Sistema de Control Interno aplicaciones en nuestra legislacion
Auditoría informática: tipos y áreas clave
1. Tipos de Auditoría Informática
INICIO
- AUDITORIA FISICA
- AUDITORIA OFIMATICA
- AUDITORIA DE DIRECCION
- AUDITORIA DE MANTENIMIENTO
- AUDITORIA DE BASE DE DATOS
AUDITORIA FISICA
Activos informáticos, observaciones donde estan y que existan en el inventario, prevención y
seguridad. Todos estos activos estan fisicamente seguros y adecuados, posibles fallas fisicas,
saber si se tiene un plan específico despues de un desastre, identificar cuales son sus planes
de acción para la seguridad en cuanto a un desastre.
comprueba la existencia de los medios fisicos y también su funcionalidad, racionalidad y
seguridad.
Ésta garantiza la integridad de los activos humanos, logicos y materiales de centro de computo.
Areas de conocimiento de la auditoria fisica
Organigrama respectivo de la empresa, auditorias internas pasadas, administración de la
seguridad (asignar responsabilidades a cada una de las personas), centro deprocesos de datos
(identificar cada una de las salas que se debe asegurar), equipos y comunicaciones (de
manera especifica), seguridad fisica del personal (información que se debe tener).
Lista donde esta la información
Manual de procedimientos, jefes de departamento, recursos humanos, altos directivos,m
reglamentos y cursos de capacitación.
Herramientas
Entrevistras, cuestionarios, encuestas y gráficas.
AUDITORIA OFIMATICA
Estudio de una aplicación a la cual debemos evaluar, saber si realmente sirve para su
requerimiento, previo a compra de software se haya hecho un estudio para saber si realmente
lo está utilizando de la manera más adecuada.
La Ofimática
Sistema automatizado uqe genera, procesa, almacena, recupera,comunica y presenta datos
relacionados con el funcionamiento de la oficina.
Escritorio virtual, trabajo en equipo (Lotus, Nous, grp, etc.), estaciones de trabajo, aplicaciones,
medidas de seguridad que tienen los usuarios, controles de la ofimáticaque se deben ocupar
(economia, eficacia y eficiencia).
• Determinar si el inventario ofimático de los equipos reflejan con exactitud el número de
equipos y aplicaciones reales.
• Determinar y evaluar el procedimiento de adqusición de equipos y aplicaciones.
• Determinar y evaluar la política de mantenimiento definida en la organización.
• Evaluar la calidad de las aplicaciones del entorno ofimático desarrollado por el propio
personal de la organización.
• Evaluar la corrección del procedimiento existente para la realización de cambios de versiones
y aplicaciones.
• Determinar si los usuarios cuentancon suficiente información y la documentación de apoyo
para la realización de sus actividades de un modelo eficaz y eficiente.
• Determinar si el sistema existe y si realmente cumple con las necesidades de la
organización.
Anomálias
- Seguridad.- Determinar si existen garantias suficientes para proteger los accesos no
autorizados a la información reservada a la empresa y a la integridad de la misma.
1. Acceso por medio de contraseñas.
- Procedimiento para la asignación de contraseñas.
2. - Procedimiento para cambioperiodico de contraseñas.
2. Información impresa.
- Accesos autorizados.
- Verificar que esta información se encuentra siempre en cajones.
- Maquinas que distribuyen los documentos .
3. Verificar que la información de encuentre clasificada.
Determiar si el procedimiento de generación de copias de respaldo es fiable y garantiza la
recuperación de la información
1. Que este especificado.
2. Que la perioricidad sea acorde a las condiciones ofimáticas.
3. Que se cumpla el procedimiento.
4. Que la calidad del respaldo este garantizada (tomar un respaldo y verificar si realmente
funciona y el procedimiento sea el adecuado).
5. Que realmente esten resguardados los respaldos en un área segura.
determinar si estan garantizados el funcionamiento ininterrumpido de aplicaciones críticas.
1. Planta de luz alternativa.
2. Asignación e responsabilidades en cadena para lebvantar el sistema.
Determinar el grado de exposición ante la posibilidad de intrusos, de virus (medida del riesgo
para poder protegerse por la intrusión de virus por eso es necesario tener antivirus).
1. Tener antivirus.
2. Checar actualizaciones de antivirus y que todas las maquinas lo tengan.
AUDITORIA DE DIRECCION
Siempre en una organización se dice que esta es un reflejo de las carcxteristicas de su
dirección, los modos y maneras de actuar de aquella estan influenciadas por la filosofia y
personalidad del director.
Acciones de un Director
• Planificar. (este acorde al plan estrategico (conocimiento a evaluar acciones a realizar)).
- Lectura y analisis de actas, acuerdoss, etc.
- Lectura y analisis de informes gerencciales.
- Entrevistas con el mismo director dell departamento y con los directores de otras áreas.
• Organizar.
• Controlar.
• Coordinar.
Las enormes sumas que las empresas dedican a la tecnólogia de la información y de la
dependencia de estás con los procesos de la organización hacen necesaria una evaluación
independiente de la función que la gestiona (dirige).
AUDITORIA DE LA DIRECCIÓN DE GESTIÓN
- Planificar
- Evaluar
- Plan estrategico.
- Recursos asignados a cada plan de proyecto.
- Organizar y coordinar
Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de
información para que no haya fallas.
- Organizar
El proceso de organizar consiste en estructurar recursos, los flujos de información y los
controles que permiten alcanzar los objetivos marcados por la calificación. Para poder evaluar y
dar seguimiento a estas funciones se establece un comité de informática que afectan a toda la
empresa y permite a los usuarios como las actividades de la organización no solo de su área,
se pueden fijar las prioridades.
El auditor debe asegurarse que exista esté comité y que cumpla su papel adecuadamente.
Las acciones a realizar por el auditor son:
• Verificar que exista una normativa interna donde se especifique las funciones del comite.
3. • Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente
realizan.
Existe comité de informática
- Normativa interna.
- Entrevistas a los representantes de llos usuarios para conocer si entienden y si estan de
acuerdo con el comité.
- Entrevista con los miembros.
Criterio para asignar a los miembros del comite.
• Verificar trabajo del comité
- Lectura de actas de comité para comprrobar que el comité cumple efectivamente las
funciones y que los acuerdos son tomados correctamente tomando en cuenta la opinión de los
miembros del comité.
AUDITORIA DE MANTENIMIENTO
- Evalua la etapa del mantenimiento (4 a 6 meses la durac. delmantenimiento
- Importancia (etapa del mantenimiento (15 dias a 1 mes (mantenimiento con cambios)) "mayor
costo".
- Evaluar trabajo.
- Lista de revisiones.
- Existe documentación para el requerimiento de cambios.
- Documentación de los cambios.
- Pruebas de las modificaciones (lista de prueba y su observación).
- La aceptación de pruebas, con la cual se liberan los cambios.
- Logistica (por procedimientos) para realixzar el cambio de modificaciones (vesiones) del
servidor de producción.
Valoración del esfuerzo de trabajo.
No. > mayor esfuerzo.
No. < menor esfuerzo.
Se debe utilizar ciertos criterios que son:
- Esfuerzo de la etapa de mantenimientoo.
meshombre (etapa de mantenimiento esfuerzo) = trafico de cambio actual
meshombre de desarrollo.
TCA = numero de lineas nuevas + numero de lineas modificadas
numero de lineas iniciales
meshombredesarrollo = 2.4Ks1.05
= 3.0Ks
= 3.6Ks1.20
Ks = estimación del tamaño del programado en miles de lineas de código.
• Comprensibilidad del siatema
- Identificar que los archivos tengan nnombre adecuado a lo que se esta codificando.
- Facil de entender.
- Nombres adecuados de acuerdo al tipo de datos e información
- Comentarios por lomenos cada 50 lineaas de código.
• Que sea modificable
- Que tan modificable es.<
• Testeable
- Que los pongamos a prueba para verifiicar sirealmente es correcto.
- Se introduzca códigode detección de eerrores.
AUDITORIA DE BASE DE DATOS
1. Confidencialidad.
- Identificar el archivo documento que listen los perfiles de usuarios.
- Verificar que el documentotenga el tiipo de acceso "ad hoc" al grupo de usuarios.
4. - Realizar encuestas y aplicar cuestionnarios para verificar que los perfiles realmente hayan
sido aplicados.
- Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el
documento arriba mencionado.
PUNTOS A LOS QUE SE ENFOCA EL AUDITOR
Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios asi como
tambien diferentes perfiles, tipos de usuarios, documentación sobre cambios, accesos
limitados, buscar e identificar que cada uno este en su puesto, que administradores tienen
acceso, los programadores no deben tener acceso a la base realsino que debe tener acceso a
usuarios en la misma, que usuarios tienen acceso a toda la base de datos en caso de que no
tenga los perfiles el auditor debe de identificarlos e identificar que cada persona este en su
puesto), diseño(identificar que realemente se deje una trayectoria o documentación sobre la
base de datos, que tenga diccionario de base de datos y cada uno tenga los datos adecuados,
lista de los objetos.
La investigación de la arquitectura (se refiere al sistema operativo y el software para crear una
base de datos ademas de que deban ser compatible, checar estudio previo para escojer el
sofware adecuado, verificar que los componentes que se compren sean los adecuados para la
compatibilidad) el ciclo de vida de una base de datos (cuanto tiempo duraráel sistema o base
de datos que se diseño), estudio de la información este realmente de acuerdo con la empresa
que esta utilizando en este momento, si se cuenta con la documentación de la reingenieria
aplicada, tener almacenados ciertos archivos que se modifican, verificar que exista un oficio
para poder hacer la modificación con las autorizaciones necesarias, verificar que exista registro
de todo.
Las normas mas utilizadas son:
Norma COBIT
La norma COBIT fue lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT
consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia,
los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras
personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos
de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la
información pertinente y confiable que requiere una organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos
de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.
Usuarios:
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que
adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la
organización y determinar el control mínimo requerido.
5. Los Responsables de TI: para identificar los controles que requieren en sus áreas.
Características:
Orientado al negocio
Alineado con estándares y regulaciones “de facto”
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar
soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación
combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
COBIT se divide en tres niveles:
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado
medible.
Descargar: COBIT
Norma Técnica Peruana (NTP)
Esta Norma Técnica Peruana establece un marco de referencia común para los procesos del ciclo de vida
del software, con una terminología bien definida a la que puede hacer referencia la industria del
software. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que
contiene software, un producto software puro o un servicio software y durante el suministro, desarrollo,
operación y mantenimiento de productos software. El software incluye la parte software del firmware.
Limitaciones
Esta NTP describe la arquitectura de los procesos del ciclo de vida del software, pero no especifica los
detalles de cómo implementar o llevar a cabo las actividades y tareas incluidas en los procesos.
6. AUDITORIA INFORMÁTICA
Auditoría de la Gestión de las Tecnologías de Información
La Auditoría de la Gestión de las Tecnologías de Información, es vital para que se pueda mejorar la
gestión de las gerencias de informática y en general de las diversas áreas usuarias de los servicios de
tecnologías de información en las organizaciones.
La auditoria informática comprende la evaluación de la gestión de las tecnologías de información sobre la
base de normas nacionales y/o internacionales, verificándose su cumplimiento enmarcado en el ciclo de
calidad: Planificar, Ejecutar, Evaluar y Actuar (tomar acciones correctivas). Se explicó brevemente las
siguientes normas internacionales: COBIT, ISO/IEC 12207, ISO/IEC 17799, ITIL (ISO/IEC 20000), y
PMBOK, las cuales sirvieron de base para la Metodología para la Auditoria Integral de la Gestión de las
Tecnologías de Información (MAIGTI). Se explicó, también brevemente las certificaciones que existen
relacionadas a la auditoria informática.
En conducción: Ing. Rosa Menéndez, docente e investigadora a tiempo completo de la Universidad
Wiener, conductora del programa Sociedad Láser tuvo como invitado al Ing. Emigdio Alfaro, Decano de
la Facultad de Ingeniería de la Universidad Privada Norbert Wiener.
Certificaciones en Auditoria, Seguridad y Gobernabilidad TI
Posted by jdcaramutti en 1 junio, 2010
La Asociación de Auditoria y Control de Sistemas de Información o ISACA – Information Systems Audit
and Control Association, cuyo slogan es “al servicio de los profesionales encargados de la gobernabilidad
de las tecnologías de la información (TI)”, ofrece tres certificaciones: CISA, CISM y CGEIT, en
auditoria, seguridad y gobernabilidad de TI respectivamente.
La certificación ISACA CISM-Certified Information Security Manager o administrador de seguridad de
sistemas de información, está dirigida específicamente a profesionales experimentados en seguridad de
la información. Esta orientada a la gerencia de riesgos y seguridad de la información, así como al diseño
y manejo de aspectos técnicos a un nivel conceptual.
Los exámenes son en junio y diciembre, y para la preparación ISACA ofrece el Manual de preparación
al examen CISM 2008 (US$75) y otros manuales de preguntas, respuestas y explicaciones. La edición
2008 del manual se ha desarrollado y organizado para ayudar a los candidatos a CISM a prepararse en
las siguientes áreas de práctica de trabajo:
1. Gobierno de la seguridad de información,
2. Administración de riesgos de información,
3. Desarrollo del programa de seguridad de información,
4. Administración del programa de seguridad de información,
5. Manejo y respuesta de incidentes.
7. También puede preparase a través de cursos ofrecidos por las “filiales” o capítulos existentes en diversos
países de la región, tales como ISACA Perú, Colombia y Chile. Este último será sede del gran
evento ISACA Latin American CACS 2008 (Agosto 17-20). En todos los casos, los costos son menores
para los miembros de ISACA, cuya suscripción anual está alrededor de US$160, pudiendo hacerlo
también en forma semestral (Jun-Set) a menos del 50%. Si eres un profesional orientado a la gestión de
TI, considera seriamente estas certificaciones.
Posted in ISACA | Leave a Comment »
Política de Seguridad
Posted by jdcaramutti en 1 junio, 2010
La PCM conciente de los riesgos tecnológicos actuales, al cual estan expuestos los activos de información
de las diferentes organizaciones del sector público, el 25 de Agosto del 2007 emitió a través de
la Resolución Ministerial 246-2007-PCM, el uso obligatorio de la NTP-ISO/IEC 17799:Código de
Buenas Prácticas para la Gestión de la Seguridad de la Información.
Toda norma que regule la materia de seguridad de la información, tiene como finalidad asegurar los tres
requisitos básicos:
Confidencialidad. Exclusivamente las personas autorizadas a disponer de la información
pueden acceder a ella.
Integridad. La información ha de encontrarse operativa tal y como se encuentra en los
sistemas de información. No ha de ser manipulada ni en su origen, ni en su destino, salvo por
aquellas personas autorizadas.
Disponibilidad. El acceso continúo a la información, en cualquier momento, por aquellas
personas autorizadas a tratar y disponer de aquella.
Los tres requisitos precedentes son los pilares para asegurar la información y cualquier proceso que
haga uso de esta como por ejemplo, la normativa de firma electrónica, el funcionamiento del D.N.I.
electrónico, las medidas de seguridad en materia de protección de datos de carácter personal, etc.
La NTP contempla diferentes aspectos a ser considerados en la elaboración de los planes de seguridad
de la información:
Política de seguridad
Aspectos organizativos para la seguridad
Clasificación y control de activos
Seguridad ligada al personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad de la información
Gestión de continuidad de negocio
Conformidad
8. Puedes encontrar mayor información en la NTP publicada en el banco de normas de la ONGEI
Alcances
Todas las instituciones públicas del Estado Peruano deberan considerar en materia de seguridad de la
información lo siguiente:
Las instituciones deberán implementar sus planes de seguridad en base a la NTP-ISO/IEC
17799.
Las máximas autoridades de las instituciones deberán conformar un Comité de Seguridad de la
Información integrado por representantes de las Direcciones Nacionales o Generales o
equivalentes de la institución.
Las máximas autoridades de las instituciones deberán asignar las responsabilidades en materia
de seguridad de la información a funcionarios de su planta.
Los planes de seguridad se reflejarán en los planes operativos informáticos de las
instituciones(POI).
Ambito de aplicación de la Norma:
Segun Decreto Supremo N° 063-2007-PCM y Decreto Legislativo N° 604, la ONGEI es el
órgano especializado que depende jerárquicamente del Presidente del consejo de Ministros
encargada de dirigir, como ente rector, el Sistema Nacional de Informática y de implementar la
política nacional de Gobierno Electrónico e Informático.
En este sentido el ámbito de aplicación incluye a todas las entidades del Gobierno Central,
Organismos Públicos Descentralizados, Gobiernos Regionales, Direcciones Regionales y
cualquier organización estatal no empresarial con:
o Autonomía financiera
o Personalidad jurídica
o Patrimonio propio
Donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de las decisiones.
Plazos:
La implementación de la Norma se dará de manera progresiva y teniendo como plazos los estipulados en
la RM 244-2004-PCM el haber preparado su plan de implementación.
Modelo simplificado de Implementación
La aplicación de la Norma Técnica Peruana de Seguridad de la Información tiene que estar alineada a la
misión, visión, y objetivos que persigue la organización. A partir de este análisis se tiene que aplicar un
esquema de gestión de la seguridad de la información. Para lo cual se detalla a continuación un esquema
simplificado de cómo debería de aplicarse la NTP-ISO/IEC 17799:2004 dentro de cualquier organización
pública.
1. ETAPA I
Esta primera etapa consiste en analizar la misión, visión y objetivos de la organización.
Misión y Visión y Objetivos de la Organización.
9. La misión y visión dan el enfoque claro de lo que la organización debería plantearse en términos de
seguridad de la información de manera general.
Identificación de los recursos dentro de los procesos de la organización
El análisis de las principales funciones dentro de los procesos de la organización nos permitirá identificar
todos los recursos que interactúan en estos procesos, los cuales podemos clasificarlos de la siguiente
manera:
Materiales y Tecnológicos
Los recursos materiales y tecnológicos involucrados.
Recursos Humanos
Los recursos humanos involucrados.
Como resultado de esta etapa se tiene que tener una matriz con las funciones y todos los recursos o
activos de información involucrados dentro del proceso analizado.
2. ETAPA II
En esta etapa debemos de usar la información obtenida de la Etapa I, para implementar lo que se
recomienda dentro de la NTP-ISO/IEC 17799.
Establecimiento de la Política de Seguridad de la organización.
Se establecerá la política general a nivel de toda la organización, a partir de esta política se desarrollarán
las normativas internas y procedimientos específicos, para cada área dentro de la empresa con el fin de
cumplir con la política general.
Efectuar un análisis de riesgos.
En base a los activos identificados en la Etapa I, se comenzará a elaborar un análisis de riesgos, con la
finalidad de poder identificar las vulnerabilidades, amenazas e impacto de estos sobre los activos
identificados.
En base a los controles establecidos para cada dominio de la Norma que permita establecer la
Brecha
El análisis de riesgos nos permitirá priorizar cuales son los activos prioritarios a proteger, y en base a
esto realizar una comparación de lo que ya se tiene implementado versus lo que falta implementar,
como medidas de seguridad.
3. ETAPA III
10. En esta etapa se tiene que proyectar la implementación de lo que se necesita en términos de seguridad.
Documentación del Plan de Seguridad de la Información
Establecimiento del documento del plan a 1, 2 o 3 años.
Implementación del Plan de Seguridad dentro del POI
Lo que se tiene en el plan tiene que estar reflejado como un proyecto de TI adicional dentro del Plan
Operativo Informático.
4. ETAPA IV
Una vez elaborados los pasos anteriores se definen como entregables los siguientes documentos:
Política de Seguridad
Análisis de riesgos
Brecha de lo implementado y lo que falta por implementar
Plan de Seguridad de la Información (reflejado en el POI)
Gestión de la Seguridad
Consideramos que la protección de la información se consigue mediante un conjunto de acciones
coordinadas y planificadas consistentes en minimizar los riesgos y maximizar la eficiencia en los
procesos de la organización. La información es uno de los activos más importantes de una empresa, por
lo que la protección en ese ámbito ha de ser de prioritaria.
La norma ISO 27001 es un instrumento base para la gestión de la seguridad de la información,
estructurándose en un conjunto de controles y de recomendaciones dirigido a los responsables de
promover, implantar y mantener la seguridad en las entidades. Mediante ella las empresas pueden
certificar sus Sistemas de gestión de Seguridad de la Información (SGSI). Un SGSI es un sistema de
gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los
recursos necesarios para implantar la gestión de la seguridad de la información en función de los
requisitos técnicos, legales y organizativos identificados en la organización.
Gestion del Riesgo
El análisis del riesgo es una de las fases cruciales para el desarrollo y operación de un SGSI. En esta fase
la organización debe construir lo que será su “modelo de seguridad”, una representación de todos sus
activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su
funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una
hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización).
El análisis de riesgos es como la visita del doctor donde nos identifica alguna enfermedad. Se realizan
una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de
impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo.
11. Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino
que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia
de las amenazas. Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si
tiene nuevos sintomas o si los sintomas detectados han sido ya mitigados y se pueden tratar otras
carencias de menor importancia. La mejora contínua afecta también al riesgo ya que si los niveles más
altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes menos altos.
Posted in ONGEI | Leave a Comment »
Auditorias
Posted by jdcaramutti en 1 junio, 2010
1. Auditoria De Gestion En El Area De Recursos Humanos De Essalud”
CONCLUSIONES Y RECOMENDACIONES
1. CONCLUSIONES
1.1. CONCLUSIÓN FINAL
En relación a la auditoría de gestión los resultados obtenidos en la investigación; permiten establecer,
que la evaluación realizada contribuye en gran medida con la efectividad, eficiencia y economía de los
recursos humanos.
1.2. CONCLUSIONES PARCIALES
a. El adecuado planeamiento de la auditoría de gestión, sin ninguna duda, facilita la determinación de la
efectividad, eficiencia y economía del Area de Recursos Humanos de EsSalud.
b. La preparación de programas de auditoría, la aplicación de técnicas, pruebas y obtención de
evidencias de auditoría permiten la elaboración de hallazgos de auditoría, observaciones, conclusiones y
recomendaciones del Area de Recursos Humanos.
c. Las medidas correctivas para optimizar la gestión de los recursos humanos, sólo se puede llevar a
cabo si se analiza e interpreta correctamente el contenido de los informes de la auditoría de gestión.
d. La supervisión o monitoreo llevadas a cabo en forma permanente y/o puntual asegura el seguimiento
de las medidas correctivas adoptadas por el Area de Recursos Humanos, hasta obtener la eficiencia y
eficacia del Area.
e. Mediante la aplicación de la Auditoría de Gestión, es posible realizar ajustes, si fuera el caso, a los
planes y programas del Area de Recursos Humanos para su gerenciamiento óptimo.
12. 2. Policía Nacional Del Perú: Auditoría Integral, Herramienta Para El Buen Gobierno Y
Respuesta Efectiva Contra La Corrupción
La investigación titulada “Policia Nacional Del Peru: Auditoria Integral, Herramienta Para El
Buen Gobierno Y Respuesta Efectiva Contra La Corrupcion”, tiene como objetivo: “Identificar el
alcance de la auditoría integral, que permita formular el planeamiento, ejecución y obtención de
resultados de la auditoría, de modo que contribuyan al buen gobierno institucional y luchar
efectivamente contra la corrupción en la Policía Nacional del Perú“.
La corrupción es un acto ilegal casi institucionalizado en el quehacer de los niveles gubernamentales.
Para enfrentarse a tales actos la Dirección General de la Policía Nacional del Perú, debe hacer uso de una
extraordinaria herramienta de gestión y control institucional, como es la auditoría integral. La auditoría
integral, además de evidenciar los procesos y procedimientos institucionales, va a aportar las
recomendaciones que requiere la entidad para adoptar una política severa, justa y decidida para no
tolerar comportamientos de corrupción por parte de directores, jefes, personal policial; funcionarios y
trabajadores.
Para el desarrollo de este trabajo se ha aplicado la metodología, las técnicas e instrumentos
necesarios para una adecuada investigación, en el marco de las normas de la Escuela de Post Grado de
la Universidad Nacional Federico Villarreal.
3. Perú: La Auditoria Académica Y Las Acciones De Control Para La Buena Administración De
Las Universidades Nacionales En El Perú
” La auditoría académica permite emitir una opinión profesional independiente, respecto a si las
actividades académicas en su conjunto, presentan razonablemente la situación de dichas actividades, de
acuerdo con las leyes, políticas, procesos y procedimientos establecidos ”
4. Auditoría médica de historias clínicas en consulta externa de cuatro hospitales públicos
peruanos.
RESULTADOS
Se evaluaron 04 hospitales del MINSA, en cada uno de ellos fueron revisadas no menos de 384 Historias
Clínicas: Hospital de Apoyo Bagua – Amazonas:396 historias clínicas (HC), Hospital Las Mercedes de
Chiclayo – Lambayeque:390 HC, Hospital Daniel Alcides Carrión de Huancayo – Junín: 384 HC, y
Hospital Regional de Ica: 396 HC. La recolección de las datas se hizo durante las dos primeras semanas
del mes de abril del 2005.
13. Considerando las dimensiones propuestas, se evidenciaron los resultados agrupando las mismas en
cuatro categorías básicas: registro de funciones vitales con 8,75% (rango: Junín 0,00%-Amazonas
25,76%), registro de síntomas de consulta con 91,08% (rango: Lambayeque 77,18%-Amazonas
99,49%), registro de examen físico con 56,63% (rango: Junín 17,06%-Amazonas 80,46%), registro de
diagnóstico del paciente con 97,43% (rango: Lambayeque 93,04%-Amazonas 100,00%), y registro del
tratamiento o plan de trabajo con 89,37% (rango: Junín 82,41%-Amazonas 99,75%). Además se
evaluaron las variables administrativas siguientes: registro de fecha y hora con 13,70% (rango:
Amazonas 0,25%-Ica 37,20%), y registro de la firma y sello del profesional que hizo dicha consulta con
54,65% (rango: Ica 41,67%-Amazonas 65,65%)