1) La unidad introduce los conceptos básicos de auditoría informática, incluyendo sus objetivos, tipos y campos de aplicación.
2) Explica los conceptos de control interno, modelos de control como COBIT y principios aplicados a auditores informáticos.
3) Detalla las fases de la auditoría informática, con énfasis en la planeación como paso fundamental.
1. Contenido del Curso: Administración de la función informática
UNIDAD I
Introducción a la auditoria informática.
Conceptos de auditoría y auditoria Informática.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos.
Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los
cambios que se deberían realizar para la consecución de los mismos.
Los objetivos de la auditoría Informática La auditoría informática sirve para Generalmente se puede desarrollar en
son: mejorar ciertas características en la alguna o combinación de las siguientes
* El control de la función informática empresa como: áreas:
* El análisis de la eficiencia de los - Eficiencia - Gobierno corporativo
Sistemas Informáticos - Eficacia - Administración del Ciclo de vida de los
* La verificación del cumplimiento de la - Rentabilidad sistemas
Normativa en este ámbito - Seguridad - Servicios de Entrega y Soporte
* La revisión de la eficaz gestión de los - Protección y Seguridad
recursos informáticos. - Planes de continuidad y Recuperación
de desastres
1.2 Tipos de auditoría. constructivo de la estructura organizativa sistemáticamente de una función o una
de la empresa, institución o unidad con referencia a normas de la
Auditoría contable (de estados
departamento gubernamental o de empresa, utilizando personal no
financieros) – no es interés del curso.
cualquier otra entidad y de sus métodos especializado en el área de estudio.
Auditoría interna. La lleva a cabo un
de control, medios de operación y empleo Auditoría fiscal: Consiste en verificar el
departamento dentro de la organización y que dé a sus recursos humanos y correcto y oportuno pago de los
existe una relación laboral.
materiales. diferentes impuestos y obligaciones
Auditoría externa. No existe relación
Auditoria gubernamental. fiscales de los contribuyentes desde el
laboral y la hacen personas externas al punto de vista físico (SHCP), direcciones o
Auditoría Financiera: Consiste en una
negocio para que los resultados que nos tesorerías de hacienda estatales o
revisión exploratoria y critica de los
arroje sean imparciales como pueden ser tesorerías municipales.
controles subyacentes y los registros de
las firmas de contadores o
contabilidad de una empresa realizada Auditoria de resultados de programas:
administradores independientes.
por un contador público. Esta auditoría la eficacia y congruencia
Auditoria administrativa. (William. P
Auditoria de operaciones: Se define como alcanzadas en el logro de los objetivos y
Leonard) es un examen completo y las metas establecidas.
una técnica para evaluar
Practica1
2. Auditoria de legalidad: Este tipo de 1.3 Campo de la auditoria informática.
auditoría tiene como finalidad revisar si la También se puede definir el Control
Algunos campos de aplicación de la
dependencia o entidad, en el desarrollo Interno como cualquier actividad o acción
informática son las siguientes:
de sus actividades. realizada manual y/o automáticamente
Auditoría integral: Es un examen que para prevenir, corregir errores o
Investigación científica y humanística: Se
proporciona una evaluación objetiva y irregularidades que puedan afectar al
usan la las computadoras para la
constructiva acerca del grado en que los funcionamiento de un sistema para
resolución de cálculos matemáticos,
recursos humanos, financieros y conseguir sus objetivos.
recuentos numéricos, etc.
materiales.
Aplicaciones técnicas: Usa la
1.5 Modelos de control utilizados en
computadora para facilitar diseños de auditoria informática.
1.2.1 Auditoría interna y externa.
ingeniería y de productos comerciales,
El COBIT es precisamente un modelo para
La Auditoría Externa examina y evalúa trazado de planos, etc.
auditar la gestión y control de los
cualquiera de los sistemas de información Documentación e información: Es uno de
sistemas de información y tecnología,
de una organización y emite una opinión los campos más importantes para la
orientado a todos los sectores de una
independiente sobre los mismos, pero las utilización de computadoras. Estas se
organización, es decir, administradores IT,
empresas generalmente requieren de la usan para el almacenamiento de grandes
usuarios y por supuesto, los auditores
evaluación de su sistema de información cantidades de datos y la recuperación
involucrados en el proceso.
financiero en forma independiente para controlada de los mismos en bases de
otorgarle validez ante los usuarios del datos.
Las siglas COBIT significan Objetivos de
producto de este, por lo cual Gestión administrativa: Automatiza las
Control para Tecnología de Información y
tradicionalmente se ha asociado el funciones de gestión típicas de una
Tecnologías relacionadas (Control
término Auditoría Externa a Auditoría de empresa.
Objetives for Information Systems and
Estados Inteligencia artificial: Las computadoras
related Technology). El modelo es el
Financieros, lo cual como se observa no se programan de forma que emulen el
resultado de una investigación con
es totalmente equivalente, pues puede comportamiento de la mente humana.
expertos de varios países, desarrollado
existir. Auditoría Externa del Sistema de Los programas responden como
por ISACA (Information Systems Audit and
Información Tributario, Auditoría Externa previsiblemente lo haría una persona
Control Association).
del Sistema de Información inteligente.
Administrativo, Auditoría Externa del Instrumentación y control:
La estructura del modelo COBIT propone
Sistema de Información Automático etc. Instrumentación electrónica, electro
un marco de acción donde se evalúan los
medicina, robots industriales, entre
criterios de información, como por
La auditoría Interna es el examen crítico, otros.
ejemplo la seguridad y calidad, se auditan
sistemático y detallado de un sistema de
los recursos que comprenden la
información de una unidad económica, 1.4 Control interno.
tecnología de información, como por
realizado por un profesional con vínculos
El Control Interno Informático puede ejemplo el recurso humano, instalaciones,
laborales con la misma, utilizando
definirse como el sistema integrado al sistemas, entre otros, y finalmente se
técnicas determinadas y con el objeto de
proceso administrativo, en la planeación, realiza una evaluación sobre los procesos
emitir informes y formular sugerencias
organización, dirección y control de las involucrados en la organización.
para el mejoramiento de la misma. Estos
informes son de circulación interna y no operaciones con el objeto de asegurar la
protección de todos los recursos El COBIT es un modelo de evaluación y
tienen trascendencia a los terceros pues
informáticos y mejorar los índices de monitoreo que enfatiza en el control de
no se producen bajo la figura de la Fe
economía, eficiencia y efectividad de los negocios y la seguridad IT y que abarca
Pública.
procesos operativos automatizados. controles específicos de IT desde una
Practica2
3. perspectiva de negocios. “La adecuada -Soporte y Servicios trabajo el prisma del propio beneficio.
implementación de un modelo COBIT en - Monitoreo Cualquiera actitud que se anteponga
una organización, provee una intereses personales del auditor a los del
herramienta automatizada, para evaluar Estos dominios agrupan objetivos de auditado deberá considerarse como no
de manera ágil y consistente el control de alto nivel, que cubren tanto los ética. Para garantizar el beneficio del
cumplimiento de los objetivos de control aspectos de información, como de la auditado como la necesaria
y controles detallados, que aseguran que tecnología que la respalda. Estos independencia del auditor, este último
los procesos y recursos de información y dominios y objetivos de control facilitan deberá evitar estar ligado en cualquier
tecnología contribuyen al logro de los que la generación y procesamiento de la forma, a intereses de determinadas
objetivos del negocio en un mercado cada información cumplan con las marcas, productos o equipos compatibles
vez más exigente, complejo y características de efectividad, eficiencia, con los de su cliente. La adaptación del
diversificado”, señaló un informe de ETEK. confidencialidad, integridad, auditor al sistema del auditado debe
disponibilidad, cumplimiento y implicar una cierta simbiosis con el
COBIT, lanzado en 1996, es una confiabilidad. mismo, a fin de adquirir un conocimiento
herramienta de gobierno de TI que ha pormenorizado de sus características
cambiado la forma en que trabajan los Asimismo, se deben tomar en cuenta los intrínsecas. Únicamente en los casos en el
profesionales de tecnología. Vinculando recursos que proporciona la tecnología de que el auditor dedujese la imposibilidad
tecnología informática y prácticas de información, tales como: datos, de que el sistema pudiera acomodarse a
control, el modelo COBIT consolida y aplicaciones, plataformas tecnológicas, las exigencias propias de su cometido,
armoniza estándares de fuentes globales instalaciones y recurso humano. este podrá proponer un cambio
prominentes en un recurso crítico para la cualitativamente significativo de
gerencia, los profesionales de control y “Cualquier tipo de empresa puede determinados elementos o del propio
los auditores. adoptar una metodología COBIT, como sistema informático globalmente
parte de un proceso de reingeniería en contemplado. Una vez estudiado el
COBIT se aplica a los sistemas de aras de reducir los índices de sistema informático a auditar, el auditor
información de toda la empresa, incertidumbre sobre vulnerabilidades y deberá establecer los requisitos mínimos,
incluyendo los computadores personales riesgos de los recursos IT y aconsejables y óptimos para su
y las redes. Está basado en la filosofía de consecuentemente, sobre la posibilidad adecuación a la finalidad para la que ha
que los recursos TI necesitan ser de evaluar el logro de los objetivos del sido diseñado. El auditor deberá
administrados por un conjunto de negocio apalancado en procesos lógicamente abstenerse de recomendar
procesos naturalmente agrupados para tecnológicos”, finalizó el informe de ETEK. actuaciones innecesariamente onerosas,
proveer la información pertinente y dañinas o que generen riesgos
confiable que requiere una organización 1.6 Principios aplicados a los auditores injustificados para el auditado. Una de las
informáticos.
para lograr sus objetivos. cuestiones más controvertidas, respecto
de la aplicación de este principio, es la
El auditor deberá ver cómo se puede
El conjunto de lineamientos y estándares referente a facilitar el derecho de las
conseguir la máxima eficacia y
internacionales conocidos como COBIT, organizaciones auditadas a la libre
rentabilidad de los medios informáticos
define un marco de referencia que elección del auditor. Si el auditado
de la empresa auditada, estando obligado
clasifica los procesos de las unidades de decidiera encomendar posteriores
a presentar recomendaciones acerca del
tecnología de información de las auditorías a otros profesionales, éstos
reforzamiento del sistema y el estudio de
organizaciones en cuatro “dominios” deberías poder tener acceso a los
las soluciones más idóneas según los
principales, a saber: informes de los trabajos profesionales,
problemas detectados en el sistema
-Planificación y organización éstos deberían poder tener acceso a los
informático de esta última. En ningún
-Adquisición e implantación
caso está justificado que realice su
Practica3
4. informes de los trabajos anteriormente del grado de cobertura que dan las estratégicas y operativas de información
realizados sobre el sistema del auditado. aplicaciones a las necesidades de la empresa.
UNIDAD II Planeación de la auditoria Informática.
2.1 Fases de la auditoria.
Fase I: Conocimientos del Sistema
Fase II: Análisis de transacciones y recursos
Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones
2.1.1 Planeación. materia con el fin de evitar tiempos consentimiento, con la esperanza de
muertos a la hora de iniciar la auditoria. obtener mayor confianza por medio del
Para hacer una adecuada planeación de la
sistema de control interno, o proceder
auditoría en informática, hay que seguir
Es de tomarse en cuenta que el directamente a revisión con los usuarios
una serie de pasos previos que permitirán
propietario de dicha empresa, ordena una (pruebas compensatorias) o a las pruebas
dimensionar el tamaño y características
auditoria cuando siente que un área tiene sustantivas.
de área dentro del organismo a auditar,
una falla o simplemente no trabaja
sus sistemas, organización y equipo. En el 2.1.4 Examen y evaluación de la
productivamente como se sugiere, por
información.
caso de la auditoría en informática, la
esta razón habrá puntos claves que se nos
planeación es fundamental, pues habrá
instruya sean revisados, hay que recordar Periodo en el que se desarrollan las
que hacerla desde el punto de vista de los
que las auditorias parten desde un ámbito pruebas y su extensión
dos objetivos:
administrativo y no solo desde la parte
tecnológica, porque al fin de cuentas Los auditores independientes podrán
• Evaluación de los sistemas y
hablamos de tiempo y costo de realizar las pruebas de cumplimiento
procedimientos.
producción, ejercicio de ventas, etc. Es durante el periodo preliminar.
• Evaluación de los equipos de cómputo.
decir, todo aquello que representa un
gasto para la empresa. Cuando éste sea el caso, la aplicación de
2.1.2 Revisión preliminar.
tales pruebas a todo el periodo restante
2.1.3 Revisión detallada. puede no ser necesaria, dependiendo
En esta fase el auditor debe de armarse
fundamentalmente del resultado de estas
de un conocimiento amplio del área que
Los objetos de la fase detallada son los
pruebas en el periodo preliminar así como
va a auditar, los objetivos que debe
de obtener la información necesaria para
de la evidencia del cumplimiento, dentro
cumplir, tiempos (una empresa no pude
que el auditor tenga un profundo
del periodo restante, que puede
dejar sus equipos y personal que lo opera
entendimiento de los controles usados
obtenerse de las pruebas sustantivas
sin trabajar porque esto le genera
dentro del área de informática.
realizadas por el auditor independiente.
pérdidas sustanciosas), herramientas y
conocimientos previos, así como de crear
El auditor debe de decidir se debe
La determinación de la extensión de las
su equipo de auditores expertos en la
continuar elaborando pruebas de
pruebas de cumplimento se realizará
Practica4
5. sobre bases estadísticas o sobre bases Plan de Pruebas 5 confirmaciones de datos con fuentes
subjetivas. El muestreo estadístico es, en Realizar pruebas externas
principio, el medio idóneo para expresar Permite especificar la estructura bajo la 6 pruebas para confirmar la adecuada
en términos cuantitativos el juicio del cual se agruparan las pruebas. comunicación.
auditor respecto a la razonabilidad, Permite planificar y ejecutar pruebas 7 prueba para determinar falta de
determinando la extensión de las pruebas relacionadas con los riesgos y controles seguridad.
y evaluando su resultado. definidos para esta auditoría. 8 pruebas para determinar problemas de
Permite agregar, editar y borrar pruebas legalidad.
Cuando se utilicen bases subjetivas se con independencia del Registro de
deberá dejar constancia en los papeles de Riesgos y Controles. 2.2 Evaluación de los sistemas de
acuerdo al riesgo.
trabajo de las razones que han conducido Permite registrar el resultado y el status
a tal elección, justificando los criterios y de cada prueba (completadas, revisadas o Riesgo
bases de selección. aprobadas).
Proximidad o posibilidad de un daño,
Evaluación del control interno Una Librería de Áreas y una Librería de peligro, etc.
Pruebas pueden también ser mantenida
Realizados los cuestionarios y para proveer Áreas y Pruebas Standard Cada uno de los imprevistos, hechos
representado gráficamente el sistema de para su selección en cada auditoria. desafortunados, etc., que puede cubrir un
acuerdo con los procedimientos vistos, seguro.
hemos de conjugar ambos a fin de realizar Las Áreas de Auditoria estructuran sus
un análisis e identificar los puntos fuertes pruebas en programas de trabajo lógicos Sinónimos: amenaza, contingencia,
y débiles del sistema. y pueden usarse para capturar emergencia, urgencia, apuro.
información relacionada con los objetivos
En esa labor de identificación, influye de cada programa de trabajo. Seguridad
primordialmente la habilidad para
entender el sistema y comprender los 2.1.6 Pruebas sustantivas. Cualidad o estado de seguro
puntos fuertes y débiles de su control
El objetivo de las pruebas sustantivas es
interno. Garantía o conjunto de garantías que se
obtener evidencia suficiente que permita
da a alguien sobre el cumplimiento de
al auditor emitir su juicio en las
La conjugación de ambas nos dará el nivel algo.
conclusiones acerca de cuándo pueden
de confianza de los controles que operan
ocurrir pérdidas materiales durante el
en la empresa, y será preciso determinar Ejemplo: Seguridad Social Conjunto de
proceso de la información.
si los errores tienen una repercusión organismos, medios, medidas, etc., de la
directa en los estados financieros, o si los administración estatal para prevenir o
Se pueden identificar 8 diferentes
puntos fuertes del control eliminarían el pruebas sustantivas: remediar los posibles riesgos, problemas
error. y necesidades de los trabajadores, como
1 pruebas para identificar errores en el
enfermedad, accidentes laborales,
procesamiento o de falta de seguridad o
2.1.5 Pruebas de controles de usuario. incapacidad, maternidad o jubilación; se
confidencialidad.
financia con aportaciones del Estado,
En una auditoria existen los siguientes 2 prueba para asegurar la calidad de los
trabajadores y empresarios.
módulos para ayudarle a planificar y datos.
ejecutar pruebas: 3 pruebas para identificar la
Se dice también de todos aquellos
inconsistencia de datos.
objetos, dispositivos, medidas, etc., que
4 prueba para comparar con los datos o
Aéreas de Auditoria
contribuyen a hacer más seguro el
contadores físicos.
Registro de Riesgos y Controles
Practica5
6. funcionamiento o el uso de una cosa: depende de las dimensiones de la Con estas bases debemos considerar los
cierre de seguridad, cinturón de organización, de los sistemas y de los conocimientos, la práctica profesional y la
seguridad. equipos, lo que se deberá considerar son capacitación que debe tener el personal
exactamente las características que debe que intervendrá en la auditoria.
2.4 Personal participante. cumplir cada uno del personal que habrá
de participar en la auditoria. También se deben contar con personas
Una de las partes más importantes en la
asignadas por los usuarios para que en el
planeación de la auditoría en informática
Uno de los esquemas generalmente momento que se solicite información, o
es el personal que deberá participar, ya
aceptados para tener un adecuado bien se efectúe alguna entrevista de
que se debe contar con un equipo
control es que el personal que intervenga comprobación de hipótesis, nos
seleccionado y con ciertas características
esté debidamente capacitado, que tenga proporcionen aquello que se está
que puedan ayudar a llevar la auditoria de
un alto sentido de moralidad, al cual se le solicitando, y complementen el grupo
manera correcta y en el tiempo estimado.
exija la optimización de recursos multidisciplinario, ya que debemos
(eficiencia) y se le retribuya o compense analizar no sólo el punto de vista de la
Aquí no se verá el número de persona
justamente por su trabajo. dirección de informática, sino también el
que deberán participar, ya que esto
del usuario del sistema.
UNIDAD III Auditoria de la función informática.
3.1 Recopilación de la información organizacional.
Para que un proceso de D.O. tenga éxito debe comenzar por obtener un diagnostico
con información verdadera y a tiempo de lo que sucede en la organización bajo
análisis, esta obtención de la información debe ser planeada en forma estructurada
para garantizar una generación de datos que ayuden posteriormente su análisis. Es un
ciclo continuo en el cual se planea la recolección de datos, se analiza, se
retroalimentan y se da un seguimiento.
La recolección de datos puede darse de varias maneras:
• Cuestionarios
• Entrevistas
• Observación
• Información documental (archivo)
Toda la información tiene un valor en sí misma, el método de obtención de información
está directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y
desventajas en el uso de cada una de estas herramientas, su utilidad dependerá del
objetivo que se busque y los medios para llevar a cabo esa recolección de datos en
tiempo y forma para su posterior análisis.
3.2 Evaluación de los recursos humanos La auditoría de recursos humanos puede evaluación de su funcionamiento actual,
definirse como el análisis de las políticas y seguida de sugerencias para mejorar. El
prácticas de personal de una empresa y la propósito principal de la auditoria de
Practica6
7. recursos humanos es mostrar cómo está Te preguntará por tu currículum, precisas sobre ti, y preguntas indirectas
funcionado el programa, localizando experiencias, habilidades, aficiones e para sondearte respecto a tus
prácticas y condiciones que son intentará ponerte en situaciones reales motivaciones. Intenta seguir un orden
perjudiciales para la empresa o que no para estudiar tus reacciones. En ocasiones discursivo, sé conciso e intenta relacionar
están justificando su costo, o prácticas y puede haber más de un entrevistador, tus respuestas y comentarios con las
condiciones que deben incrementarse. con el fin de tener más de un punto de exigencias del puesto al que optas.
vista a la hora de elegir el candidato final.
La auditoría es un sistema de revisión y 3.4 Situación presupuestal y financiera.
control para informar a la administración Modalidades de la Entrevista Personal
El estudio y evaluación del control interno
sobre la eficiencia y la eficacia del
deberá efectuarse conforme a lo
programa que lleva a cabo. Estructurada (dirigida)
dispuesto en el boletín 3050 “Estudio y
Evaluación del Control Interno”, emitido
El sistema de administración de recursos El entrevistador dirige la conversación y
por la Comisión de Normas y
humanos necesita patrones capaces de hace las preguntas al candidato siguiendo
Procedimientos de Auditoría del Instituto
permitir una continua evaluación y un cuestionario o guión. El entrevistador
Mexicano de Contadores Públicos, A.C.,
control sistemático de su funcionamiento. formulará las mismas preguntas a todos
éste servirá de base para determinar el
los candidatos.
grado de confianza que se depositará en
Patrón en in criterio o un modelo que se
él y le permita determinar la naturaleza,
establece previamente para permitir la Se recomienda contestar a las preguntas
alcance y oportunidad, que va a dar a los
comparación con los resultados o con los aportando aquella información que se
procedimientos de auditoría, por lo que el
objetivos alcanzados. Por medio de la pide, con claridad y brevedad.
auditor para el cumplimiento de los
comparación con el patrón pueden
objetivos deberá considerar lo siguiente:
evaluarse los resultados obtenidos y No estructurada (libre)
verificar que ajustes y correcciones deben
- Existencia de factores que aseguren un
realizarse en el sistema, con el fin de que El entrevistador te dará la iniciativa a ti, y
ambiente de control
funcione mejor. deberás desenvolverte por tu cuenta. El
- Existencia de riesgo en la información
entrevistador podría empezar con la
financiera
3.3 Entrevistas con el personal de pregunta: “Háblame de ti”, y luego seguir
informática.
con preguntas generales, que surgen en
Existencia de un sistema presupuestal que
La entrevista es uno de los eslabones función del desarrollo de la conversación.
permita identificar, reunir, analizar,
finales para conseguir la posición
clasificar, registrar y producir información
deseada. Desde el otro lado del Lo más aconsejable es empezar siguiendo
cuantitativa de las operaciones basadas
mostrador y habiendo entrevistado a el guión de tu historial profesional.
en flujos de efectivo y partidas
5.000 profesionales en sistemas entre También puedes preguntar si está
devengadas
nuestro equipo de selectores, te dejamos interesado en conocer algo en particular.
valiosos consejos en esta nota. Aprovecha para llevar la conversación a
- Existencia de procedimientos relativos a
los puntos fuertes que deseas destacar en
autorización, procesamiento y
Es un diálogo directo entre el relación con el puesto ofertado.
clasificación de transacciones,
entrevistador y entrevistado. El
salvaguarda física de documentación
entrevistador dirige la conversación e Semi-estructurada (mixta)
soporte y de verificación y evaluación,
intenta obtener la máxima información
incluyendo los aplicables a la
posible del candidato. Es una combinación de las dos anteriores.
actualización de cifras y a los controles
El entrevistador utilizará preguntas
relativos al procesamiento electrónico de
directas para conseguir informaciones
datos. - Vigilancia sobre el
Practica7
8. establecimiento y mantenimiento de a. Existencia de un presupuesto anual presupuestario del gasto, tal como lo
controles internos con objeto de autorizado establecen los Términos de Referencia
identificar si están operando b. Existencia e políticas, bases y para auditorías a Órganos
efectivamente y si deben ser modificados lineamientos presupuestarios Desconcentrados y Entidades
cuando existan cambios importantes. c. Existencia de un sistema de registro Paraestatales de la SFP, así como el flujo
presupuestario de efectivo que detalle el origen y el
Para efectos de estudio y evaluación del d. Existencia de un procedimiento de destino de los egresos (Art.103 de la Ley
control interno en una revisión en una autorizaciones Federal de Presupuesto y
revisión de estados presupuestarios, el e. Procedimientos de registro, control y Responsabilidad Hacendaria)
auditor deberá considerar los siguientes reporte presupuestario
aspectos:
Obtener el estado analítico de recursos
presupuestarios y el ejercicio
UNIDAD IV Evaluación de la seguridad.
Generalidades de la seguridad del área física.
Es muy importante ser consciente que por más que nuestra empresa sea la más segura
desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego
tratados); la seguridad de la misma será nula si no se ha previsto como combatir un
incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un
sistema
Informático. Si bien algunos de los aspectos tratados a continuación se prevén,
otros, como la detección de un atacante interno a la empresa que intenta a acceder
físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una
cinta de la sala, que intentar acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos
de control, como medidas de prevención y contramedidas ante amenazas a los
recursos e información confidencial” (1). Se refiere a los controles y mecanismos de
seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso
remoto al y desde el mismo; implementados para proteger el hardware y medios de
almacenamiento de datos.
4.2 Seguridad lógica y confidencial. computadora, así como de controlar el generada por los sistemas, por el
mal uso de la información. software de desarrollo y por los
La seguridad lógica se encarga de los
programas en aplicación.
controles de acceso que están diseñados
La seguridad lógica se encarga de
para salvaguardar la integridad de la
controlar y salvaguardar la información
información almacenada de una
Practica8
9. Identifica individualmente a cada usuario sometidos a los generales de la misma. En Controles detectives
y sus actividades en el sistema, y restringe consecuencia, las organizaciones
el acceso a datos, a los programas de uso informáticas forman parte de lo que se ha Son aquellos que no evitan que ocurran
general, de uso específico, de las redes y denominado el "management" o gestión las causas del riesgo sino que los detecta
terminales. de la empresa. Cabe aclarar que la luego de ocurridos. Son los más
Informática no gestiona propiamente la importantes para el auditor. En cierta
La falta de seguridad lógica o su violación empresa, ayuda a la toma de decisiones, forma sirven para evaluar la eficiencia de
puede traer las siguientes consecuencias pero no decide por sí misma. Por ende, los controles preventivos.
a la organización: debido a su importancia en el
funcionamiento de una empresa, existe la Ejemplo: Archivos y procesos que sirvan
Cambio de los datos antes o cuando se le Auditoría Informática. como pistas de auditoría
da entrada a la computadora.
Copias de programas y /o información. El término de Auditoría se ha empleado Procedimientos de validación
Código oculto en un programa incorrectamente con frecuencia ya que se
Entrada de virus ha considerado como una evaluación Controles Correctivos
cuyo único fin es detectar errores y
Un método eficaz para proteger sistemas señalar fallas. A causa de esto, se ha Ayudan a la investigación y corrección de
de computación es el software de control tomado la frase "Tiene Auditoría" como las causas del riesgo. La corrección
de acceso. Los paquetes de control de sinónimo de que, en dicha entidad, antes adecuada puede resultar difícil e
acceso protegen contra el acceso no de realizarse la auditoría, ya se habían ineficiente, siendo necesaria la
autorizado, pues piden al usuario una detectado fallas. implantación de controles defectivos
contraseña antes de permitirle el acceso a sobre los controles correctivos, debido a
información confidencial. Sin embargo, El concepto de auditoría es mucho más que la corrección de errores es en sí una
los paquetes de control de acceso que esto. Es un examen crítico que se actividad altamente propensa a errores.
basados en componentes pueden ser realiza con el fin de evaluar la eficacia y
eludidos por delincuentes sofisticados en eficiencia de una sección, un organismo, 4.5 Seguridad en los datos y software de
aplicación.
computación, por lo que no es una entidad, etc.
conveniente depender de esos paquetes
Este apartado aborda los aspectos
por si solos para tener una seguridad 4.4 Clasificación de los controles de
seguridad. asociados al componente lógico del
adecuada.
sistema: programas y datos. Para ello, se
Clasificación general de los controles distingue entre las medidas para restringir
4.3 Seguridad personal.
y controlar el acceso a dichos recursos,
Controles Preventivos los procedimientos para asegurar la
A finales del siglo XX, los Sistemas
fiabilidad del software (tanto operativo
Informáticos se han constituido en las
Son aquellos que reducen la frecuencia como de gestión) y los criterios a
herramientas más poderosas para
con que ocurren las causas del riesgo, considerar para garantizar la integridad
materializar uno de los conceptos más
permitiendo cierto margen de de la información.
vitales y necesarios para cualquier
violaciones.
organización empresarial, los Sistemas de
Información de la empresa. Control de acceso.
Ejemplos: Letrero "No fumar" para
salvaguardar las instalaciones Sistemas de identificación, asignación y
La Informática hoy, está subsumida en la
gestión integral de la empresa, y por eso cambio de derechos de acceso, control de
Sistemas de claves de acceso accesos, restricción de terminales,
las normas y estándares propiamente
informáticos deben estar, por lo tanto,
Practica9
10. desconexión de la sesión, limitación de informático y su razón de ser. Un sistema
reintento. informático existe como tal desde el En la fase de diseño de datos, deben
momento en que es capaz de tratar y definirse los procedimientos de
Software de base. suministrar información. Sin ésta, se seguridad, confidencialidad e integridad
reduciría a un conjunto de elementos que se aplicarán a los datos:
Control de cambios y versiones, control lógicos sin ninguna utilidad.
de uso de programas de utilidad, control Procedimientos para recuperar los datos
de uso de recursos y medición de En la actualidad la inmensa mayoría de en casos de caída del sistema o de
'performance'. sistemas tienen la información organizada corrupción de los archivos.
en sendas Bases de Datos. Los criterios
Software de aplicación. que se citan a continuación hacen Procedimientos para prohibir el acceso no
referencia a la seguridad de los Sistemas autorizado a los datos. Para ello deberán
En este apartado se trata todo lo de Gestión de Bases de Datos (SGBD) que identificarlos.
concerniente al software de aplicación, es cumplan normas ANSI, si bien muchos de
decir, todo lo relativo a las aplicaciones de ellos pueden ser aplicables a los archivos Procedimientos para restringir el acceso
gestión, sean producto de desarrollo de datos convencionales. no autorizado a los datos. Debiendo
interno de la empresa o bien sean identificar los distintos perfiles de usuario
paquetes estándar adquiridos en el Diseño de bases de datos. que accederán a los archivos de la
mercado. aplicación y los subconjuntos de
Es importante la utilización de información que podrán modificar o
Desarrollo de software. metodologías de diseño de datos. El consultar.
equipo de analistas y diseñadores deben
. Metodología: existe, se aplica, es hacer uso de una misma metodología de Procedimientos para mantener la
satisfactoria. Documentación: existe, esta diseño, la cual debe estar en consistencia y corrección de la
actualizada, es accesible. concordancia con la arquitectura de la información en todo momento.
. Estándares: se aplican, como y quien lo Base de Datos elegida jerárquica,
controla. Involucración del usuario. relacional, red, o bien orientada a Básicamente existen dos niveles de
. Participación de personal externo. objetos. integridad: la de datos, que se refiere al
. Control de calidad. tipo, longitud y rango aceptable en cada
. Entornos real y de prueba. Debe realizarse una estimación previa del caso, y la lógica, que hace referencia a las
. Control de cambios. volumen necesario para el relaciones que deben existir entre las
almacenamiento de datos basada en tablas y reglas del negocio.
Adquisición de software estándar. distintos aspectos tales como el número
mínimo y máximo de registros de cada Debe designarse un Administrador de
Metodología, pruebas, entidad del modelo de datos y las Datos, ya que es importante centralizar
condiciones, garantías, contratos, predicciones de crecimiento. en personas especializadas en el tema las
capacitación, licencias, derechos, soporte tareas de redacción de normas referentes
técnico. A partir de distintos factores como el al gestor de datos utilizado, definición de
número de usuarios que accederá a la estándares y nomenclatura, diseño de
Datos. información, la necesidad de compartir procedimientos de arranque,
información y las estimaciones de recuperación de datos, asesoramiento al
Los datos es decir, la información que se volumen se deberá elegir el SGBD más personal de desarrollo entre algunos
procesa y se obtiene son la parte más adecuado a las necesidades de la empresa otros aspectos.
importante de todo el sistema o proyecto en cuestión.
Practica10
11. Creación de bases de datos. inicial sin estudiar a fondo las médicos online supera los 200 millones,
contradicciones que pudieran existir, pero comparado con 26 millones en 1995.
Debe crearse un entorno de desarrollo registrando las áreas que carezcan de
con datos de prueba, de modo que las normativa, y sobre todo verificando que A medida que se va ampliando la Internet,
actividades del desarrollo no interfieran el esta Normativa General . asimismo va aumentando el uso indebido
entorno de explotación. Los datos de Informática no está en contradicción con de la misma. Los denominados
prueba deben estar dimensionados de alguna Norma General no informática de delincuentes cibernéticos se pasean a su
manera que permitan la realización de la empresa. aire por el mundo virtual, incurriendo en
pruebas de integración con otras delitos tales como el acceso sin
aplicaciones, de rendimiento con 2. Los Procedimientos Generales autorización o "piratería informática", el
volúmenes altos. Informáticos. Se verificará su existencia, fraude, el sabotaje informático, la trata de
al menos en los sectores más niños con fines pornográficos y el acecho.
En la fase de creación, deben importantes. Por ejemplo, la recepción
desarrollarse los procedimientos de definitiva de las máquinas debería estar Los delincuentes de la informática son tan
seguridad, confidencialidad e integridad firmada por los responsables de diversos como sus delitos; puede tratarse
definidos en la etapa de diseño: Explotación. Tampoco el alta de una de estudiantes, terroristas o figuras del
. Construcción de los procedimientos de nueva Aplicación podría producirse si no crimen organizado. Estos delincuentes
copia y restauración de datos. existieran los Procedimientos de Backup y pueden pasar desapercibidos a través de
. Construcción de los procedimientos de Recuperación correspondientes. las fronteras, ocultarse tras incontables
restricción y control de acceso. Existen "enlaces" o simplemente desvanecerse
dos enfoques para este tipo de 3. Los Procedimientos Específicos sin dejar ningún documento de rastro.
procedimientos: Informáticos. Igualmente, se revisara su Pueden despachar directamente las
existencia en las áreas fundamentales. comunicaciones o esconder pruebas
Confidencialidad basada en roles, que Así, Explotación no debería explotar una delictivas en "paraísos informáticos" - o
consiste en la definición de los perfiles de Aplicación sin haber exigido a Desarrollo sea, en países que carecen de leyes o
usuario y las acciones que les son la pertinente documentación. Del mismo experiencia para seguirles la pista -.
permitidas (lectura, actualización, alta, modo, deberá comprobarse que los
borrado, creación/eliminación de tablas, Procedimientos Específicos no se Según datos recientes del Servicio Secreto
modificación de la estructura de las opongan a los Procedimientos Generales. de los Estados Unidos, se calcula que los
tablas). En todos los casos anteriores, a su vez, consumidores pierden unos 500 millones
deberá verificarse que no existe de dólares al año debido a los piratas que
4.6 Controles para evaluar software de contradicción alguna con la Normativa y les roban de las cuentas online sus
aplicación.
los Procedimientos Generales de la propia números de tarjeta de crédito y de
empresa, a los que la Informática debe llamadas. Dichos números se pueden
Una vez conseguida la Operatividad de los
estar sometida. vender por jugosas sumas de dinero a
Sistemas, el segundo objetivo de la
falsificadores que utilizan programas
auditoría es la verificación de la
4.7 Controles para prevenir crímenes y especiales para codificarlos en bandas
observancia de las normas teóricamente
fraudes informáticos.
magnéticas de tarjetas bancarias y de
existentes en el departamento de
crédito, señala el Manual de la ONU.
Informática y su coherencia con las del En los años recientes las redes de
resto de la empresa. Para ello, habrán de computadoras han crecido de manera
Otros delincuentes de la informática
revisarse sucesivamente y en este orden: asombrosa. Hoy en día, el número de
pueden sabotear las computadoras para
usuarios que se comunican, hacen sus
ganarle ventaja económica a sus
1. Las Normas Generales de la Instalación compras, pagan sus cuentas, realizan
competidores o amenazar con daños a los
Informática. Se realizará una revisión negocios y hasta consultan con sus
Practica11
12. sistemas con el fin de cometer extorsión. resultaría extremadamente difícil de un desastre dentro de un periodo
Los malhechores manipulan los datos o funcionar sin los recursos informáticos. predeterminado debe ser un elemento
las operaciones, ya sea directamente o crucial en un plan estratégico de
mediante los llamados "gusanos" o Los procedimientos manuales, si es que seguridad para una organización.
"virus", que pueden paralizar existen, sólo serían prácticos por un corto
completamente los sistemas o borrar periodo. En caso de un desastre, la 4.9 Técnicas y herramientas relacionadas
con la seguridad física y del personal.
todos los datos del disco duro. Algunos interrupción prolongada de los servicios
virus dirigidos contra computadoras de computación puede llevar a pérdidas SEGURIDAD FISICA
elegidas al azar; que originalmente financieras significativas, sobre todo si
pasaron de una computadora a otra por está implicada la responsabilidad de la Es todo lo relacionado con la seguridad y
medio de disquetes "infectados"; también gerencia de informática. Lo más grave es salvaguarda de los bienes tangibles de los
se están propagando últimamente por las que se puede perder la credibilidad del sistemas computacionales de la empresa,
redes, con frecuencia camuflados en público o los clientes y, como tales como el hardware, periféricos, y
mensajes electrónicos o en programas consecuencia, la empresa puede terminar equipos asociados, las instalaciones
"descargados" de la red. en un fracaso total. eléctricas, las instalaciones de
comunicación y de datos.
4.8 Plan de contingencia, seguros, En un estudio realizado por la Universidad
procedimientos de recuperación de
de Minnesota, se ha demostrado que más Igualmente todo lo relacionado con la
desastres.
del 60% de las empresas que sufren un seguridad y salvaguarda de las
Medida que las empresas se han vuelto desastre y que no tienen un plan de construcciones, el mobiliario y equipo de
cada vez más dependientes de las recuperación ya en funcionamiento, oficina, así como la protección a los
computadoras y las redes para manejar saldrán del negocio en dos o tres años. accesos al centro de sistematización.
sus actividades, la disponibilidad de los Mientras vaya en aumento la
sistemas informáticos se ha vuelto crucial. dependencia de la disponibilidad de los En sí, es todo lo relacionado con la
Actualmente, la mayoría de las empresas recursos informáticos, este porcentaje seguridad, la prevención de riesgos y
necesitan un nivel alto de disponibilidad y seguramente crecerá. protección de los recursos físicos
algunas requieren incluso un nivel informáticos de la empresa.
continuo de disponibilidad, ya que les Por lo tanto, la capacidad para
recuperarse exitosamente de los efectos
UNIDAD V Auditoria de la seguridad en la teleinformática.
5.1 Generalidades de la seguridad en el área de la teleinformática.
En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se
denomina teleinformática: la unión de la informática y las telecomunicaciones. Tanto en
la vida profesional como en las actividades cotidianas, es habitual el uso de
expresiones y conceptos relacionados con la teleinformática.
Este trabajo se basa en conceptos fundamentales expresados de la manera más simple
posible, pero a su vez siendo precisos.
Comenzamos por introducir la historia y evolución de la teleinformática y de la manera
en que fue desarrollándose, y a su vez, proporcionando un panorama general del
Practica12
13. tema. Luego mencionamos de forma genérica los elementos que integran un sistema
teleinformática, desde un simple terminal hasta una red.
Continuamos explicando las técnicas fundamentales de transmisión de datos, para
comprender cómo viaja la información de un sistema a otro a través de los circuitos
de telecomunicación.
Las técnicas de comunicación se estructuran en niveles: físico, enlace de datos, red,
transporte, sesión, presentación y aplicación.
También, mencionamos las redes de área local ya que son muy importantes en lo que a
la teleinformática respecta.
Hicimos inca pié en la red Internet y su protocolo TCP/IP, y en los conceptos básicos
sobre
Programas de Comunicación y Gestión de Red.
Analizamos los servicios de valor añadido como el Video tex, Ibercom o La Telefonía
Móvil.
Además, establecimos los últimos desarrollos y las tendencias de la teleinformática,
desde las redes digitales hasta el proceso distribuido.
Por último, manifestamos la importancia de la relación que existe entre la
teleinformática y la sociedad, en lo que respecta a la educación, la sanidad y la
empresa.
Explicaremos claramente la importancia de la teleinformática y su desarrollo a través
de la historia desde el comienzo ya que es uno de los factores que ha constituido y
constituye un elemento fundamental para la evolución de la humanidad: la
comunicación.
En una comunicación se transmite información desde una persona a otra e intervienen
tres elementos: el emisor, que da origen a la información, el medio, que permite la
transmisión, y el receptor, que recibe la información.
La primera comunicación que existió entre los hombres fue a base de signos o gestos
que expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos
gestos iban acompañados de sonidos.
Posteriormente, comenzó la comunicación hablada a través de un determinado
lenguaje, en el cuál cada palabra significaba algo y cada frase tenía un contenido
informativo.
Practica13
14. Más tarde, el hombre tubo necesidad de realizar comunicaciones a distancia como por
ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con visibilidad
entre ambas, o bien entre un barco y la costa. Es aquí donde aparecen las señales de
humo, destellos con espejos entre innumerables métodos de comunicación.
Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia
comenzó a ser cada vez más importante.
La primera técnica utilizada surgió con la aparición del telégrafo y el código morse
que permitieron comunicaciones a través de cables a unas distancias considerables.
Posteriormente se desarrolló la técnica que dio origen al teléfono para la
comunicación directa de la voz a larga distancia. Más tarde la radio y la transmisión de
imágenes a través de la televisión habilitaron un gran número de técnicas y métodos
que luego fueron muy importantes a lo que respecta a la comunicación.
5.2 Objetivos y criterios de la auditoria cada vez más amplio. Como nunca, En la auditoría de otras áreas pueden
en el área de la teleinformática.
probablemente hoy se enfrenta a uno de también surgir revisiones solapadas con la
los cambios más importantes en su seguridad; así a la hora de revisar el
Así ante la continua aparición de nuevas
profesión, debiendo abordar aspectos desarrollo se verá si se realiza en un
herramientas de gestión, la auditoría
relacionados con el Gobierno Corporativo entorno seguro, etc.
interna se ve compelida a velar entre
y los nuevos riesgos a los que se
otras cosas por la aplicación y buen uso
enfrentan las organizaciones. Los controles directivos. Son los
de las mismas. Ello ciertamente implica
5.3 Síntomas de riesgo. fundamentos de la seguridad: políticas,
un muy fuerte compromiso. Dijimos antes
planes, funciones, objetivos de control,
que la auditoría debía velar no sólo por
La Auditoría de la Seguridad
presupuesto, así como si existen sistemas
los activos de la empresa sino además por
y métodos de evaluación periódica de
su capacidad competitiva. Cuidar de esto
Para muchos la seguridad sigue siendo el
riesgos.
último significa difundir, apoyar y
área principal a auditar, hasta el punto de
El desarrollo de las políticas.
controlar las nuevas y buenas prácticas.
que en algunas entidades se creó
Procedimientos, posibles estándares,
Así, haciendo uso del benchmarking
inicialmente la función de auditoría
normas y guías.
puede verificar y promover las mejores
informática para revisar la seguridad,
prácticas para el mantenimiento de la Amenazas físicas externas. Inundaciones,
aunque después se hayan ido ampliando
más alta competitividad. Ser competitivo incendios, explosiones, corte de líneas o
los objetivos. Cada día es mayor la
es continuar en la lucha por la suministros, terremotos, terrorismo,
importancia de la información,
subsistencia o continuidad de la empresa. huelgas, etc., se considera: la ubicación
especialmente relacionada con sistemas
del centro de procesos, de los servidores,
basados en el uso de tecnología de
Como brillantemente lo expresa Fernando PCs, computadoras portátiles (incluso
información y comunicaciones, por lo que
Gaziano (Deloitte Chile), "los auditores y fuera de las oficinas); estructura, diseño,
el impacto de las fallas, los accesos no
los astrónomos compartimos plenamente construcción y distribución de edificios;
autorizados, la revelación de la
una idea: el universo se expande. Así amenazas de fuego, riesgos por agua, por
información, entre otros problemas,
como después del "big bang" un universo accidentes atmosféricos; contenido en
tienen un impacto mucho mayor que
de planetas y estrellas comenzó y paquetes}, bolsos o carteras que se
hace algunos años.
continúa expandiéndose, de la misma introducen o salen de los edificios; visitas,
forma el mundo del Auditor Interno es clientes, proveedores, contratados;
Practica14
15. protección de los soportes magnéticos en La continuidad de las operaciones. Planes Introducir al estudiante en los aspectos
cuanto a acceso, almacenamiento y de contingencia o de Continuidad. técnicos, funcionales y organizacionales
transporte. que componen la problemática de
Control de accesos adecuado. Tanto No se trata de áreas no relacionadas, sino seguridad en las redes teleinformáticas,
físicos como lógicos, que se realicen sólo que casi todas tienen puntos de enlace ilustrando las operaciones, técnicas y
las operaciones permitidas al usuario: comunes: comunicaciones con control de herramientas más usuales para garantizar
lectura, variación, ejecución, borrado y accesos, cifrado con comunicaciones, etc. privacidad, autenticación y seguridad.
copia, y quedando las pistas necesarias
para el control y la auditoría. Uso de Evaluación de riesgos Introducción General a la Seguridad en
contraseñas, cifrado de las mismas, Redes
situaciones de bloqueo. Se trata de identificar riesgos, cuantificar
Protección de datos. Origen del dato, su probabilidad e impacto y analizar . Definiciones
proceso, salida de los datos. medidas que los eliminen o que . Generalidades
Comunicaciones y redes. Topología y tipo disminuyan la probabilidad de que . Intrusos
de comunicaciones, posible uso de ocurran los hechos o mitiguen el impacto. . Amenazas
cifrado, protecciones ante virus. Tipos de Para evaluarlos hay que considerar el tipo . Ataques
transacciones. Protección de de información almacenada, procesada y
conversaciones de voz en caso necesario, transmitida, la criticidad de las Planeación de la Seguridad
protección de transmisiones por fax para operaciones, la tecnología usada, el
contenidos clasificados. Internet e marco legal aplicable, el sector de la . Análisis del sistema actual
Intranet, correo electrónico, control sobre entidad, la entidad misma y el momento. . Análisis de riesgos
páginas web, así como el comercio Los riesgos pueden disminuirse . Definición de políticas de seguridad
electrónico. (generalmente no pueden eliminarse), . Implantación de la seguridad
El entorno de producción. Cumplimiento transferirse o asumirse.
de contratos, outsourcing. Servicios de Seguridad
El desarrollo de aplicaciones en un 5.4 Técnicas y herramientas de auditoría
entorno seguro, y que se incorporen relacionadas con la seguridad en la . Modelo OSI para arquitecturas de
controles en los productos desarrollados y teleinformática. Seguridad
que éstos resulten auditables. Con el uso . Modelo TCP/IP
de licencias (de los programas utilizados).
UNIDAD VI Informe de la auditoria informática.
6.1 Generalidades de la seguridad del área física.
Es muy importante ser consciente que por más que nuestra empresa sea la más segura
desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego
tratados); la seguridad de la misma será nula si no se ha previsto como combatir un
incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un
sistema informático. Si bien algunos de los aspectos tratados a continuación se
Practica15
16. prevén, otros, como la detección de un atacante interno a la empresa que intenta a
acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una
cinta de la sala, que intentar acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos
de control, como medidas de prevención y contramedidas ante amenazas a los
recursos e información confidencial”(1). Se refiere a los controles y mecanismos de
seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso
remoto al y desde el mismo; implementados para proteger el hardware y medios de
almacenamiento de datos.
6.2 Características del informe. Expresa si las cuentas anuales contienen 6.3 Estructura del informe.
la información necesaria y suficiente y
Objetivos, características y afirmaciones Concluido el Trabajo de Campo, el auditor
han sido formuladas de acuerdo con la
que contiene el informe de auditoría tendrá como responsabilidad la
legislación vigente y, también, si dichas
confección del
cuentas han sido elaboradas teniendo en
El informe de auditoría financiera tiene Informe de Auditoría como un producto
cuenta el principio contable de
como objetivo expresar una opinión final de este trabajo. El informe
uniformidad.
técnica de las cuentas anuales en los contendrá el mensaje del Auditor sobre lo
aspectos significativos o importantes, que ha hecho y como lo ha realizado, así
Asimismo, expresa si las cuentas anuales
sobre si éstas muestran la imagen fiel del como los resultados obtenidos.
reflejan, en todos los aspectos
patrimonio, de la situación financiera y
significativos, la imagen fiel del
del resultado de sus operaciones, así Concepto
patrimonio, de la situación financiera, de
como de los recursos obtenidos y Es el documento emitido por el Auditor
los resultados y de los recursos obtenidos
aplicados durante el ejercicio. como resultado final de su examen y/o
y aplicados.
evaluación, incluye información suficiente
Características del informe de auditoría: sobre Observaciones, Conclusiones de
Se opina también sobre la concordancia
hechos significativos, así como
de la información contable del informe de
1. Es un documento mercantil o público. Recomendaciones constructivos para
gestión con la contenida en las cuentas
superar las debilidades en cuanto a
anuales.
2. Muestra el alcance del trabajo. políticas, procedimientos, cumplimiento
de actividades y otras.
En su caso, explica las desviaciones que
3. Contiene la opinión del auditor.
presentan los estados financieros con
Importancia
respecto a unos estándares
4. Se realiza conforme a un marco legal. El Informe de Auditoría, reviste gran
preestablecidos.
Importancia, porque suministra a la
Principales afirmaciones que contiene el administración de la empresa,
Podemos sintetizar que el informe es una
informe: información sustancial sobre su proceso
presentación pública, resumida y por
administrativo, como una forma de
escrito del trabajo realizado por los
Indica el alcance del trabajo y si ha sido contribuir al cumplimiento de sus metas y
auditores y de su opinión sobre las
posible llevarlo a cabo y de acuerdo con objetivos programados.
cuentas anuales.
qué normas de auditoría.
Practica16
17. El Informe a través de sus observaciones, • Los informes finales técnico y
conclusiones y recomendaciones, Claridad y simplicidad. financiero, deben ser entregados a la
constituye el mejor medio para que las La Claridad y Simplicidad, significan Dirección de
organizaciones puedan apreciar la forma introducir sin mayor dificultad en la Investigación de la sede, al finalizar el
como están operando. En algunas mente del lector del informe, lo que el periodo de ejecución del proyecto.
oportunidades puede ocurrir que, debido Auditor ha escrito o pensó escribir. A • El informe debe ser aprobado
a un descuido en su preparación, se veces lo que ocasiona la deficiencia de previamente por el respectivo Consejo
pierde la oportunidad de hacer conocer a claridad y simplicidad del informe es Directivo de cada
la empresa lo que realmente desea o precisamente la falta de claridad en los Facultad, Centro o Instituto.
necesita conocer para optimizar su conceptos que el Auditor tiene en mente, • El informe debe contener un índice.
administración, a pesar de que se haya es decir, no hay una cabal comprensión Cada página del informe debe estar
emitido un voluminoso informe, pero de lo que realmente quiere comunicar, numerada.
inadvertidamente puede estar falto de asimismo cuando el Informe está falto de • Cada anexo debe estar numerado
sustentación y fundamento adecuado; en claridad, puede dar lugar a una doble haciendo referencia a lo anotado en los
consecuencia su contenido puede ser interpretación, ocasionando de este cuadros de resultados.
pobre; con esto queremos hacer resaltar modo que, se torne inútil y pierda su • El informe técnico final deberá
el hecho de que, el Informe debe utilidad. En consecuencia, para que el presentarse en versión impresa y
comunicar información útil para informe logre su objetivo de informar o magnética (CD o disquete).
promover la toma de decisiones. comunicar al cliente, el Auditor:
Lamentablemente esto no se logrará si el I. CONTENIDO DEL INFORME TÉCNICO
informe revela pobreza de expresión y no . Evitará el uso de un lenguaje técnico,
se aportan comentarios constructivos. florido o vago. 1. Título y código del proyecto
. Evitará ser muy breve. 2. Nombre del investigador principal y de
Redacción del Informe . Evitará incluir mucho detalle. la Facultad, Centro o Instituto al que
La Redacción se efectuará en forma . Utilizará palabras simples, familiares al pertenece
corriente a fin de que su contenido sea lector, es decir, escribirá en el idioma que 3. Fecha de entrega del Informe
comprensible al lector, evitando en lo el lector entiende. 4. Sinopsis divulgativa: Con el propósito
posible el uso de terminología muy de promover la divulgación de las
especializada; evitando párrafos largos y actividades investigativas que adelanta la
complicados, así como expresiones 6.4 Formato para el informe. Sede Bogotá y para dar mayor difusión a
grandilocuentes y confusas. los proyectos, deben incluir un resumen
El formato para informes finales está
de una cuartilla que servirá de base para
enfocado a apoyar y facilitar el proceso de
La Redacción del Informe debe merecer la elaboración de notas académicas
evaluación de los resultados de los
mucha atención cuidado de parte del dirigidas a los medios de comunicación de
proyectos financiados por la sede Bogotá,
auditor para que tenga la acogida y la Universidad.
con respecto a los compromisos
aceptación que los empresarios esperan 5. Resumen técnico de los resultados
adquiridos en el proyecto aprobado.
de él, en este sentido el obtenidos durante la realización del
Además de reportar sobre el
Informe debe: proyecto y de las principales conclusiones
cumplimiento de los objetivos y el
(máximo cinco páginas).
impacto logrado a partir del uso y
. Despertar o motivar interés. 6. Cuadro de resultados obtenidos: De
obtención de los resultados esperados y
. Convencer mediante información acuerdo a los objetivos y resultados
de las actividades de investigación
sencilla, veraz y objetiva. esperados planteados en el proyecto
científica.
aprobado, relacione los resultados
2. Requisitos del informe obtenidos durante la realización del
Practica17
18. proyecto, los cuales deben estar adjuntarse como anexos del informe (ver fortalecimiento de la capacidad científica,
soportados por sus respectivos cuadro No. 1). y de fortalecimiento de la investigación y
indicadores verificables: publicaciones, 7. Descripción del impacto actual o creación en la Sede Bogotá (máximo dos
patentes, registros, normas, potencial de los resultados: En términos páginas).
certificaciones, memorias, formación de de generación de nuevo conocimiento a 8. Conclusiones
recurso humano, capacitación, nivel mundial, de aporte para el .
organización y/o participación en eventos desarrollo del país, de contribución a la
científicos, etc., estos deben numerarse y solución de problemas específicos, de
Practica18