1. Contenido del Curso: Administración de la función informática
UNIDAD I
Introducción a la auditoria informática.
Conceptos de auditoría y auditoria Informática.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Auditar consiste - Servicios de Entrega y controles subyacentes y los
principalmente en estudiar Soporte registros de contabilidad de
los mecanismos de control - Protección y Seguridad una empresa realizada por
que están implantados en - Planes de continuidad y un contador público.
una empresa u Recuperación de desastres Auditoria de operaciones:
organización, determinando Se define como una técnica
si los mismos son 1.2 Tipos de auditoría. para evaluar
adecuados y cumplen unos sistemáticamente de una
determinados objetivos o Auditoría contable (de función o una unidad con
estrategias, estableciendo estados financieros) – no es referencia a normas de la
los cambios que se interés del curso. empresa, utilizando
deberían realizar para la Auditoría interna. La lleva a personal no especializado
consecución de los mismos. cabo un departamento en el área de estudio.
dentro de la organización y Auditoría fiscal: Consiste
Los objetivos de la auditoría existe una relación laboral. en verificar el correcto y
Informática son: Auditoría externa. No existe oportuno pago de los
* El control de la función relación laboral y la hacen diferentes impuestos y
informática personas externas al obligaciones fiscales de los
* El análisis de la negocio para que los contribuyentes desde el
eficiencia de los Sistemas resultados que nos arroje punto de vista físico
Informáticos sean imparciales como (SHCP), direcciones o
* La verificación del pueden ser las firmas de tesorerías de hacienda
cumplimiento de la contadores o estatales o tesorerías
Normativa en este ámbito administradores municipales.
* La revisión de la eficaz independientes. Auditoria de resultados de
gestión de los recursos Auditoria administrativa. programas: Esta auditoría la
informáticos. (William. P Leonard) es un eficacia y congruencia
examen completo y alcanzadas en el logro de
La auditoría informática constructivo de la los objetivos y las metas
sirve para mejorar ciertas estructura organizativa de la establecidas.
características en la empresa, institución o Auditoria de legalidad: Este
empresa como: departamento tipo de auditoría tiene como
- Eficiencia gubernamental o de finalidad revisar si la
- Eficacia cualquier otra entidad y de dependencia o entidad, en
- Rentabilidad sus métodos de control, el desarrollo de sus
- Seguridad medios de operación y actividades.
empleo que dé a sus Auditoría integral: Es un
Generalmente se puede recursos humanos y examen que proporciona
desarrollar en alguna o materiales. una evaluación objetiva y
combinación de las Auditoria gubernamental. constructiva acerca del
siguientes áreas: grado en que los recursos
Auditoría Financiera:
- Gobierno corporativo humanos, financieros y
Consiste en una revisión
- Administración del Ciclo materiales.
exploratoria y critica de los
de vida de los sistemas
2. 1.3 Campo de la auditoria control de las operaciones
1.2.1 Auditoría interna y informática. con el objeto de asegurar la
externa. protección de todos los
Algunos campos de recursos informáticos y
La Auditoría Externa aplicación de la informática mejorar los índices de
examina y evalúa son las siguientes: economía, eficiencia y
cualquiera de los sistemas efectividad de los procesos
de información de una Investigación científica y operativos automatizados.
organización y emite una humanística: Se usan la las
opinión independiente sobre computadoras para la También se puede definir
los mismos, pero las resolución de cálculos el Control Interno como
empresas generalmente matemáticos, recuentos cualquier actividad o acción
requieren de la evaluación numéricos, etc. realizada manual y/o
de su sistema de Aplicaciones técnicas: Usa automáticamente para
información financiero en la computadora para prevenir, corregir errores o
forma independiente para facilitar diseños de irregularidades que puedan
otorgarle validez ante los ingeniería y de productos afectar al funcionamiento
usuarios del producto de comerciales, trazado de de un sistema para
este, por lo cual planos, etc. conseguir sus objetivos.
tradicionalmente se ha Documentación e
asociado el término información: Es uno de los 1.5 Modelos de control
Auditoría Externa a campos más importantes utilizados en auditoria
Auditoría de Estados para la utilización de informática.
Financieros, lo cual como computadoras. Estas se
se observa no es totalmente usan para el El COBIT es precisamente
equivalente, pues puede almacenamiento de grandes un modelo para auditar la
existir. Auditoría Externa cantidades de datos y la gestión y control de los
del Sistema de Información recuperación controlada de sistemas de información y
Tributario, Auditoría los mismos en bases de tecnología, orientado a
Externa del Sistema de datos. todos los sectores de una
Información Gestión administrativa: organización, es decir,
Administrativo, Auditoría Automatiza las funciones de administradores IT,
Externa del Sistema de gestión típicas de una usuarios y por supuesto, los
Información Automático empresa. auditores involucrados en el
etc. Inteligencia artificial: Las proceso.
computadoras se programan
La auditoría Interna es el de forma que emulen el Las siglas COBIT
examen crítico, sistemático comportamiento de la significan Objetivos de
y detallado de un sistema de mente humana. Los Control para Tecnología de
información de una unidad programas responden como Información y Tecnologías
económica, realizado por un previsiblemente lo haría una relacionadas (Control
profesional con vínculos persona inteligente. Objetives
laborales con la misma, Instrumentación y control: forInformationSystems and
utilizando técnicas Instrumentación relatedTechnology). El
determinadas y con el electrónica, electro modelo es el resultado de
objeto de emitir informes y medicina, robots una investigación con
formular sugerencias para industriales, entre otros. expertos de varios países,
el mejoramiento de la desarrollado por ISACA
misma. Estos informes son 1.4 Control interno. (InformationSystemsAudit
de circulación interna y no and Control Association).
tienen trascendencia a los El Control Interno
terceros pues no se Informático puede definirse La estructura del modelo
producen bajo la figura de como el sistema integrado COBIT propone un marco
la Fe Pública. al proceso administrativo, de acción donde se evalúan
en la planeación, los criterios de información,
organización, dirección y como por ejemplo la
2
3. seguridad y calidad, se toda la empresa, incluyendo “Cualquier tipo de empresa
auditan los recursos que los computadores puede adoptar una
comprenden la tecnología personales y las redes. Está metodología COBIT, como
de información, como por basado en la filosofía de parte de un proceso de
ejemplo el recurso humano, que los recursos TI reingeniería en aras de
instalaciones, sistemas, necesitan ser administrados reducir los índices de
entre otros, y finalmente se por un conjunto de procesos incertidumbre sobre
realiza una evaluación sobre naturalmente agrupados vulnerabilidades y riesgos
los procesos involucrados para proveer la información de los recursos IT y
en la organización. pertinente y confiable que consecuentemente, sobre la
requiere una organización posibilidad de evaluar el
El COBIT es un modelo de para lograr sus objetivos. logro de los objetivos del
evaluación y monitoreo que negocio apalancado en
enfatiza en el control de El conjunto de lineamientos procesos tecnológicos”,
negocios y la seguridad IT y y estándares internacionales finalizó el informe de
que abarca controles conocidos como COBIT, ETEK.
específicos de IT desde una define un marco de
perspectiva de negocios. referencia que clasifica los 1.6 Principios aplicados a
“La adecuada procesos de las unidades de los auditores informáticos.
implementación de un tecnología de información
modelo COBIT en una de las organizaciones en El auditor deberá ver cómo
organización, provee una cuatro “dominios” se puede conseguir la
herramienta automatizada, principales, a saber: máxima eficacia y
para evaluar de manera ágil -Planificación y rentabilidad de los medios
y consistente el organización informáticos de la empresa
cumplimiento de los -Adquisición e auditada, estando obligado
objetivos de control y implantación a presentar
controles detallados, que -Soporte y Servicios recomendaciones acerca del
aseguran que los procesos y - Monitoreo reforzamiento del sistema y
recursos de información y el estudio de las soluciones
tecnología contribuyen al Estos dominios agrupan más idóneas según los
logro de los objetivos del objetivos de control de alto problemas detectados en el
negocio en un mercado nivel, que cubren tanto los sistema informático de esta
cada vez más exigente, aspectos de información, última. En ningún caso está
complejo y diversificado”, como de la tecnología que justificado que realice su
señaló un informe de la respalda. Estos dominios trabajo el prisma del propio
ETEK. y objetivos de control beneficio. Cualquiera
facilitan que la generación y actitud que se anteponga
COBIT, lanzado en 1996, procesamiento de la intereses personales del
es una herramienta de información cumplan con auditor a los del auditado
gobierno de TI que ha las características de deberá considerarse como
cambiado la forma en que efectividad, eficiencia, no ética. Para garantizar el
trabajan los profesionales confidencialidad, beneficio del auditado como
de tecnología. Vinculando integridad, disponibilidad, la necesaria independencia
tecnología informática y cumplimiento y del auditor, este último
prácticas de control, el confiabilidad. deberá evitar estar ligado en
modelo COBIT consolida y cualquier forma, a intereses
armoniza estándares de Asimismo, se deben tomar de determinadas marcas,
fuentes globales en cuenta los recursos que productos o equipos
prominentes en un recurso proporciona la tecnología compatibles con los de su
crítico para la gerencia, los de información, tales como: cliente. La adaptación del
profesionales de control y datos, aplicaciones, auditor al sistema del
los auditores. plataformas tecnológicas, auditado debe implicar una
instalaciones y recurso cierta simbiosis con el
COBIT se aplica a los humano. mismo, a fin de adquirir un
sistemas de información de conocimiento
3
4. pormenorizado de sus UNIDAD II Planeación de sustanciosas), herramientas
características intrínsecas. la auditoria Informática. y conocimientos previos,
Únicamente en los casos en así como de crear su equipo
el que el auditor dedujese la 2.1 Fases de la auditoria. de auditores expertos en la
imposibilidad de que el materia con el fin de evitar
sistema pudiera acomodarse Fase I: Conocimientos del tiempos muertos a la hora
a las exigencias propias de Sistema de iniciar la auditoria.
su cometido, este podrá Fase II: Análisis de
proponer un cambio transacciones y recursos Es de tomarse en cuenta que
cualitativamente Fase III: Análisis de riesgos el propietario de dicha
significativo de y amenazas empresa, ordena una
determinados elementos o Fase IV: Análisis de auditoria cuando siente que
del propio sistema controles un área tiene una falla o
informático globalmente Fase V: Evaluación de simplemente no trabaja
contemplado. Una vez Controles productivamente como se
estudiado el sistema Fase VI: El Informe de sugiere, por esta razón
informático a auditar, el auditoria habrá puntos claves que se
auditor deberá establecer Fase VII: Seguimiento de nos instruya sean revisados,
los requisitos mínimos, las Recomendaciones hay que recordar que las
aconsejables y óptimos para auditorias parten desde un
su adecuación a la finalidad 2.1.1 Planeación. ámbito administrativo y no
para la que ha sido solo desde la parte
diseñado. El auditor deberá Para hacer una adecuada tecnológica, porque al fin
lógicamente abstenerse de planeación de la auditoría de cuentas hablamos de
recomendar actuaciones en informática, hay que tiempo y costo de
innecesariamente onerosas, seguir una serie de pasos producción, ejercicio de
dañinas o que generen previos que permitirán ventas, etc. Es decir, todo
riesgos injustificados para dimensionar el tamaño y aquello que representa un
el auditado. Una de las características de área gasto para la empresa.
cuestiones más dentro del organismo a
controvertidas, respecto de auditar, sus sistemas, 2.1.3 Revisión detallada.
la aplicación de este organización y equipo. En
principio, es la referente a el caso de la auditoría en Los objetos de la fase
facilitar el derecho de las informática, la planeación detallada son los de obtener
organizaciones auditadas a es fundamental, pues habrá la información necesaria
la libre elección del auditor. que hacerla desde el punto para que el auditor tenga un
Si el auditado decidiera de vista de los dos profundo entendimiento de
encomendar posteriores objetivos: los controles usados dentro
auditorías a otros del área de informática.
profesionales, éstos • Evaluación de los sistemas
deberías poder tener acceso y procedimientos. El auditor debe de decidir
a los informes de los • Evaluación de los equipos se debe continuar
trabajos profesionales, éstos de cómputo. elaborando pruebas de
deberían poder tener acceso consentimiento, con la
a los informes de los 2.1.2 Revisión preliminar. esperanza de obtener mayor
trabajos anteriormente confianza por medio del
realizados sobre el sistema En esta fase el auditor debe sistema de control interno, o
del auditado. de armarse de un proceder directamente a
conocimiento amplio del revisión con los usuarios
del grado de cobertura que área que va a auditar, los (pruebas compensatorias) o
dan las aplicaciones a las objetivos que debe cumplir, a las pruebas sustantivas.
necesidades estratégicas y tiempos (una empresa no
operativas de información pude dejar sus equipos y 2.1.4 Examen y evaluación
de la empresa. personal que lo opera sin de la información.
trabajar porque esto le
genera pérdidas
4
5. Periodo en el que se hemos de conjugar ambos a Una Librería de Áreas y una
desarrollan las pruebas y su fin de realizar un análisis e Librería de Pruebas pueden
extensión identificar los puntos también ser mantenida para
fuertes y débiles del proveer Áreas y Pruebas
Los auditores sistema. Standard para su selección
independientes podrán en cada auditoria.
realizar las pruebas de En esa labor de
cumplimiento durante el identificación, influye Las Áreas de Auditoria
periodo preliminar. primordialmente la estructuran sus pruebas en
habilidad para entender el programas de trabajo
Cuando éste sea el caso, la sistema y comprender los lógicos y pueden usarse
aplicación de tales pruebas puntos fuertes y débiles de para capturar información
a todo el periodo restante su control interno. relacionada con los
puede no ser necesaria, objetivos de cada programa
dependiendo La conjugación de ambas de trabajo.
fundamentalmente del nos dará el nivel de
resultado de estas pruebas confianza de los controles 2.1.6 Pruebas sustantivas.
en el periodo preliminar así que operan en la empresa, y
como de la evidencia del será preciso determinar si El objetivo de las pruebas
cumplimiento, dentro del los errores tienen una sustantivas es obtener
periodo restante, que puede repercusión directa en los evidencia suficiente que
obtenerse de las pruebas estados financieros, o si los permita al auditor emitir su
sustantivas realizadas por el puntos fuertes del control juicio en las conclusiones
auditor independiente. eliminarían el error. acerca de cuándo pueden
ocurrir pérdidas materiales
La determinación de la 2.1.5 Pruebas de controles durante el proceso de la
extensión de las pruebas de de usuario. información.
cumplimento se realizará
sobre bases estadísticas o En una auditoria existen los Se pueden identificar 8
sobre bases subjetivas. El siguientes módulos para diferentes pruebas
muestreo estadístico es, en ayudarle a planificar y sustantivas:
principio, el medio idóneo ejecutar pruebas:
para expresar en términos 1 pruebas para identificar
cuantitativos el juicio del Aéreas de Auditoria errores en el procesamiento
auditor respecto a la Registro de Riesgos y o de falta de seguridad o
razonabilidad, Controles confidencialidad.
determinando la extensión Plan de Pruebas 2 prueba para asegurar la
de las pruebas y evaluando Realizar pruebas calidad de los datos.
su resultado. Permite especificar la 3 pruebas para identificar la
estructura bajo la cual se inconsistencia de datos.
Cuando se utilicen bases agruparan las pruebas. 4 prueba para comparar con
subjetivas se deberá dejar Permite planificar y ejecutar los datos o contadores
constancia en los papeles de pruebas relacionadas con físicos.
trabajo de las razones que los riesgos y controles 5 confirmaciones de datos
han conducido a tal definidos para esta con fuentes externas
elección, justificando los auditoría. 6 pruebas para confirmar la
criterios y bases de Permite agregar, editar y adecuada comunicación.
selección. borrar pruebas con 7 prueba para determinar
independencia del Registro falta de seguridad.
Evaluación del control de Riesgos y Controles. 8 pruebas para determinar
interno Permite registrar el problemas de legalidad.
resultado y el status de cada
Realizados los cuestionarios prueba (completadas, 2.2 Evaluación de los
y representado gráficamente revisadas o aprobadas). sistemas de acuerdo al
el sistema de acuerdo con riesgo.
los procedimientos vistos,
5
6. Riesgo contar con un equipo sino también el del usuario
seleccionado y con ciertas del sistema.
Proximidad o posibilidad de características que puedan
un daño, peligro, etc. ayudar a llevar la auditoria UNIDAD III Auditoria de
de manera correcta y en el la función informática.
Cada uno de los tiempo estimado.
imprevistos, hechos 3.1 Recopilación de la
desafortunados, etc., que Aquí no se verá el número información organizacional.
puede cubrir un seguro. de persona que deberán
participar, ya que esto Para que un proceso de
Sinónimos: amenaza, depende de las dimensiones D.O. tenga éxito debe
contingencia, emergencia, de la organización, de los comenzar por obtener un
urgencia, apuro. sistemas y de los equipos, diagnostico con
lo que se deberá considerar información verdadera y a
Seguridad son exactamente las tiempo de lo que sucede en
características que debe la organización bajo
Cualidad o estado de seguro cumplir cada uno del análisis, esta obtención de
personal que habrá de la información debe ser
Garantía o conjunto de participar en la auditoria. planeada en forma
garantías que se da a estructurada para garantizar
alguien sobre el Uno de los esquemas una generación de datos que
cumplimiento de algo. generalmente aceptados ayuden posteriormente su
para tener un adecuado análisis. Es un ciclo
Ejemplo: Seguridad Social control es que el personal continuo en el cual se
Conjunto de organismos, que intervenga esté planea la recolección de
medios, medidas, etc., de la debidamente capacitado, datos, se analiza, se
administración estatal para que tenga un alto sentido de retroalimentan y se da un
prevenir o remediar los moralidad, al cual se le seguimiento.
posibles riesgos, problemas exija la optimización de
y necesidades de los recursos (eficiencia) y se le La recolección de datos
trabajadores, como retribuya o compense puede darse de varias
enfermedad, accidentes justamente por su trabajo. maneras:
laborales, incapacidad,
maternidad o jubilación; se Con estas bases debemos • Cuestionarios
financia con aportaciones considerar los • Entrevistas
del Estado, trabajadores y conocimientos, la práctica • Observación
empresarios. profesional y la • Información documental
capacitación que debe tener (archivo)
Se dice también de todos el personal que intervendrá
aquellos objetos, en la auditoria. Toda la información tiene
dispositivos, medidas, etc., un valor en sí misma, el
que contribuyen a hacer También se deben contar método de obtención de
más seguro el con personas asignadas por información está
funcionamiento o el uso de los usuarios para que en el directamente ligado a la
una cosa: cierre de momento que se solicite disponibilidad, dificultad y
seguridad, cinturón de información, o bien se costo. Existen ventajas y
seguridad. efectúe alguna entrevista de desventajas en el uso de
comprobación de hipótesis, cada una de estas
2.4 Personal participante. nos proporcionen aquello herramientas, su utilidad
que se está solicitando, y dependerá del objetivo que
Una de las partes más complementen el grupo se busque y los medios para
importantes en la multidisciplinario, ya que llevar a cabo esa
planeación de la auditoría debemos analizar no sólo el recolección de datos en
en informática es el punto de vista de la tiempo y forma para su
personal que deberá dirección de informática, posterior análisis.
participar, ya que se debe
6
7. 3.2 Evaluación de los El entrevistador te dará la
recursos humanos La entrevista es uno de los iniciativa a ti, y deberás
eslabones finales para desenvolverte por tu cuenta.
La auditoría de recursos conseguir la posición El entrevistador podría
humanos puede definirse deseada. Desde el otro lado empezar con la pregunta:
como el análisis de las del mostrador y habiendo “Háblame de ti”, y luego
políticas y prácticas de entrevistado a 5.000 seguir con preguntas
personal de una empresa y profesionales en sistemas generales, que surgen en
la evaluación de su entre nuestro equipo de función del desarrollo de la
funcionamiento actual, selectores, te dejamos conversación.
seguida de sugerencias para valiosos consejos en esta
mejorar. El propósito nota. Lo más aconsejable es
principal de la auditoria de empezar siguiendo el guión
recursos humanos es Es un diálogo directo entre de tu historial profesional.
mostrar cómo está el entrevistador y También puedes preguntar
funcionado el programa, entrevistado. El si está interesado en
localizando prácticas y entrevistador dirige la conocer algo en particular.
condiciones que son conversación e intenta Aprovecha para llevar la
perjudiciales para la obtener la máxima conversación a los puntos
empresa o que no están información posible del fuertes que deseas destacar
justificando su costo, o candidato. en relación con el puesto
prácticas y condiciones que ofertado.
deben incrementarse. Te preguntará por tu
currículum, experiencias, Semi-estructurada (mixta)
La auditoría es un sistema habilidades, aficiones e
de revisión y control para intentará ponerte en Es una combinación de las
informar a la administración situaciones reales para dos anteriores. El
sobre la eficiencia y la estudiar tus reacciones. En entrevistador utilizará
eficacia del programa que ocasiones puede haber más preguntas directas para
lleva a cabo. de un entrevistador, con el conseguir informaciones
fin de tener más de un precisas sobre ti, y
El sistema de punto de vista a la hora de preguntas indirectas para
administración de recursos elegir el candidato final. sondearte respecto a tus
humanos necesita patrones motivaciones. Intenta seguir
capaces de permitir una Modalidades de la un orden discursivo, sé
continua evaluación y Entrevista Personal conciso e intenta relacionar
control sistemático de su tus respuestas y
funcionamiento. Estructurada (dirigida) comentarios con las
exigencias del puesto al que
Patrón en in criterio o un El entrevistador dirige la optas.
modelo que se establece conversación y hace las
previamente para permitir la preguntas al candidato 3.4 Situación presupuestal
comparación con los siguiendo un cuestionario o y financiera.
resultados o con los guión. El entrevistador
objetivos alcanzados. Por formulará las mismas El estudio y evaluación del
medio de la comparación preguntas a todos los control interno deberá
con el patrón pueden candidatos. efectuarse conforme a lo
evaluarse los resultados dispuesto en el boletín 3050
obtenidos y verificar que Se recomienda contestar a “Estudio y Evaluación del
ajustes y correcciones las preguntas aportando Control Interno”, emitido
deben realizarse en el aquella información que se por la Comisión de Normas
sistema, con el fin de que pide, con claridad y y Procedimientos de
funcione mejor. brevedad. Auditoría del Instituto
Mexicano de Contadores
3.3 Entrevistas con el No estructurada (libre) Públicos, A.C., éste servirá
personal de informática. de base para determinar el
7
8. grado de confianza que se olvidados a la hora del
depositará en él y le permita a. Existencia de un diseño de un sistema
determinar la naturaleza, presupuesto anual Informático. Si bien
alcance y oportunidad, que autorizado algunos de los aspectos
va a dar a los b. Existencia e políticas, tratados a continuación se
procedimientos de bases y lineamientos prevén, otros, como la
auditoría, por lo que el presupuestarios detección de un atacante
auditor para el c. Existencia de un sistema interno a la empresa que
cumplimiento de los de registro presupuestario intenta a acceder
objetivos deberá considerar d. Existencia de un físicamente a una sala de
lo siguiente: procedimiento de operaciones de la misma,
autorizaciones no.
- Existencia de factores que e. Procedimientos de
aseguren un ambiente de registro, control y reporte Esto puede derivar en que
control presupuestario para un atacante sea más
- Existencia de riesgo en la fácil lograr tomar y copiar
información financiera Obtener el estado analítico una cinta de la sala, que
de recursos presupuestarios intentar acceder vía lógica a
Existencia de un sistema y el ejercicio presupuestario la misma.
presupuestal que permita del gasto, tal como lo
identificar, reunir, analizar, establecen los Términos de Así, la Seguridad Física
clasificar, registrar y Referencia para auditorías a consiste en la “aplicación
producir información Órganos de barreras físicas y
cuantitativa de las Desconcentrados y procedimientos de control,
operaciones basadas en Entidades Paraestatales de como medidas de
flujos de efectivo y partidas la SFP, así como el flujo de prevención y contramedidas
devengadas efectivo que detalle el ante amenazas a los
origen y el destino de los recursos e información
- Existencia de egresos (Art.103 de la Ley confidencial” (1). Se refiere
procedimientos relativos a Federal de Presupuesto y a los controles y
autorización, procesamiento Responsabilidad mecanismos de seguridad
y clasificación de Hacendaria) dentro y alrededor del
transacciones, salvaguarda Centro de Cómputo así
física de documentación como los medios de acceso
soporte y de verificación y remoto al y desde el mismo;
evaluación, incluyendo los UNIDAD IV Evaluación de implementados para
aplicables a la actualización la seguridad. proteger el hardware y
de cifras y a los controles medios de almacenamiento
relativos al procesamiento Generalidades de la de datos.
electrónico de datos. - seguridad del área física.
Vigilancia sobre el 4.2 Seguridad lógica y
establecimiento y Es muy importante ser confidencial.
mantenimiento de controles consciente que por más que
internos con objeto de nuestra empresa sea la más La seguridad lógica se
identificar si están operando segura desde el punto de encarga de los controles de
efectivamente y si deben ser vista de ataques externos, acceso que están diseñados
modificados cuando existan Hackers, virus, etc. para salvaguardar la
cambios importantes. (conceptos luego integridad de la información
tratados);la seguridad de la almacenada de una
Para efectos de estudio y misma será nula si no se ha computadora, así como de
evaluación del control previsto como combatir un controlar el mal uso de la
interno en una revisión en incendio. información.
una revisión de estados
presupuestarios, el auditor La seguridad física es uno La seguridad lógica se
deberá considerar los de los aspectos más encarga de controlar y
siguientes aspectos: salvaguardar la información
8
9. generada por los sistemas, conceptos más vitales y Clasificación general de los
por el software de necesarios para cualquier controles
desarrollo y por los organización empresarial,
programas en aplicación. los Sistemas de Información Controles Preventivos
de la empresa.
Identifica individualmente a Son aquellos que reducen la
cada usuario y sus La Informática hoy, está frecuencia con que ocurren
actividades en el sistema, y subsumida en la gestión las causas del riesgo,
restringe el acceso a datos, integral de la empresa, y permitiendo cierto margen
a los programas de uso por eso las normas y de violaciones.
general, de uso específico, estándares propiamente
de las redes y terminales. informáticos deben estar, Ejemplos: Letrero "No
por lo tanto, sometidos a los fumar" para salvaguardar
La falta de seguridad lógica generales de la misma. En las instalaciones
o su violación puede traer consecuencia, las
las siguientes consecuencias organizaciones informáticas Sistemas de claves de
a la organización: forman parte de lo que se ha acceso
denominado el
Cambio de los datos antes o "management" o gestión de Controles detectives
cuando se le da entrada a la la empresa. Cabe aclarar
computadora. que la Informática no Son aquellos que no evitan
Copias de programas y /o gestiona propiamente la que ocurran las causas del
información. empresa, ayuda a la toma de riesgo sino que los detecta
Código oculto en un decisiones, pero no decide luego de ocurridos. Son los
programa por sí misma. Por ende, más importantes para el
Entrada de virus debido a su importancia en auditor. En cierta forma
el funcionamiento de una sirven para evaluar la
Un método eficaz para empresa, existe la Auditoría eficiencia de los controles
proteger sistemas de Informática. preventivos.
computación es el software
de control de acceso. Los El término de Auditoría se Ejemplo: Archivos y
paquetes de control de ha empleado procesos que sirvan como
acceso protegen contra el incorrectamente con pistas de auditoría
acceso no autorizado, pues frecuencia ya que se ha
piden al usuario una considerado como una Procedimientos de
contraseña antes de evaluación cuyo único fin validación
permitirle el acceso a es detectar errores y señalar
información confidencial. fallas. A causa de esto, se Controles Correctivos
Sin embargo, los paquetes ha tomado la frase "Tiene
de control de acceso Auditoría" como sinónimo Ayudan a la investigación y
basados en componentes de que, en dicha entidad, corrección de las causas del
pueden ser eludidos por antes de realizarse la riesgo. La corrección
delincuentes sofisticados en auditoría, ya se habían adecuada puede resultar
computación, por lo que no detectado fallas. difícil e ineficiente, siendo
es conveniente depender de necesaria la implantación de
esos paquetes por si solos El concepto de auditoría es controles defectivos sobre
para tener una seguridad mucho más que esto. Es un los controles correctivos,
adecuada. examen crítico que se debido a que la corrección
realiza con el fin de evaluar de errores es en sí una
4.3 Seguridad personal. la eficacia y eficiencia de actividad altamente
una sección, un organismo, propensa a errores.
A finales del siglo XX, los una entidad, etc.
Sistemas Informáticos se 4.5 Seguridad en los datos
han constituido en las 4.4 Clasificación de los y software de aplicación.
herramientas más poderosas controles de seguridad.
para materializar uno de los
9
10. Este apartado aborda los . Participación de personal arquitectura de la Base de
aspectos asociados al externo. Datos elegida jerárquica,
componente lógico del . Control de calidad. relacional, red, o bien
sistema: programas y datos. . Entornos real y de prueba. orientada a objetos.
Para ello, se distingue entre . Control de cambios.
las medidas para restringir y Debe realizarse una
controlar el acceso a dichos Adquisición de software estimación previa del
recursos, los estándar. volumen necesario para el
procedimientos para almacenamiento de datos
asegurar la fiabilidad del Metodología, basada en distintos aspectos
software (tanto operativo pruebas, condiciones, tales como el número
como de gestión) y los garantías, contratos, mínimo y máximo de
criterios a considerar para capacitación, licencias, registros de cada entidad
garantizar la integridad de derechos, soporte técnico. del modelo de datos y las
la información. predicciones de
Datos. crecimiento.
Control de acceso.
Los datos es decir, la A partir de distintos
Sistemas de identificación, información que se procesa factores como el número de
asignación y cambio de y se obtiene son la parte usuarios que accederá a la
derechos de acceso, control más importante de todo el información, la necesidad
de accesos, restricción de sistema informático y su de compartir información y
terminales, desconexión de razón de ser. Un sistema las estimaciones de
la sesión, limitación de informático existe como tal volumen se deberá elegir el
reintento. desde el momento en que SGBD más adecuado a las
es capaz de tratar y necesidades de la empresa o
Software de base. suministrar información. proyecto en cuestión.
Sin ésta, se reduciría a un
Control de cambios y conjunto de elementos En la fase de diseño de
versiones, control de uso de lógicos sin ninguna utilidad. datos, deben definirse los
programas de utilidad, procedimientos de
control de uso de recursos y En la actualidad la inmensa seguridad, confidencialidad
medición de 'performance'. mayoría de sistemas tienen e integridad que se
la información organizada aplicarán a los datos:
Software de aplicación. en sendas Bases de Datos.
Los criterios que se citan a Procedimientos para
En este apartado se trata continuación hacen recuperar los datos en casos
todo lo concerniente al referencia a la seguridad de de caída del sistema o de
software de aplicación, es los Sistemas de Gestión de corrupción de los archivos.
decir, todo lo relativo a las Bases de Datos (SGBD)
aplicaciones de gestión, que cumplan normas ANSI, Procedimientos para
sean producto de desarrollo si bien muchos de ellos prohibir el acceso no
interno de la empresa o bien pueden ser aplicables a los autorizado a los datos. Para
sean paquetes estándar archivos de datos ello deberán identificarlos.
adquiridos en el mercado. convencionales.
Procedimientos para
Desarrollo de software. Diseño de bases de datos. restringir el acceso no
autorizado a los datos.
. Metodología: existe, se Es importante la utilización Debiendo identificar los
aplica, es satisfactoria. de metodologías de diseño distintos perfiles de usuario
Documentación: existe, esta de datos. El equipo de que accederán a los
actualizada, es accesible. analistas y diseñadores archivos de la aplicación y
. Estándares: se aplican, deben hacer uso de una los subconjuntos de
como y quien lo controla. misma metodología de información que podrán
Involucración del usuario. diseño, la cual debe estar en modificar o consultar.
concordancia con la
10
11. Procedimientos para . Construcción de los importantes. Por ejemplo, la
mantener la consistencia y procedimientos de copia y recepción definitiva de las
corrección de la restauración de datos. máquinas debería estar
información en todo . Construcción de los firmada por los
momento. procedimientos de responsables de
restricción y control de Explotación. Tampoco el
Básicamente existen dos acceso. Existen dos alta de una nueva
niveles de integridad: la de enfoques para este tipo de Aplicación podría
datos, que se refiere al tipo, procedimientos: producirse si no existieran
longitud y rango aceptable los Procedimientos de
en cada caso, y la lógica, Confidencialidad basada en Backup y Recuperación
que hace referencia a las roles, que consiste en la correspondientes.
relaciones que deben existir definición de los perfiles de
entre las tablas y reglas del usuario y las acciones que 3. Los Procedimientos
negocio. les son permitidas (lectura, Específicos Informáticos.
actualización, alta, borrado, Igualmente, se revisara su
Debe designarse un creación/eliminación de existencia en las áreas
Administrador de Datos, ya tablas, modificación de la fundamentales. Así,
que es importante estructura de las tablas). Explotación no debería
centralizar en personas explotar una Aplicación sin
especializadas en el tema 4.6 Controles para evaluar haber exigido a Desarrollo
las tareas de redacción de software de aplicación. la pertinente
normas referentes al gestor documentación. Del mismo
de datos utilizado, Una vez conseguida la modo, deberá comprobarse
definición de estándares y Operatividad de los que los Procedimientos
nomenclatura, diseño de Sistemas, el segundo Específicos no se opongan a
procedimientos de arranque, objetivo de la auditoría es la los Procedimientos
recuperación de datos, verificación de la Generales. En todos los
asesoramiento al personal observancia de las normas casos anteriores, a su vez,
de desarrollo entre algunos teóricamente existentes en deberá verificarse que no
otros aspectos. el departamento de existe contradicción alguna
Informática y su coherencia con la Normativa y los
Creación de bases de datos. con las del resto de la Procedimientos Generales
empresa. Para ello, habrán de la propia empresa, a los
Debe crearse un entorno de de revisarse sucesivamente que la Informática debe
desarrollo con datos de y en este orden: estar sometida.
prueba, de modo que las
actividades del desarrollo 1. Las Normas Generales de 4.7 Controles para prevenir
no interfieran el entorno de la Instalación Informática. crímenes y fraudes
explotación. Los datos de Se realizará una revisión informáticos.
prueba deben estar inicial sin estudiar a fondo
dimensionados de manera las contradicciones que En los años recientes las
que permitan la realización pudieran existir, pero redes de computadoras han
de pruebas de integración registrando las áreas que crecido de manera
con otras aplicaciones, de carezcan de normativa, y asombrosa. Hoy en día, el
rendimiento con volúmenes sobre todo verificando que número de usuarios que se
altos. esta Normativa General . comunican, hacen sus
Informática no está en compras, pagan sus cuentas,
En la fase de creación, contradicción con alguna realizan negocios y hasta
deben desarrollarse los Norma General no consultan con sus médicos
procedimientos de informática de la empresa. online supera los 200
seguridad, confidencialidad millones, comparado con 26
e integridad definidos en la 2. Los Procedimientos millones en 1995.
etapa de diseño: Generales Informáticos. Se
verificará su existencia, al A medida que se va
menos en los sectores más ampliando la Internet,
11
12. asimismo va aumentando el Otros delincuentes de la corto periodo. En caso de
uso indebido de la misma. informática pueden sabotear un desastre, la interrupción
Los denominados las computadoras para prolongada de los servicios
delincuentes cibernéticos se ganarle ventaja económica a de computación puede
pasean a su aire por el sus competidores o llevar a pérdidas financieras
mundo virtual, incurriendo amenazar con daños a los significativas, sobre todo si
en delitos tales como el sistemas con el fin de está implicada la
acceso sin autorización o cometer extorsión. Los responsabilidad de la
"piratería informática", el malhechores manipulan los gerencia de informática. Lo
fraude, el sabotaje datos o las operaciones, ya más grave es que se puede
informático, la trata de sea directamente o mediante perder la credibilidad del
niños con fines los llamados "gusanos" o público o los clientes y,
pornográficos y el acecho. "virus", que pueden como consecuencia, la
paralizar completamente los empresa puede terminar en
Los delincuentes de la sistemas o borrar todos los un fracaso total.
informática son tan diversos datos del disco duro.
como sus delitos; puede Algunos virus dirigidos En un estudio realizado por
tratarse de estudiantes, contra computadoras la Universidad de
terroristas o figuras del elegidas al azar; que Minnesota, se ha
crimen organizado. Estos originalmente pasaron de demostrado que más del
delincuentes pueden pasar una computadora a otra por 60% de las empresas que
desapercibidos a través de medio de disquetes sufren un desastre y que no
las fronteras, ocultarse tras "infectados"; también se tienen un plan de
incontables "enlaces" o están propagando recuperación ya en
simplemente desvanecerse últimamente por las redes, funcionamiento, saldrán del
sin dejar ningún documento con frecuencia camuflados negocio en dos o tres años.
de rastro. Pueden despachar en mensajes electrónicos o Mientras vaya en aumento
directamente las en programas la dependencia de la
comunicaciones o esconder "descargados" de la red. disponibilidad de los
pruebas delictivas en recursos informáticos, este
"paraísos informáticos" - o 4.8 Plan de contingencia, porcentaje seguramente
sea, en países que carecen seguros, procedimientos de crecerá.
de leyes o experiencia para recuperación de desastres.
seguirles la pista -. Por lo tanto, la capacidad
Medida que las empresas se para recuperarse
Según datos recientes del han vuelto cada vez más exitosamente de los efectos
Servicio Secreto de los dependientes de las de un desastre dentro de un
Estados Unidos, se calcula computadoras y las redes periodo predeterminado
que los consumidores para manejar sus debe ser un elemento
pierden unos 500 millones actividades, la crucial en un plan
de dólares al año debido a disponibilidad de los estratégico de seguridad
los piratas que les roban de sistemas informáticos se ha para una organización.
las cuentas online sus vuelto crucial. Actualmente,
números de tarjeta de la mayoría de las empresas 4.9 Técnicas y herramientas
crédito y de llamadas. necesitan un nivel alto de relacionadas con la
Dichos números se pueden disponibilidad y algunas seguridad física y del
vender por jugosas sumas requieren incluso un nivel personal.
de dinero a falsificadores continuo de disponibilidad,
que utilizan programas ya que les resultaría SEGURIDAD FISICA
especiales para codificarlos extremadamente difícil
en bandas magnéticas de funcionar sin los recursos Es todo lo relacionado con
tarjetas bancarias y de informáticos. la seguridad y salvaguarda
crédito, señala el Manual de de los bienes tangibles de
la ONU. Los procedimientos los sistemas
manuales, si es que existen, computacionales de la
sólo serían prácticos por un empresa, tales como el
12
13. hardware, periféricos, y panorama general del tema.
equipos asociados, las Luego mencionamos de Explicaremos claramente la
instalaciones eléctricas, las forma genérica los importancia de la
instalaciones de elementos que integran un teleinformática y su
comunicación y de datos. sistema teleinformática, desarrollo a través de la
desde un simple terminal historia desde el comienzo
Igualmente todo lo hasta una red. ya que es uno de los
relacionado con la factores que ha constituido
seguridad y salvaguarda de Continuamos explicando las y constituye un elemento
las construcciones, el técnicas fundamentales de fundamental para la
mobiliario y equipo de transmisión de datos, para evolución de la humanidad:
oficina, así como la comprender cómo viaja la la comunicación.
protección a los accesos al información de un sistema a
centro de sistematización. otro a través de los circuitos En una comunicación se
de telecomunicación. transmite información
En sí, es todo lo relacionado desde una persona a otra e
con la seguridad, la Las técnicas de intervienen tres elementos:
prevención de riesgos y comunicación se el emisor, que da origen a la
protección de los recursos estructuran en niveles: información, el medio, que
físicos informáticos de la físico, enlace de datos, red, permite la transmisión, y el
empresa. transporte, sesión, receptor, que recibe la
presentación y aplicación. información.
UNIDAD V Auditoria de la
seguridad en la También, mencionamos las La primera comunicación
teleinformática. redes de área local ya que que existió entre los
son muy importantes en lo hombres fue a base de
5.1 Generalidades de la que a la teleinformática signos o gestos que
seguridad en el área de la respecta. expresaban intuitivamente
teleinformática. determinadas
Hicimos inca pié en la red manifestaciones con sentido
En la actualidad tiene una Internet y su protocolo propio. Estos gestos iban
gran trascendencia tanto TCP/IP, y en los conceptos acompañados de sonidos.
técnica como social, lo que básicos sobre
se denomina Programas de Posteriormente, comenzó la
teleinformática: la unión de Comunicación y Gestión de comunicación hablada a
la informática y las Red. través de un determinado
telecomunicaciones. Tanto lenguaje, en el cuál cada
en la vida profesional como Analizamos los servicios de palabra significaba algo y
en las actividades valor añadido como el cada frase tenía un
cotidianas, es habitual el Video tex, Ibercom o La contenido informativo.
uso de expresiones y Telefonía Móvil.
conceptos relacionados con Más tarde, el hombre tubo
la teleinformática. Además, establecimos los necesidad de realizar
últimos desarrollos y las comunicaciones a distancia
Este trabajo se basa en tendencias de la como por ejemplo, entre
conceptos fundamentales teleinformática, desde las personas de dos aldeas
expresados de la manera redes digitales hasta el situadas a cierta distancia
más simple posible, pero a proceso distribuido. pero con visibilidad entre
su vez siendo precisos. ambas, o bien entre un
Por último, manifestamos la barco y la costa. Es aquí
Comenzamos por introducir importancia de la relación donde aparecen las señales
la historia y evolución de que existe entre la de humo, destellos con
lateleinformática y de la teleinformática y la espejos entre innumerables
manera en que fue sociedad, en lo que respecta métodos de comunicación.
desarrollándose, y a su vez, a la educación, la sanidad y
proporcionando un la empresa.
13
14. Con el paso del tiempo y la la lucha por la subsistencia impacto mucho mayor que
evolución tecnológica, la o continuidad de la hace algunos años.
comunicación a distancia empresa.
comenzó a ser cada vez más En la auditoría de otras
importante. Como brillantemente lo áreas pueden también surgir
expresa Fernando Gaziano revisiones solapadas con la
La primera técnica utilizada (Deloitte Chile), "los seguridad; así a la hora de
surgió con la aparición del auditores y los astrónomos revisar el desarrollo se verá
telégrafo y el código morse compartimos plenamente si se realiza en un entorno
que permitieron una idea: el universo se seguro, etc.
comunicaciones a través de expande. Así como después
cables a unas distancias del "bigbang" un universo Los controles directivos.
considerables. de planetas y estrellas Son los fundamentos de la
Posteriormente se comenzó y continúa seguridad: políticas, planes,
desarrolló la técnica que dio expandiéndose, de la misma funciones, objetivos de
origen al teléfono para la forma el mundo del Auditor control, presupuesto, así
comunicación directa de la Interno es cada vez más como si existen sistemas y
voz a larga distancia. Más amplio. Como nunca, métodos de evaluación
tarde la radio y la probablemente hoy se periódica de riesgos.
transmisión de imágenes a enfrenta a uno de los El desarrollo de las
través de la televisión cambios más importantes en políticas. Procedimientos,
habilitaron un gran número su profesión, debiendo posibles estándares, normas
de técnicas y métodos que abordar aspectos y guías.
luego fueron muy relacionados con el Amenazas físicas externas.
importantes a lo que Gobierno Corporativo y los Inundaciones, incendios,
respecta a la comunicación. nuevos riesgos a los que se explosiones, corte de líneas
enfrentan las o suministros, terremotos,
5.2 Objetivos y criterios de organizaciones. terrorismo, huelgas, etc., se
la auditoria en el área de la 5.3 Síntomas de riesgo. considera: la ubicación del
teleinformática. centro de procesos, de los
La Auditoría de la servidores, PCs,
Así ante la continua Seguridad computadoras portátiles
aparición de nuevas (incluso fuera de las
herramientas de gestión, la Para muchos la seguridad oficinas); estructura, diseño,
auditoría interna se ve sigue siendo el área construcción y distribución
compelida a velar entre principal a auditar, hasta el de edificios; amenazas de
otras cosas por la aplicación punto de que en algunas fuego, riesgos por agua, por
y buen uso de las mismas. entidades se creó accidentes atmosféricos;
Ello ciertamente implica un inicialmente la función de contenido en paquetes},
muy fuerte compromiso. auditoría informática para bolsos o carteras que se
Dijimos antes que la revisar la seguridad, aunque introducen o salen de los
auditoría debía velar no después se hayan ido edificios; visitas, clientes,
sólo por los activos de la ampliando los objetivos. proveedores, contratados;
empresa sino además por su Cada día es mayor la protección de los soportes
capacidad competitiva. importancia de la magnéticos en cuanto a
Cuidar de esto último información, especialmente acceso, almacenamiento y
significa difundir, apoyar y relacionada con sistemas transporte.
controlar las nuevas y basados en el uso de Control de accesos
buenas prácticas. Así, tecnología de información y adecuado. Tanto físicos
haciendo uso del comunicaciones, por lo que como lógicos, que se
benchmarking puede el impacto de las fallas, los realicen sólo las
verificar y promover las accesos no autorizados, la operaciones permitidas al
mejores prácticas para el revelación de la usuario: lectura, variación,
mantenimiento de la más información, entre otros ejecución, borrado y copia,
alta competitividad. Ser problemas, tienen un y quedando las pistas
competitivo es continuar en necesarias para el control y
14
15. la auditoría. Uso de evaluarlos hay que
contraseñas, cifrado de las considerar el tipo de
mismas, situaciones de información almacenada, UNIDAD VI Informe de la
bloqueo. procesada y transmitida, la auditoria informática.
Protección de datos. Origen criticidad de las
del dato, proceso, salida de operaciones, la tecnología 6.1 Generalidades de la
los datos. usada, el marco legal seguridad del área física.
Comunicaciones y redes. aplicable, el sector de la
Topología y tipo de entidad, la entidad misma y Es muy importante ser
comunicaciones, posible el momento. Los riesgos consciente que por más que
uso de cifrado, protecciones pueden disminuirse nuestra empresa sea la más
ante virus. Tipos de (generalmente no pueden segura desde el punto de
transacciones. Protección de eliminarse), transferirse o vista de ataques externos,
conversaciones de voz en asumirse. Hackers, virus, etc.
caso necesario, protección (conceptos luego tratados);
de transmisiones por fax 5.4 Técnicas y la seguridad de la misma
para contenidos herramientas de auditoría será nula si no se ha
clasificados. Internet e relacionadas con la previsto como combatir un
Intranet, correo electrónico, seguridad en la incendio.
control sobre páginas web, teleinformática.
así como el comercio La seguridad física es uno
electrónico. Introducir al estudiante en de los aspectos más
El entorno de producción. los aspectos técnicos, olvidados a la hora del
Cumplimiento de contratos, funcionales y diseño de un sistema
outsourcing. organizacionales que informático. Si bien algunos
El desarrollo de componen la problemática de los aspectos tratados a
aplicaciones en un entorno de seguridad en las redes continuación se prevén,
seguro, y que se incorporen teleinformáticas, ilustrando otros, como la detección de
controles en los productos las operaciones, técnicas y un atacante interno a la
desarrollados y que éstos herramientas más usuales empresa que intenta a
resulten auditables. Con el para garantizar privacidad, acceder físicamente a una
uso de licencias (de los autenticación y seguridad. sala de operaciones de la
programas utilizados). misma, no.
La continuidad de las Introducción General a la
operaciones. Planes de Seguridad en Redes Esto puede derivar en que
contingencia o de para un atacante sea más
Continuidad. . Definiciones fácil lograr tomar y copiar
. Generalidades una cinta de la sala, que
No se trata de áreas no . Intrusos intentar acceder vía lógica a
relacionadas, sino que casi . Amenazas la misma.
todas tienen puntos de . Ataques
enlace comunes: Así, la Seguridad Física
comunicaciones con control Planeación de la Seguridad consiste en la “aplicación
de accesos, cifrado con de barreras físicas y
comunicaciones, etc. . Análisis del sistema actual procedimientos de control,
. Análisis de riesgos como medidas de
Evaluación de riesgos . Definición de políticas de prevención y contramedidas
seguridad ante amenazas a los
Se trata de identificar . Implantación de la recursos e información
riesgos, cuantificar su seguridad confidencial”(1). Se refiere
probabilidad e impacto y a los controles y
analizar medidas que los Servicios de Seguridad mecanismos de seguridad
eliminen o que disminuyan dentro y alrededor del
la probabilidad de que . Modelo OSI para Centro de Cómputo así
ocurran los hechos o arquitecturas de Seguridad como los medios de acceso
mitiguen el impacto. Para . Modelo TCP/IP remoto al y desde el mismo;
15
16. implementados para también, si dichas cuentas incluye información
proteger el hardware y han sido elaboradas suficiente sobre
medios de almacenamiento teniendo en cuenta el Observaciones,
de datos. principio contable de Conclusiones de hechos
uniformidad. significativos, así como
6.2 Características del Recomendaciones
informe. Asimismo, expresa si las constructivos para superar
cuentas anuales reflejan, en las debilidades en cuanto a
Objetivos, características y todos los aspectos políticas, procedimientos,
afirmaciones que contiene significativos, la imagen cumplimiento de
el informe de auditoría fiel del patrimonio, de la actividades y otras.
situación financiera, de los
El informe de auditoría resultados y de los recursos Importancia
financiera tiene como obtenidos y aplicados. El Informe de Auditoría,
objetivo expresar una reviste gran Importancia,
opinión técnica de las Se opina también sobre la porque suministra a la
cuentas anuales en los concordancia de la administración de la
aspectos significativos o información contable del empresa, información
importantes, sobre si éstas informe de gestión con la sustancial sobre su proceso
muestran la imagen fiel del contenida en las cuentas administrativo, como una
patrimonio, de la situación anuales. forma de contribuir al
financiera y del resultado de cumplimiento de sus metas
sus operaciones, así como En su caso, explica las y objetivos programados.
de los recursos obtenidos y desviaciones que presentan
aplicados durante el los estados financieros con El Informe a través de sus
ejercicio. respecto a unos estándares observaciones, conclusiones
preestablecidos. y recomendaciones,
Características del informe constituye el mejor medio
de auditoría: Podemos sintetizar que el para que las organizaciones
informe es una presentación puedan apreciar la forma
1. Es un documento pública, resumida y por como están operando. En
mercantil o público. escrito del trabajo realizado algunas oportunidades
por los auditores y de su puede ocurrir que, debido a
2. Muestra el alcance del opinión sobre las cuentas un descuido en su
trabajo. anuales. preparación, se pierde la
oportunidad de hacer
3. Contiene la opinión del 6.3 Estructura del informe. conocer a la empresa lo que
auditor. realmente desea o necesita
Concluido el Trabajo de conocer para optimizar su
4. Se realiza conforme a un Campo, el auditor tendrá administración, a pesar de
marco legal. como responsabilidad la que se haya emitido un
confección del voluminoso informe, pero
Principales afirmaciones Informe de Auditoría como inadvertidamente puede
que contiene el informe: un producto final de este estar falto de sustentación y
trabajo. El informe fundamento adecuado; en
Indica el alcance del trabajo contendrá el mensaje del consecuencia su contenido
y si ha sido posible llevarlo Auditor sobre lo que ha puede ser pobre; con esto
a cabo y de acuerdo con qué hecho y como lo ha queremos hacer resaltar el
normas de auditoría. realizado, así como los hecho de que, el Informe
resultados obtenidos. debe comunicar
Expresa si las cuentas información útil para
anuales contienen la Concepto promover la toma de
información necesaria y Es el documento emitido decisiones.
suficiente y han sido por el Auditor como Lamentablemente esto no se
formuladas de acuerdo con resultado final de su logrará si el informe revela
la legislación vigente y, examen y/o evaluación, pobreza de expresión y no
16
17. se aportan comentarios consecuencia, para que el referencia a lo anotado en
constructivos. informe logre su objetivo de los cuadros de resultados.
informar o comunicar al • El informe técnico final
Redacción del Informe cliente, el Auditor: deberá presentarse en
La Redacción se efectuará versión impresa y
en forma corriente a fin de . Evitará el uso de un magnética (CD o disquete).
que su contenido sea lenguaje técnico, florido o
comprensible al lector, vago. I. CONTENIDO DEL
evitando en lo posible el . Evitará ser muy breve. INFORME TÉCNICO
uso de terminología muy . Evitará incluir mucho
especializada; evitando detalle. 1. Título y código del
párrafos largos y . Utilizará palabras simples, proyecto
complicados, así como familiares al lector, es decir, 2. Nombre del investigador
expresiones grandilocuentes escribirá en el idioma que el principal y de la Facultad,
y confusas. lector entiende. Centro o Instituto al que
pertenece
La Redacción del Informe 3. Fecha de entrega del
debe merecer mucha 6.4 Formato para el Informe
atención cuidado de parte informe. 4. Sinopsis divulgativa: Con
del auditor para que tenga la el propósito de promover la
acogida y aceptación que El formato para informes divulgación de las
los empresarios esperan de finales está enfocado a actividades investigativas
él, en este sentido el apoyar y facilitar el proceso que adelanta la Sede Bogotá
Informe debe: de evaluación de los y para dar mayor difusión a
resultados de los proyectos los proyectos, deben incluir
. Despertar o motivar financiados por la sede un resumen de una cuartilla
interés. Bogotá, con respecto a los que servirá de base para la
. Convencer mediante compromisos adquiridos en elaboración de notas
información sencilla, veraz el proyecto aprobado. académicas dirigidas a los
y objetiva. Además de reportar sobre el medios de comunicación de
cumplimiento de los la Universidad.
2. Requisitos del informe objetivos y el impacto 5. Resumen técnico de los
logrado a partir del uso y resultados obtenidos
Claridad y simplicidad. obtención de los resultados durante la realización del
La Claridad y Simplicidad, esperados y de las proyecto y de las
significan introducir sin actividades de investigación principales conclusiones
mayor dificultad en la científica. (máximo cinco páginas).
mente del lector del 6. Cuadro de resultados
informe, lo que el Auditor • Los informes finales obtenidos: De acuerdo a los
ha escrito o pensó escribir. técnico y financiero, deben objetivos y resultados
A veces lo que ocasiona la ser entregados a la esperados planteados en el
deficiencia de claridad y Dirección de proyecto aprobado,
simplicidad del informe es Investigación de la sede, al relacione los resultados
precisamente la falta de finalizar el periodo de obtenidos durante la
claridad en los conceptos ejecución del proyecto. realización del proyecto, los
que el Auditor tiene en • El informe debe ser cuales deben estar
mente, es decir, no hay una aprobado previamente por soportados por sus
cabal comprensión de lo el respectivo Consejo respectivos indicadores
que realmente quiere Directivo de cada verificables: publicaciones,
comunicar, asimismo Facultad, Centro o Instituto. patentes, registros, normas,
cuando el Informe está falto • El informe debe contener certificaciones, memorias,
de claridad, puede dar lugar un índice. Cada página del formación de recurso
a una doble interpretación, informe debe estar humano, capacitación,
ocasionando de este modo numerada. organización y/o
que, se torne inútil y pierda • Cada anexo debe estar participación en eventos
su utilidad. En numerado haciendo científicos, etc., estos deben
17
18. numerarse y adjuntarse
como anexos del informe
(ver cuadro No. 1).
7. Descripción del impacto
actual o potencial de los
resultados: En términos de
generación de nuevo
conocimiento a nivel
mundial, de aporte para el
desarrollo del país, de
contribución a la solución
de problemas específicos,
de fortalecimiento de la
capacidad científica, y de
fortalecimiento de la
investigación y creación en
la Sede Bogotá (máximo
dos páginas).
8. Conclusiones
.
18