el marco legal seguridad del área física. Comunicaciones y redes. aplicable, el sector de laTopología y tipo de entidad, la entidad misma y Es muy importante sercomunicaciones, posible el momento. Los riesgos consciente que por más queuso de cifrado, protecciones pueden disminuirse nuestra empresa sea la másante virus. Tipos de (generalmente no pueden segura desde el punto detransacciones. Protección de eliminarse), transferirse o vista de ataques externos,conversaciones de voz en asumirse. Hackers, virus, etc.caso necesario, protección (conceptos luego tratados);de transmisiones por fax 5.4 Técnicas y la seguridad de la mismapara contenidos herramientas de auditoría será nula si no se haclasificados. Internet e relacionadas con la previsto como combatir unIntranet, correo electrónico, seguridad en la incendio.control sobre páginas web, teleinformática.así como el comercio La seguridad física es unoelectrónico. Introducir al estudiante en de los aspectos más El entorno de producción. los aspectos técnicos, olvidados a la hora delCumplimiento de contratos, funcionales y diseño de un sistemaoutsourcing. organizacionales que informático. Si bien algunos El desarrollo de componen la problemática de los aspectos tratados aaplicaciones en un entorno de seguridad en las redes continuación se prevén,seguro, y que se incorporen teleinformáticas, ilustrando otros, como la detección decontroles en los productos las operaciones, técnicas y un atacante interno a ladesarrollados y que éstos herramientas más usuales empresa que intenta aresulten auditables. Con el para garantizar privacidad, acceder físicamente a unauso de licencias (de los autenticación y seguridad. sala de operaciones de laprogramas utilizados). misma, no. La continuidad de las Introducción General a laoperaciones. Planes de Seguridad en Redes Esto puede derivar en quecontingencia o de para un atacante sea másContinuidad. . Definiciones fácil lograr tomar y copiar . Generalidades una cinta de la sala, queNo se trata de áreas no . Intrusos intentar acceder vía lógica arelacionadas, sino que casi . Amenazas la misma.todas tienen puntos de . Ataquesenlace comunes: Así, la Seguridad Físicacomunicaciones con control Planeación de la Seguridad consiste en la “aplicaciónde accesos, cifrado con de barreras físicas ycomunicaciones, etc. . Análisis del sistema actual procedimientos de control, . Análisis de riesgos como medidas deEvaluación de riesgos . Definición de políticas de prevención y contramedidas seguridad ante amenazas a losSe trata de identificar . Implantación de la recursos e informaciónriesgos, cuantificar su seguridad confidencial”(1). Se refiereprobabilidad e impacto y a los controles yanalizar medidas que los Servicios de Seguridad mecanismos de seguridadeliminen o que disminuyan dentro y alrededor della probabilidad de que . Modelo OSI para Centro de Cómputo asíocurran los hechos o arquitecturas de Seguridad como los medios de accesomitiguen el impacto. Para . Modelo TCP/IP remoto al y desde el mismo; 15
  16. 16. implementados para también, si dichas cuentas incluye información proteger el hardware y han sido elaboradas suficiente sobre medios de almacenamiento teniendo en cuenta el Observaciones, de datos. principio contable de Conclusiones de hechos uniformidad. significativos, así como 6.2 Características del Recomendaciones informe.  Asimismo, expresa si las constructivos para superar cuentas anuales reflejan, en las debilidades en cuanto a Objetivos, características y todos los aspectos políticas, procedimientos, afirmaciones que contiene significativos, la imagen cumplimiento de el informe de auditoría fiel del patrimonio, de la actividades y otras. situación financiera, de los El informe de auditoría resultados y de los recursos Importancia financiera tiene como obtenidos y aplicados. El Informe de Auditoría, objetivo expresar una reviste gran Importancia, opinión técnica de las  Se opina también sobre la porque suministra a la cuentas anuales en los concordancia de la administración de la aspectos significativos o información contable del empresa, información importantes, sobre si éstas informe de gestión con la sustancial sobre su proceso muestran la imagen fiel del contenida en las cuentas administrativo, como una patrimonio, de la situación anuales. forma de contribuir al financiera y del resultado de cumplimiento de sus metas sus operaciones, así como  En su caso, explica las y objetivos programados. de los recursos obtenidos y desviaciones que presentan aplicados durante el los estados financieros con El Informe a través de sus ejercicio. respecto a unos estándares observaciones, conclusiones preestablecidos. y recomendaciones, Características del informe constituye el mejor medio de auditoría:  Podemos sintetizar que el para que las organizaciones informe es una presentación puedan apreciar la forma 1. Es un documento pública, resumida y por como están operando. En mercantil o público. escrito del trabajo realizado algunas oportunidades por los auditores y de su puede ocurrir que, debido a 2. Muestra el alcance del opinión sobre las cuentas un descuido en su trabajo. anuales. preparación, se pierde la oportunidad de hacer 3. Contiene la opinión del 6.3 Estructura del informe. conocer a la empresa lo que auditor. realmente desea o necesita Concluido el Trabajo de conocer para optimizar su 4. Se realiza conforme a un Campo, el auditor tendrá administración, a pesar de marco legal. como responsabilidad la que se haya emitido un confección del voluminoso informe, pero Principales afirmaciones Informe de Auditoría como inadvertidamente puede que contiene el informe: un producto final de este estar falto de sustentación y trabajo. El informe fundamento adecuado; en Indica el alcance del trabajo contendrá el mensaje del consecuencia su contenido y si ha sido posible llevarlo Auditor sobre lo que ha puede ser pobre; con esto a cabo y de acuerdo con qué hecho y como lo ha queremos hacer resaltar el normas de auditoría. realizado, así como los hecho de que, el Informe resultados obtenidos. debe comunicar Expresa si las cuentas información útil para anuales contienen la Concepto promover la toma de información necesaria y Es el documento emitido decisiones. suficiente y han sido por el Auditor como Lamentablemente esto no se formuladas de acuerdo con resultado final de su logrará si el informe revela la legislación vigente y, examen y/o evaluación, pobreza de expresión y no 16
  17. 17. se aportan comentarios consecuencia, para que el referencia a lo anotado enconstructivos. informe logre su objetivo de los cuadros de resultados. informar o comunicar al • El informe técnico finalRedacción del Informe cliente, el Auditor: deberá presentarse enLa Redacción se efectuará versión impresa yen forma corriente a fin de . Evitará el uso de un magnética (CD o disquete).que su contenido sea lenguaje técnico, florido ocomprensible al lector, vago. I. CONTENIDO DELevitando en lo posible el . Evitará ser muy breve. INFORME TÉCNICOuso de terminología muy . Evitará incluir muchoespecializada; evitando detalle. 1. Título y código delpárrafos largos y . Utilizará palabras simples, proyectocomplicados, así como familiares al lector, es decir, 2. Nombre del investigadorexpresiones grandilocuentes escribirá en el idioma que el principal y de la Facultad,y confusas. lector entiende. Centro o Instituto al que perteneceLa Redacción del Informe 3. Fecha de entrega deldebe merecer mucha 6.4 Formato para el Informeatención cuidado de parte informe. 4. Sinopsis divulgativa: Condel auditor para que tenga la el propósito de promover laacogida y aceptación que El formato para informes divulgación de laslos empresarios esperan de finales está enfocado a actividades investigativasél, en este sentido el apoyar y facilitar el proceso que adelanta la Sede BogotáInforme debe: de evaluación de los y para dar mayor difusión a resultados de los proyectos los proyectos, deben incluir. Despertar o motivar financiados por la sede un resumen de una cuartillainterés. Bogotá, con respecto a los que servirá de base para la. Convencer mediante compromisos adquiridos en elaboración de notasinformación sencilla, veraz el proyecto aprobado. académicas dirigidas a losy objetiva. Además de reportar sobre el medios de comunicación de cumplimiento de los la Universidad.2. Requisitos del informe objetivos y el impacto 5. Resumen técnico de los logrado a partir del uso y resultados obtenidosClaridad y simplicidad. obtención de los resultados durante la realización delLa Claridad y Simplicidad, esperados y de las proyecto y de lassignifican introducir sin actividades de investigación principales conclusionesmayor dificultad en la científica. (máximo cinco páginas).mente del lector del 6. Cuadro de resultadosinforme, lo que el Auditor • Los informes finales obtenidos: De acuerdo a losha escrito o pensó escribir. técnico y financiero, deben objetivos y resultadosA veces lo que ocasiona la ser entregados a la esperados planteados en eldeficiencia de claridad y Dirección de proyecto aprobado,simplicidad del informe es Investigación de la sede, al relacione los resultadosprecisamente la falta de finalizar el periodo de obtenidos durante laclaridad en los conceptos ejecución del proyecto. realización del proyecto, losque el Auditor tiene en • El informe debe ser cuales deben estarmente, es decir, no hay una aprobado previamente por soportados por suscabal comprensión de lo el respectivo Consejo respectivos indicadoresque realmente quiere Directivo de cada verificables: publicaciones,comunicar, asimismo Facultad, Centro o Instituto. patentes, registros, normas,cuando el Informe está falto • El informe debe contener certificaciones, memorias,de claridad, puede dar lugar un índice. Cada página del formación de recursoa una doble interpretación, informe debe estar humano, capacitación,ocasionando de este modo numerada. organización y/oque, se torne inútil y pierda • Cada anexo debe estar participación en eventossu utilidad. En numerado haciendo científicos, etc., estos deben 17
  18. 18. numerarse y adjuntarsecomo anexos del informe(ver cuadro No. 1).7. Descripción del impactoactual o potencial de losresultados: En términos degeneración de nuevoconocimiento a nivelmundial, de aporte para eldesarrollo del país, decontribución a la soluciónde problemas específicos,de fortalecimiento de lacapacidad científica, y defortalecimiento de lainvestigación y creación enla Sede Bogotá (máximodos páginas).8. Conclusiones. 18

×