Este documento presenta una introducción a la auditoría informática. Explica que la auditoría informática evalúa si un sistema de información protege los activos de una empresa, mantiene la integridad de los datos, cumple con los objetivos de la organización y utiliza los recursos de manera eficiente. También describe los tipos de auditoría, los campos de aplicación de la informática, los modelos de control como COBIT y los principios que aplican los auditores informáticos.
1. Contenido del Curso: Administración de la función informática
UNIDAD I
Introducción a la auditoria informática.
Conceptos de auditoría y auditoria Informática.
La auditoría informática es el proceso de recoger, agrupar y
evaluar evidencias para determinar si un Sistema de Información
salvaguarda el activo empresarial, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organización y
utiliza eficientemente los recursos.
Auditar consiste * El análisis de la eficiencia de Auditoría contable (de
principalmente en los Sistemas Informáticos estados financieros) – no es
interés del curso.
estudiar los * La verificación del Auditoría interna. La lleva a
mecanismos de cumplimiento de la Normativa cabo un departamento
dentro de la organización y
control que en este ámbito
existe una relación laboral.
están * La revisión de la eficaz Auditoría externa. No existe
gestión de los recursos relación laboral y la hacen
implantados en
personas externas al
una empresa u informáticos. negocio para que los
resultados que nos arroje
organización,
La auditoría informática sean imparciales como
determinando si sirve para mejorar ciertas pueden ser las firmas de
los mismos son características en la contadores o
empresa como: administradores
adecuados y - Eficiencia independientes.
cumplen unos - Eficacia Auditoria administrativa.
- Rentabilidad (William. P Leonard) es un
determinados
- Seguridad examen completo y
objetivos o constructivo de la
Generalmente se puede estructura organizativa de la
estrategias,
desarrollar en alguna o empresa, institución o
estableciendo los combinación de las departamento
cambios que se siguientes áreas: gubernamental o de
- Gobierno corporativo cualquier otra entidad y de
deberían realizar - Administración del Ciclo sus métodos de control,
para la de vida de los sistemas medios de operación y
- Servicios de Entrega y empleo que dé a sus
consecución de Soporte recursos humanos y
los mismos. - Protección y Seguridad materiales.
- Planes de continuidad y Auditoria gubernamental.
Recuperación de desastres Auditoría Financiera:
Los objetivos de la auditoría
Informática son: Consiste en una revisión
* El control de la función 1.2 Tipos de auditoría. exploratoria y critica de los
controles subyacentes y los
informática registros de contabilidad de
2. una empresa realizada por forma independiente para ingeniería y de productos
un contador público. otorgarle validez ante los comerciales, trazado de
Auditoria de operaciones: usuarios del producto de planos, etc.
Se define como una técnica este, por lo cual Documentación e
para evaluar tradicionalmente se ha información: Es uno de los
sistemáticamente de una asociado el término campos más importantes
función o una unidad con Auditoría Externa a para la utilización de
referencia a normas de la Auditoría de Estados computadoras. Estas se
empresa, utilizando Financieros, lo cual como usan para el
personal no especializado se observa no es totalmente almacenamiento de grandes
en el área de estudio. equivalente, pues puede cantidades de datos y la
Auditoría fiscal: Consiste existir. Auditoría Externa recuperación controlada de
en verificar el correcto y del Sistema de Información los mismos en bases de
oportuno pago de los Tributario, Auditoría datos.
diferentes impuestos y Externa del Sistema de Gestión administrativa:
obligaciones fiscales de los Información Automatiza las funciones de
contribuyentes desde el Administrativo, Auditoría gestión típicas de una
punto de vista físico Externa del Sistema de empresa.
(SHCP), direcciones o Información Automático Inteligencia artificial: Las
tesorerías de hacienda etc. computadoras se programan
estatales o tesorerías de forma que emulen el
municipales. La auditoría Interna es el comportamiento de la
Auditoria de resultados de examen crítico, sistemático mente humana. Los
programas: Esta auditoría la y detallado de un sistema de programas responden como
eficacia y congruencia información de una unidad previsiblemente lo haría una
alcanzadas en el logro de económica, realizado por un persona inteligente.
los objetivos y las metas profesional con vínculos Instrumentación y control:
establecidas. laborales con la misma, Instrumentación
Auditoria de legalidad: Este utilizando técnicas electrónica, electro
tipo de auditoría tiene como determinadas y con el medicina, robots
finalidad revisar si la objeto de emitir informes y industriales, entre otros.
dependencia o entidad, en formular sugerencias para
el desarrollo de sus el mejoramiento de la 1.4 Control interno.
actividades. misma. Estos informes son
Auditoría integral: Es un de circulación interna y no El Control Interno
examen que proporciona tienen trascendencia a los Informático puede definirse
una evaluación objetiva y terceros pues no se como el sistema integrado
constructiva acerca del producen bajo la figura de al proceso administrativo,
grado en que los recursos la Fe Pública. en la planeación,
humanos, financieros y organización, dirección y
materiales. 1.3 Campo de la auditoria control de las operaciones
informática. con el objeto de asegurar la
1.2.1 Auditoría interna y protección de todos los
externa. Algunos campos de recursos informáticos y
aplicación de la informática mejorar los índices de
La Auditoría Externa son las siguientes: economía, eficiencia y
examina y evalúa efectividad de los procesos
cualquiera de los sistemas Investigación científica y operativos automatizados.
de información de una humanística: Se usan la las
organización y emite una computadoras para la También se puede definir
opinión independiente sobre resolución de cálculos el Control Interno como
los mismos, pero las matemáticos, recuentos cualquier actividad o acción
empresas generalmente numéricos, etc. realizada manual y/o
requieren de la evaluación Aplicaciones técnicas: Usa automáticamente para
de su sistema de la computadora para prevenir, corregir errores o
información financiero en facilitar diseños de irregularidades que puedan
2
3. afectar al funcionamiento específicos de IT desde una define un marco de
de un sistema para perspectiva de negocios. referencia que clasifica los
conseguir sus objetivos. “La adecuada procesos de las unidades de
implementación de un tecnología de información
1.5 Modelos de control modelo COBIT en una de las organizaciones en
utilizados en auditoria organización, provee una cuatro “dominios”
informática. herramienta automatizada, principales, a saber:
para evaluar de manera ágil -Planificación y
El COBIT es precisamente y consistente el organización
un modelo para auditar la cumplimiento de los -Adquisición e
gestión y control de los objetivos de control y implantación
sistemas de información y controles detallados, que -Soporte y Servicios
tecnología, orientado a aseguran que los procesos y - Monitoreo
todos los sectores de una recursos de información y
organización, es decir, tecnología contribuyen al Estos dominios agrupan
administradores IT, logro de los objetivos del objetivos de control de alto
usuarios y por supuesto, los negocio en un mercado nivel, que cubren tanto los
auditores involucrados en el cada vez más exigente, aspectos de información,
proceso. complejo y diversificado”, como de la tecnología que
señaló un informe de la respalda. Estos dominios
Las siglas COBIT ETEK. y objetivos de control
significan Objetivos de facilitan que la generación y
Control para Tecnología de COBIT, lanzado en 1996, procesamiento de la
Información y Tecnologías es una herramienta de información cumplan con
relacionadas (Control gobierno de TI que ha las características de
Objetives cambiado la forma en que efectividad, eficiencia,
forInformationSystems and trabajan los profesionales confidencialidad,
relatedTechnology). El de tecnología. Vinculando integridad, disponibilidad,
modelo es el resultado de tecnología informática y cumplimiento y
una investigación con prácticas de control, el confiabilidad.
expertos de varios países, modelo COBIT consolida y
desarrollado por ISACA armoniza estándares de Asimismo, se deben tomar
(InformationSystemsAudit fuentes globales en cuenta los recursos que
and Control Association). prominentes en un recurso proporciona la tecnología
crítico para la gerencia, los de información, tales como:
La estructura del modelo profesionales de control y datos, aplicaciones,
COBIT propone un marco los auditores. plataformas tecnológicas,
de acción donde se evalúan instalaciones y recurso
los criterios de información, COBIT se aplica a los humano.
como por ejemplo la sistemas de información de
seguridad y calidad, se toda la empresa, incluyendo “Cualquier tipo de empresa
auditan los recursos que los computadores puede adoptar una
comprenden la tecnología personales y las redes. Está metodología COBIT, como
de información, como por basado en la filosofía de parte de un proceso de
ejemplo el recurso humano, que los recursos TI reingeniería en aras de
instalaciones, sistemas, necesitan ser administrados reducir los índices de
entre otros, y finalmente se por un conjunto de procesos incertidumbre sobre
realiza una evaluación sobre naturalmente agrupados vulnerabilidades y riesgos
los procesos involucrados para proveer la información de los recursos IT y
en la organización. pertinente y confiable que consecuentemente, sobre la
requiere una organización posibilidad de evaluar el
El COBIT es un modelo de para lograr sus objetivos. logro de los objetivos del
evaluación y monitoreo que negocio apalancado en
enfatiza en el control de El conjunto de lineamientos procesos tecnológicos”,
negocios y la seguridad IT y y estándares internacionales finalizó el informe de
que abarca controles conocidos como COBIT, ETEK.
3
4. informático a auditar, el Fase VII: Seguimiento de
1.6 Principios aplicados a auditor deberá establecer las Recomendaciones
los auditores informáticos. los requisitos mínimos,
aconsejables y óptimos para 2.1.1 Planeación.
El auditor deberá ver cómo su adecuación a la finalidad
se puede conseguir la para la que ha sido Para hacer una adecuada
máxima eficacia y diseñado. El auditor deberá planeación de la auditoría
rentabilidad de los medios lógicamente abstenerse de en informática, hay que
informáticos de la empresa recomendar actuaciones seguir una serie de pasos
auditada, estando obligado innecesariamente onerosas, previos que permitirán
a presentar dañinas o que generen dimensionar el tamaño y
recomendaciones acerca del riesgos injustificados para características de área
reforzamiento del sistema y el auditado. Una de las dentro del organismo a
el estudio de las soluciones cuestiones más auditar, sus sistemas,
más idóneas según los controvertidas, respecto de organización y equipo. En
problemas detectados en el la aplicación de este el caso de la auditoría en
sistema informático de esta principio, es la referente a informática, la planeación
última. En ningún caso está facilitar el derecho de las es fundamental, pues habrá
justificado que realice su organizaciones auditadas a que hacerla desde el punto
trabajo el prisma del propio la libre elección del auditor. de vista de los dos
beneficio. Cualquiera Si el auditado decidiera objetivos:
actitud que se anteponga encomendar posteriores
intereses personales del auditorías a otros • Evaluación de los sistemas
auditor a los del auditado profesionales, éstos y procedimientos.
deberá considerarse como deberías poder tener acceso • Evaluación de los equipos
no ética. Para garantizar el a los informes de los de cómputo.
beneficio del auditado como trabajos profesionales, éstos
la necesaria independencia deberían poder tener acceso 2.1.2 Revisión preliminar.
del auditor, este último a los informes de los
deberá evitar estar ligado en trabajos anteriormente En esta fase el auditor debe
cualquier forma, a intereses realizados sobre el sistema de armarse de un
de determinadas marcas, del auditado. conocimiento amplio del
productos o equipos área que va a auditar, los
compatibles con los de su del grado de cobertura que objetivos que debe cumplir,
cliente. La adaptación del dan las aplicaciones a las tiempos (una empresa no
auditor al sistema del necesidades estratégicas y pude dejar sus equipos y
auditado debe implicar una operativas de información personal que lo opera sin
cierta simbiosis con el de la empresa. trabajar porque esto le
mismo, a fin de adquirir un genera pérdidas
conocimiento UNIDAD II Planeación de sustanciosas), herramientas
pormenorizado de sus la auditoria Informática. y conocimientos previos,
características intrínsecas. así como de crear su equipo
Únicamente en los casos en 2.1 Fases de la auditoria. de auditores expertos en la
el que el auditor dedujese la materia con el fin de evitar
imposibilidad de que el Fase I: Conocimientos del tiempos muertos a la hora
sistema pudiera acomodarse Sistema de iniciar la auditoria.
a las exigencias propias de Fase II: Análisis de
su cometido, este podrá transacciones y recursos Es de tomarse en cuenta que
proponer un cambio Fase III: Análisis de riesgos el propietario de dicha
cualitativamente y amenazas empresa, ordena una
significativo de Fase IV: Análisis de auditoria cuando siente que
determinados elementos o controles un área tiene una falla o
del propio sistema Fase V: Evaluación de simplemente no trabaja
informático globalmente Controles productivamente como se
contemplado. Una vez Fase VI: El Informe de sugiere, por esta razón
estudiado el sistema auditoria habrá puntos claves que se
4
5. nos instruya sean revisados, como de la evidencia del será preciso determinar si
hay que recordar que las cumplimiento, dentro del los errores tienen una
auditorias parten desde un periodo restante, que puede repercusión directa en los
ámbito administrativo y no obtenerse de las pruebas estados financieros, o si los
solo desde la parte sustantivas realizadas por el puntos fuertes del control
tecnológica, porque al fin auditor independiente. eliminarían el error.
de cuentas hablamos de
tiempo y costo de La determinación de la 2.1.5 Pruebas de controles
producción, ejercicio de extensión de las pruebas de de usuario.
ventas, etc. Es decir, todo cumplimento se realizará
aquello que representa un sobre bases estadísticas o En una auditoria existen los
gasto para la empresa. sobre bases subjetivas. El siguientes módulos para
muestreo estadístico es, en ayudarle a planificar y
2.1.3 Revisión detallada. principio, el medio idóneo ejecutar pruebas:
para expresar en términos
Los objetos de la fase cuantitativos el juicio del Aéreas de Auditoria
detallada son los de obtener auditor respecto a la Registro de Riesgos y
la información necesaria razonabilidad, Controles
para que el auditor tenga un determinando la extensión Plan de Pruebas
profundo entendimiento de de las pruebas y evaluando Realizar pruebas
los controles usados dentro su resultado. Permite especificar la
del área de informática. estructura bajo la cual se
Cuando se utilicen bases agruparan las pruebas.
El auditor debe de decidir subjetivas se deberá dejar Permite planificar y ejecutar
se debe continuar constancia en los papeles de pruebas relacionadas con
elaborando pruebas de trabajo de las razones que los riesgos y controles
consentimiento, con la han conducido a tal definidos para esta
esperanza de obtener mayor elección, justificando los auditoría.
confianza por medio del criterios y bases de Permite agregar, editar y
sistema de control interno, o selección. borrar pruebas con
proceder directamente a independencia del Registro
revisión con los usuarios Evaluación del control de Riesgos y Controles.
(pruebas compensatorias) o interno Permite registrar el
a las pruebas sustantivas. resultado y el status de cada
Realizados los cuestionarios prueba (completadas,
2.1.4 Examen y evaluación y representado gráficamente revisadas o aprobadas).
de la información. el sistema de acuerdo con
los procedimientos vistos, Una Librería de Áreas y una
Periodo en el que se hemos de conjugar ambos a Librería de Pruebas pueden
desarrollan las pruebas y su fin de realizar un análisis e también ser mantenida para
extensión identificar los puntos proveer Áreas y Pruebas
fuertes y débiles del Standard para su selección
Los auditores sistema. en cada auditoria.
independientes podrán
realizar las pruebas de En esa labor de Las Áreas de Auditoria
cumplimiento durante el identificación, influye estructuran sus pruebas en
periodo preliminar. primordialmente la programas de trabajo
habilidad para entender el lógicos y pueden usarse
Cuando éste sea el caso, la sistema y comprender los para capturar información
aplicación de tales pruebas puntos fuertes y débiles de relacionada con los
a todo el periodo restante su control interno. objetivos de cada programa
puede no ser necesaria, de trabajo.
dependiendo La conjugación de ambas
fundamentalmente del nos dará el nivel de 2.1.6 Pruebas sustantivas.
resultado de estas pruebas confianza de los controles
en el periodo preliminar así que operan en la empresa, y
5
6. El objetivo de las pruebas Garantía o conjunto de personal que habrá de
sustantivas es obtener garantías que se da a participar en la auditoria.
evidencia suficiente que alguien sobre el
permita al auditor emitir su cumplimiento de algo. Uno de los esquemas
juicio en las conclusiones generalmente aceptados
acerca de cuándo pueden Ejemplo: Seguridad Social para tener un adecuado
ocurrir pérdidas materiales Conjunto de organismos, control es que el personal
durante el proceso de la medios, medidas, etc., de la que intervenga esté
información. administración estatal para debidamente capacitado,
prevenir o remediar los que tenga un alto sentido de
Se pueden identificar 8 posibles riesgos, problemas moralidad, al cual se le
diferentes pruebas y necesidades de los exija la optimización de
sustantivas: trabajadores, como recursos (eficiencia) y se le
enfermedad, accidentes retribuya o compense
1 pruebas para identificar laborales, incapacidad, justamente por su trabajo.
errores en el procesamiento maternidad o jubilación; se
o de falta de seguridad o financia con aportaciones Con estas bases debemos
confidencialidad. del Estado, trabajadores y considerar los
2 prueba para asegurar la empresarios. conocimientos, la práctica
calidad de los datos. profesional y la
3 pruebas para identificar la Se dice también de todos capacitación que debe tener
inconsistencia de datos. aquellos objetos, el personal que intervendrá
4 prueba para comparar con dispositivos, medidas, etc., en la auditoria.
los datos o contadores que contribuyen a hacer
físicos. más seguro el También se deben contar
5 confirmaciones de datos funcionamiento o el uso de con personas asignadas por
con fuentes externas una cosa: cierre de los usuarios para que en el
6 pruebas para confirmar la seguridad, cinturón de momento que se solicite
adecuada comunicación. seguridad. información, o bien se
7 prueba para determinar efectúe alguna entrevista de
falta de seguridad. 2.4 Personal participante. comprobación de hipótesis,
8 pruebas para determinar nos proporcionen aquello
problemas de legalidad. Una de las partes más que se está solicitando, y
importantes en la complementen el grupo
2.2 Evaluación de los planeación de la auditoría multidisciplinario, ya que
sistemas de acuerdo al en informática es el debemos analizar no sólo el
riesgo. personal que deberá punto de vista de la
participar, ya que se debe dirección de informática,
Riesgo contar con un equipo sino también el del usuario
seleccionado y con ciertas del sistema.
Proximidad o posibilidad de características que puedan
un daño, peligro, etc. ayudar a llevar la auditoria UNIDAD III Auditoria de
de manera correcta y en el la función informática.
Cada uno de los tiempo estimado.
imprevistos, hechos 3.1 Recopilación de la
desafortunados, etc., que Aquí no se verá el número información organizacional.
puede cubrir un seguro. de persona que deberán
participar, ya que esto Para que un proceso de
Sinónimos: amenaza, depende de las dimensiones D.O. tenga éxito debe
contingencia, emergencia, de la organización, de los comenzar por obtener un
urgencia, apuro. sistemas y de los equipos, diagnostico con
lo que se deberá considerar información verdadera y a
Seguridad son exactamente las tiempo de lo que sucede en
características que debe la organización bajo
Cualidad o estado de seguro cumplir cada uno del análisis, esta obtención de
la información debe ser
6
7. planeada en forma perjudiciales para la obtener la máxima
estructurada para garantizar empresa o que no están información posible del
una generación de datos que justificando su costo, o candidato.
ayuden posteriormente su prácticas y condiciones que
análisis. Es un ciclo deben incrementarse. Te preguntará por tu
continuo en el cual se currículum, experiencias,
planea la recolección de La auditoría es un sistema habilidades, aficiones e
datos, se analiza, se de revisión y control para intentará ponerte en
retroalimentan y se da un informar a la administración situaciones reales para
seguimiento. sobre la eficiencia y la estudiar tus reacciones. En
eficacia del programa que ocasiones puede haber más
La recolección de datos lleva a cabo. de un entrevistador, con el
puede darse de varias fin de tener más de un
maneras: El sistema de punto de vista a la hora de
administración de recursos elegir el candidato final.
• Cuestionarios humanos necesita patrones
• Entrevistas capaces de permitir una Modalidades de la
• Observación continua evaluación y Entrevista Personal
• Información documental control sistemático de su
(archivo) funcionamiento. Estructurada (dirigida)
Toda la información tiene Patrón en in criterio o un El entrevistador dirige la
un valor en sí misma, el modelo que se establece conversación y hace las
método de obtención de previamente para permitir la preguntas al candidato
información está comparación con los siguiendo un cuestionario o
directamente ligado a la resultados o con los guión. El entrevistador
disponibilidad, dificultad y objetivos alcanzados. Por formulará las mismas
costo. Existen ventajas y medio de la comparación preguntas a todos los
desventajas en el uso de con el patrón pueden candidatos.
cada una de estas evaluarse los resultados
herramientas, su utilidad obtenidos y verificar que Se recomienda contestar a
dependerá del objetivo que ajustes y correcciones las preguntas aportando
se busque y los medios para deben realizarse en el aquella información que se
llevar a cabo esa sistema, con el fin de que pide, con claridad y
recolección de datos en funcione mejor. brevedad.
tiempo y forma para su
posterior análisis. 3.3 Entrevistas con el No estructurada (libre)
personal de informática.
3.2 Evaluación de los El entrevistador te dará la
recursos humanos La entrevista es uno de los iniciativa a ti, y deberás
eslabones finales para desenvolverte por tu cuenta.
La auditoría de recursos conseguir la posición El entrevistador podría
humanos puede definirse deseada. Desde el otro lado empezar con la pregunta:
como el análisis de las del mostrador y habiendo “Háblame de ti”, y luego
políticas y prácticas de entrevistado a 5.000 seguir con preguntas
personal de una empresa y profesionales en sistemas generales, que surgen en
la evaluación de su entre nuestro equipo de función del desarrollo de la
funcionamiento actual, selectores, te dejamos conversación.
seguida de sugerencias para valiosos consejos en esta
mejorar. El propósito nota. Lo más aconsejable es
principal de la auditoria de empezar siguiendo el guión
recursos humanos es Es un diálogo directo entre de tu historial profesional.
mostrar cómo está el entrevistador y También puedes preguntar
funcionado el programa, entrevistado. El si está interesado en
localizando prácticas y entrevistador dirige la conocer algo en particular.
condiciones que son conversación e intenta Aprovecha para llevar la
7
8. conversación a los puntos Existencia de un sistema y el ejercicio presupuestario
fuertes que deseas destacar presupuestal que permita del gasto, tal como lo
en relación con el puesto identificar, reunir, analizar, establecen los Términos de
ofertado. clasificar, registrar y Referencia para auditorías a
producir información Órganos
Semi-estructurada (mixta) cuantitativa de las Desconcentrados y
operaciones basadas en Entidades Paraestatales de
Es una combinación de las flujos de efectivo y partidas la SFP, así como el flujo de
dos anteriores. El devengadas efectivo que detalle el
entrevistador utilizará origen y el destino de los
preguntas directas para - Existencia de egresos (Art.103 de la Ley
conseguir informaciones procedimientos relativos a Federal de Presupuesto y
precisas sobre ti, y autorización, procesamiento Responsabilidad
preguntas indirectas para y clasificación de Hacendaria)
sondearte respecto a tus transacciones, salvaguarda
motivaciones. Intenta seguir física de documentación
un orden discursivo, sé soporte y de verificación y
conciso e intenta relacionar evaluación, incluyendo los UNIDAD IV Evaluación de
tus respuestas y aplicables a la actualización la seguridad.
comentarios con las de cifras y a los controles
exigencias del puesto al que relativos al procesamiento Generalidades de la
optas. electrónico de datos. - seguridad del área física.
Vigilancia sobre el
3.4 Situación presupuestal establecimiento y Es muy importante ser
y financiera. mantenimiento de controles consciente que por más que
internos con objeto de nuestra empresa sea la más
El estudio y evaluación del identificar si están operando segura desde el punto de
control interno deberá efectivamente y si deben ser vista de ataques externos,
efectuarse conforme a lo modificados cuando existan Hackers, virus, etc.
dispuesto en el boletín 3050 cambios importantes. (conceptos luego
“Estudio y Evaluación del tratados);la seguridad de la
Control Interno”, emitido Para efectos de estudio y misma será nula si no se ha
por la Comisión de Normas evaluación del control previsto como combatir un
y Procedimientos de interno en una revisión en incendio.
Auditoría del Instituto una revisión de estados
Mexicano de Contadores presupuestarios, el auditor La seguridad física es uno
Públicos, A.C., éste servirá deberá considerar los de los aspectos más
de base para determinar el siguientes aspectos: olvidados a la hora del
grado de confianza que se diseño de un sistema
depositará en él y le permita a. Existencia de un Informático. Si bien
determinar la naturaleza, presupuesto anual algunos de los aspectos
alcance y oportunidad, que autorizado tratados a continuación se
va a dar a los b. Existencia e políticas, prevén, otros, como la
procedimientos de bases y lineamientos detección de un atacante
auditoría, por lo que el presupuestarios interno a la empresa que
auditor para el c. Existencia de un sistema intenta a acceder
cumplimiento de los de registro presupuestario físicamente a una sala de
objetivos deberá considerar d. Existencia de un operaciones de la misma,
lo siguiente: procedimiento de no.
autorizaciones
- Existencia de factores que e. Procedimientos de Esto puede derivar en que
aseguren un ambiente de registro, control y reporte para un atacante sea más
control presupuestario fácil lograr tomar y copiar
- Existencia de riesgo en la una cinta de la sala, que
información financiera Obtener el estado analítico intentar acceder vía lógica a
de recursos presupuestarios la misma.
8
9. Cambio de los datos antes o "management" o gestión de
Así, la Seguridad Física cuando se le da entrada a la la empresa. Cabe aclarar
consiste en la “aplicación computadora. que la Informática no
de barreras físicas y Copias de programas y /o gestiona propiamente la
procedimientos de control, información. empresa, ayuda a la toma de
como medidas de Código oculto en un decisiones, pero no decide
prevención y contramedidas programa por sí misma. Por ende,
ante amenazas a los Entrada de virus debido a su importancia en
recursos e información el funcionamiento de una
confidencial” (1). Se refiere Un método eficaz para empresa, existe la Auditoría
a los controles y proteger sistemas de Informática.
mecanismos de seguridad computación es el software
dentro y alrededor del de control de acceso. Los El término de Auditoría se
Centro de Cómputo así paquetes de control de ha empleado
como los medios de acceso acceso protegen contra el incorrectamente con
remoto al y desde el mismo; acceso no autorizado, pues frecuencia ya que se ha
implementados para piden al usuario una considerado como una
proteger el hardware y contraseña antes de evaluación cuyo único fin
medios de almacenamiento permitirle el acceso a es detectar errores y señalar
de datos. información confidencial. fallas. A causa de esto, se
Sin embargo, los paquetes ha tomado la frase "Tiene
4.2 Seguridad lógica y de control de acceso Auditoría" como sinónimo
confidencial. basados en componentes de que, en dicha entidad,
pueden ser eludidos por antes de realizarse la
La seguridad lógica se delincuentes sofisticados en auditoría, ya se habían
encarga de los controles de computación, por lo que no detectado fallas.
acceso que están diseñados es conveniente depender de
para salvaguardar la esos paquetes por si solos El concepto de auditoría es
integridad de la información para tener una seguridad mucho más que esto. Es un
almacenada de una adecuada. examen crítico que se
computadora, así como de realiza con el fin de evaluar
controlar el mal uso de la 4.3 Seguridad personal. la eficacia y eficiencia de
información. una sección, un organismo,
A finales del siglo XX, los una entidad, etc.
La seguridad lógica se Sistemas Informáticos se
encarga de controlar y han constituido en las 4.4 Clasificación de los
salvaguardar la información herramientas más poderosas controles de seguridad.
generada por los sistemas, para materializar uno de los
por el software de conceptos más vitales y Clasificación general de los
desarrollo y por los necesarios para cualquier controles
programas en aplicación. organización empresarial,
los Sistemas de Información Controles Preventivos
Identifica individualmente a de la empresa.
cada usuario y sus Son aquellos que reducen la
actividades en el sistema, y La Informática hoy, está frecuencia con que ocurren
restringe el acceso a datos, subsumida en la gestión las causas del riesgo,
a los programas de uso integral de la empresa, y permitiendo cierto margen
general, de uso específico, por eso las normas y de violaciones.
de las redes y terminales. estándares propiamente
informáticos deben estar, Ejemplos: Letrero "No
La falta de seguridad lógica por lo tanto, sometidos a los fumar" para salvaguardar
o su violación puede traer generales de la misma. En las instalaciones
las siguientes consecuencias consecuencia, las
a la organización: organizaciones informáticas Sistemas de claves de
forman parte de lo que se ha acceso
denominado el
9
10. Controles detectives Sistemas de identificación, y se obtiene son la parte
asignación y cambio de más importante de todo el
Son aquellos que no evitan derechos de acceso, control sistema informático y su
que ocurran las causas del de accesos, restricción de razón de ser. Un sistema
riesgo sino que los detecta terminales, desconexión de informático existe como tal
luego de ocurridos. Son los la sesión, limitación de desde el momento en que
más importantes para el reintento. es capaz de tratar y
auditor. En cierta forma suministrar información.
sirven para evaluar la Software de base. Sin ésta, se reduciría a un
eficiencia de los controles conjunto de elementos
preventivos. Control de cambios y lógicos sin ninguna utilidad.
versiones, control de uso de
Ejemplo: Archivos y programas de utilidad, En la actualidad la inmensa
procesos que sirvan como control de uso de recursos y mayoría de sistemas tienen
pistas de auditoría medición de 'performance'. la información organizada
en sendas Bases de Datos.
Procedimientos de Software de aplicación. Los criterios que se citan a
validación continuación hacen
En este apartado se trata referencia a la seguridad de
Controles Correctivos todo lo concerniente al los Sistemas de Gestión de
software de aplicación, es Bases de Datos (SGBD)
Ayudan a la investigación y decir, todo lo relativo a las que cumplan normas ANSI,
corrección de las causas del aplicaciones de gestión, si bien muchos de ellos
riesgo. La corrección sean producto de desarrollo pueden ser aplicables a los
adecuada puede resultar interno de la empresa o bien archivos de datos
difícil e ineficiente, siendo sean paquetes estándar convencionales.
necesaria la implantación de adquiridos en el mercado.
controles defectivos sobre Diseño de bases de datos.
los controles correctivos, Desarrollo de software.
debido a que la corrección Es importante la utilización
de errores es en sí una . Metodología: existe, se de metodologías de diseño
actividad altamente aplica, es satisfactoria. de datos. El equipo de
propensa a errores. Documentación: existe, esta analistas y diseñadores
actualizada, es accesible. deben hacer uso de una
4.5 Seguridad en los datos . Estándares: se aplican, misma metodología de
y software de aplicación. como y quien lo controla. diseño, la cual debe estar en
Involucración del usuario. concordancia con la
Este apartado aborda los . Participación de personal arquitectura de la Base de
aspectos asociados al externo. Datos elegida jerárquica,
componente lógico del . Control de calidad. relacional, red, o bien
sistema: programas y datos. . Entornos real y de prueba. orientada a objetos.
Para ello, se distingue entre . Control de cambios.
las medidas para restringir y Debe realizarse una
controlar el acceso a dichos Adquisición de software estimación previa del
recursos, los estándar. volumen necesario para el
procedimientos para almacenamiento de datos
asegurar la fiabilidad del Metodología, basada en distintos aspectos
software (tanto operativo pruebas, condiciones, tales como el número
como de gestión) y los garantías, contratos, mínimo y máximo de
criterios a considerar para capacitación, licencias, registros de cada entidad
garantizar la integridad de derechos, soporte técnico. del modelo de datos y las
la información. predicciones de
Datos. crecimiento.
Control de acceso.
Los datos es decir, la A partir de distintos
información que se procesa factores como el número de
10
11. usuarios que accederá a la centralizar en personas 4.6 Controles para evaluar
información, la necesidad especializadas en el tema software de aplicación.
de compartir información y las tareas de redacción de
las estimaciones de normas referentes al gestor Una vez conseguida la
volumen se deberá elegir el de datos utilizado, Operatividad de los
SGBD más adecuado a las definición de estándares y Sistemas, el segundo
necesidades de la empresa o nomenclatura, diseño de objetivo de la auditoría es la
proyecto en cuestión. procedimientos de arranque, verificación de la
recuperación de datos, observancia de las normas
En la fase de diseño de asesoramiento al personal teóricamente existentes en
datos, deben definirse los de desarrollo entre algunos el departamento de
procedimientos de otros aspectos. Informática y su coherencia
seguridad, confidencialidad con las del resto de la
e integridad que se Creación de bases de datos. empresa. Para ello, habrán
aplicarán a los datos: de revisarse sucesivamente
Debe crearse un entorno de y en este orden:
Procedimientos para desarrollo con datos de
recuperar los datos en casos prueba, de modo que las 1. Las Normas Generales de
de caída del sistema o de actividades del desarrollo la Instalación Informática.
corrupción de los archivos. no interfieran el entorno de Se realizará una revisión
explotación. Los datos de inicial sin estudiar a fondo
Procedimientos para prueba deben estar las contradicciones que
prohibir el acceso no dimensionados de manera pudieran existir, pero
autorizado a los datos. Para que permitan la realización registrando las áreas que
ello deberán identificarlos. de pruebas de integración carezcan de normativa, y
con otras aplicaciones, de sobre todo verificando que
Procedimientos para rendimiento con volúmenes esta Normativa General .
restringir el acceso no altos. Informática no está en
autorizado a los datos. contradicción con alguna
Debiendo identificar los En la fase de creación, Norma General no
distintos perfiles de usuario deben desarrollarse los informática de la empresa.
que accederán a los procedimientos de
archivos de la aplicación y seguridad, confidencialidad 2. Los Procedimientos
los subconjuntos de e integridad definidos en la Generales Informáticos. Se
información que podrán etapa de diseño: verificará su existencia, al
modificar o consultar. . Construcción de los menos en los sectores más
procedimientos de copia y importantes. Por ejemplo, la
Procedimientos para restauración de datos. recepción definitiva de las
mantener la consistencia y . Construcción de los máquinas debería estar
corrección de la procedimientos de firmada por los
información en todo restricción y control de responsables de
momento. acceso. Existen dos Explotación. Tampoco el
enfoques para este tipo de alta de una nueva
Básicamente existen dos procedimientos: Aplicación podría
niveles de integridad: la de producirse si no existieran
datos, que se refiere al tipo, Confidencialidad basada en los Procedimientos de
longitud y rango aceptable roles, que consiste en la Backup y Recuperación
en cada caso, y la lógica, definición de los perfiles de correspondientes.
que hace referencia a las usuario y las acciones que
relaciones que deben existir les son permitidas (lectura, 3. Los Procedimientos
entre las tablas y reglas del actualización, alta, borrado, Específicos Informáticos.
negocio. creación/eliminación de Igualmente, se revisara su
tablas, modificación de la existencia en las áreas
Debe designarse un estructura de las tablas). fundamentales. Así,
Administrador de Datos, ya Explotación no debería
que es importante explotar una Aplicación sin
11
12. haber exigido a Desarrollo delincuentes pueden pasar medio de disquetes
la pertinente desapercibidos a través de "infectados"; también se
documentación. Del mismo las fronteras, ocultarse tras están propagando
modo, deberá comprobarse incontables "enlaces" o últimamente por las redes,
que los Procedimientos simplemente desvanecerse con frecuencia camuflados
Específicos no se opongan a sin dejar ningún documento en mensajes electrónicos o
los Procedimientos de rastro. Pueden despachar en programas
Generales. En todos los directamente las "descargados" de la red.
casos anteriores, a su vez, comunicaciones o esconder
deberá verificarse que no pruebas delictivas en 4.8 Plan de contingencia,
existe contradicción alguna "paraísos informáticos" - o seguros, procedimientos de
con la Normativa y los sea, en países que carecen recuperación de desastres.
Procedimientos Generales de leyes o experiencia para
de la propia empresa, a los seguirles la pista -. Medida que las empresas se
que la Informática debe han vuelto cada vez más
estar sometida. Según datos recientes del dependientes de las
Servicio Secreto de los computadoras y las redes
4.7 Controles para prevenir Estados Unidos, se calcula para manejar sus
crímenes y fraudes que los consumidores actividades, la
informáticos. pierden unos 500 millones disponibilidad de los
de dólares al año debido a sistemas informáticos se ha
En los años recientes las los piratas que les roban de vuelto crucial. Actualmente,
redes de computadoras han las cuentas online sus la mayoría de las empresas
crecido de manera números de tarjeta de necesitan un nivel alto de
asombrosa. Hoy en día, el crédito y de llamadas. disponibilidad y algunas
número de usuarios que se Dichos números se pueden requieren incluso un nivel
comunican, hacen sus vender por jugosas sumas continuo de disponibilidad,
compras, pagan sus cuentas, de dinero a falsificadores ya que les resultaría
realizan negocios y hasta que utilizan programas extremadamente difícil
consultan con sus médicos especiales para codificarlos funcionar sin los recursos
online supera los 200 en bandas magnéticas de informáticos.
millones, comparado con 26 tarjetas bancarias y de
millones en 1995. crédito, señala el Manual de Los procedimientos
la ONU. manuales, si es que existen,
A medida que se va sólo serían prácticos por un
ampliando la Internet, Otros delincuentes de la corto periodo. En caso de
asimismo va aumentando el informática pueden sabotear un desastre, la interrupción
uso indebido de la misma. las computadoras para prolongada de los servicios
Los denominados ganarle ventaja económica a de computación puede
delincuentes cibernéticos se sus competidores o llevar a pérdidas financieras
pasean a su aire por el amenazar con daños a los significativas, sobre todo si
mundo virtual, incurriendo sistemas con el fin de está implicada la
en delitos tales como el cometer extorsión. Los responsabilidad de la
acceso sin autorización o malhechores manipulan los gerencia de informática. Lo
"piratería informática", el datos o las operaciones, ya más grave es que se puede
fraude, el sabotaje sea directamente o mediante perder la credibilidad del
informático, la trata de los llamados "gusanos" o público o los clientes y,
niños con fines "virus", que pueden como consecuencia, la
pornográficos y el acecho. paralizar completamente los empresa puede terminar en
sistemas o borrar todos los un fracaso total.
Los delincuentes de la datos del disco duro.
informática son tan diversos Algunos virus dirigidos En un estudio realizado por
como sus delitos; puede contra computadoras la Universidad de
tratarse de estudiantes, elegidas al azar; que Minnesota, se ha
terroristas o figuras del originalmente pasaron de demostrado que más del
crimen organizado. Estos una computadora a otra por 60% de las empresas que
12
13. sufren un desastre y que no transporte, sesión,
tienen un plan de UNIDAD V Auditoria de la presentación y aplicación.
recuperación ya en seguridad en la
funcionamiento, saldrán del teleinformática. También, mencionamos las
negocio en dos o tres años. redes de área local ya que
Mientras vaya en aumento 5.1 Generalidades de la son muy importantes en lo
la dependencia de la seguridad en el área de la que a la teleinformática
disponibilidad de los teleinformática. respecta.
recursos informáticos, este
porcentaje seguramente En la actualidad tiene una Hicimos inca pié en la red
crecerá. gran trascendencia tanto Internet y su protocolo
técnica como social, lo que TCP/IP, y en los conceptos
Por lo tanto, la capacidad se denomina básicos sobre
para recuperarse teleinformática: la unión de Programas de
exitosamente de los efectos la informática y las Comunicación y Gestión de
de un desastre dentro de un telecomunicaciones. Tanto Red.
periodo predeterminado en la vida profesional como
debe ser un elemento en las actividades Analizamos los servicios de
crucial en un plan cotidianas, es habitual el valor añadido como el
estratégico de seguridad uso de expresiones y Video tex, Ibercom o La
para una organización. conceptos relacionados con Telefonía Móvil.
la teleinformática.
4.9 Técnicas y herramientas Además, establecimos los
relacionadas con la Este trabajo se basa en últimos desarrollos y las
seguridad física y del conceptos fundamentales tendencias de la
personal. expresados de la manera teleinformática, desde las
más simple posible, pero a redes digitales hasta el
SEGURIDAD FISICA su vez siendo precisos. proceso distribuido.
Es todo lo relacionado con Comenzamos por introducir Por último, manifestamos la
la seguridad y salvaguarda la historia y evolución de importancia de la relación
de los bienes tangibles de lateleinformática y de la que existe entre la
los sistemas manera en que fue teleinformática y la
computacionales de la desarrollándose, y a su vez, sociedad, en lo que respecta
empresa, tales como el proporcionando un a la educación, la sanidad y
hardware, periféricos, y panorama general del tema. la empresa.
equipos asociados, las Luego mencionamos de
instalaciones eléctricas, las forma genérica los Explicaremos claramente la
instalaciones de elementos que integran un importancia de la
comunicación y de datos. sistema teleinformática, teleinformática y su
desde un simple terminal desarrollo a través de la
Igualmente todo lo hasta una red. historia desde el comienzo
relacionado con la ya que es uno de los
seguridad y salvaguarda de Continuamos explicando las factores que ha constituido
las construcciones, el técnicas fundamentales de y constituye un elemento
mobiliario y equipo de transmisión de datos, para fundamental para la
oficina, así como la comprender cómo viaja la evolución de la humanidad:
protección a los accesos al información de un sistema a la comunicación.
centro de sistematización. otro a través de los circuitos
de telecomunicación. En una comunicación se
En sí, es todo lo relacionado transmite información
con la seguridad, la Las técnicas de desde una persona a otra e
prevención de riesgos y comunicación se intervienen tres elementos:
protección de los recursos estructuran en niveles: el emisor, que da origen a la
físicos informáticos de la físico, enlace de datos, red, información, el medio, que
empresa. permite la transmisión, y el
13
14. receptor, que recibe la habilitaron un gran número su profesión, debiendo
información. de técnicas y métodos que abordar aspectos
luego fueron muy relacionados con el
La primera comunicación importantes a lo que Gobierno Corporativo y los
que existió entre los respecta a la comunicación. nuevos riesgos a los que se
hombres fue a base de enfrentan las
signos o gestos que 5.2 Objetivos y criterios de organizaciones.
expresaban intuitivamente la auditoria en el área de la 5.3 Síntomas de riesgo.
determinadas teleinformática.
manifestaciones con sentido La Auditoría de la
propio. Estos gestos iban Así ante la continua Seguridad
acompañados de sonidos. aparición de nuevas
herramientas de gestión, la Para muchos la seguridad
Posteriormente, comenzó la auditoría interna se ve sigue siendo el área
comunicación hablada a compelida a velar entre principal a auditar, hasta el
través de un determinado otras cosas por la aplicación punto de que en algunas
lenguaje, en el cuál cada y buen uso de las mismas. entidades se creó
palabra significaba algo y Ello ciertamente implica un inicialmente la función de
cada frase tenía un muy fuerte compromiso. auditoría informática para
contenido informativo. Dijimos antes que la revisar la seguridad, aunque
auditoría debía velar no después se hayan ido
Más tarde, el hombre tubo sólo por los activos de la ampliando los objetivos.
necesidad de realizar empresa sino además por su Cada día es mayor la
comunicaciones a distancia capacidad competitiva. importancia de la
como por ejemplo, entre Cuidar de esto último información, especialmente
personas de dos aldeas significa difundir, apoyar y relacionada con sistemas
situadas a cierta distancia controlar las nuevas y basados en el uso de
pero con visibilidad entre buenas prácticas. Así, tecnología de información y
ambas, o bien entre un haciendo uso del comunicaciones, por lo que
barco y la costa. Es aquí benchmarking puede el impacto de las fallas, los
donde aparecen las señales verificar y promover las accesos no autorizados, la
de humo, destellos con mejores prácticas para revelación de la
espejos entre innumerables elmantenimiento de la más información, entre otros
métodos de comunicación. alta competitividad. Ser problemas, tienen un
competitivo es continuar en impacto mucho mayor que
Con el paso del tiempo y la la lucha por la subsistencia hace algunos años.
evolución tecnológica, la o continuidad de la
comunicación a distancia empresa. En la auditoría de otras
comenzó a ser cada vez más áreas pueden también surgir
importante. Como brillantemente lo revisiones solapadas con la
expresa Fernando Gaziano seguridad; así a la hora de
La primera técnica utilizada (Deloitte Chile), "los revisar el desarrollo se verá
surgió con la aparición del auditores y los astrónomos si se realiza en un entorno
telégrafo y el código morse compartimos plenamente seguro, etc.
que permitieron una idea: el universo se
comunicaciones a través de expande. Así como después Los controles directivos.
cables a unas distancias del "bigbang" un universo Son los fundamentos de la
considerables. de planetas y estrellas seguridad: políticas, planes,
Posteriormente se comenzó y continúa funciones, objetivos de
desarrolló la técnica que dio expandiéndose, de la misma control, presupuesto, así
origen al teléfono para la forma el mundo del Auditor como si existen sistemas y
comunicación directa de la Interno es cada vez más métodos de evaluación
voz a larga distancia. Más amplio. Como nunca, periódica de riesgos.
tarde la radio y la probablemente hoy se El desarrollo de las
transmisión de imágenes a enfrenta a uno de los políticas. Procedimientos,
través de la televisión cambios más importantes en
14
15. posibles estándares, normas así como el comercio
y guías. electrónico. Introducir al estudiante en
Amenazas físicas externas. El entorno de producción. los aspectos técnicos,
Inundaciones, incendios, Cumplimiento de contratos, funcionales y
explosiones, corte de líneas outsourcing. organizacionales que
o suministros, terremotos, El desarrollo de componen la problemática
terrorismo, huelgas, etc., se aplicaciones en un entorno de seguridad en las redes
considera: la ubicación del seguro, y que se incorporen teleinformáticas, ilustrando
centro de procesos, de los controles en los productos las operaciones, técnicas y
servidores, PCs, desarrollados y que éstos herramientas más usuales
computadoras portátiles resulten auditables. Con el para garantizar privacidad,
(incluso fuera de las uso de licencias (de los autenticación y seguridad.
oficinas); estructura, diseño, programas utilizados).
construcción y distribución La continuidad de las Introducción General a la
de edificios; amenazas de operaciones. Planes de Seguridad en Redes
fuego, riesgos por agua, por contingencia o de
accidentes atmosféricos; Continuidad. . Definiciones
contenido en paquetes}, . Generalidades
bolsos o carteras que se No se trata de áreas no . Intrusos
introducen o salen de los relacionadas, sino que casi . Amenazas
edificios; visitas, clientes, todas tienen puntos de . Ataques
proveedores, contratados; enlace comunes:
protección de los soportes comunicaciones con control Planeación de la Seguridad
magnéticos en cuanto a de accesos, cifrado con
acceso, almacenamiento y comunicaciones, etc. . Análisis del sistema actual
transporte. . Análisis de riesgos
Control de accesos Evaluación de riesgos . Definición de políticas de
adecuado. Tanto físicos seguridad
como lógicos, que se Se trata de identificar . Implantación de la
realicen sólo las riesgos, cuantificar su seguridad
operaciones permitidas al probabilidad e impacto y
usuario: lectura, variación, analizar medidas que los Servicios de Seguridad
ejecución, borrado y copia, eliminen o que disminuyan
y quedando las pistas la probabilidad de que . Modelo OSI para
necesarias para el control y ocurran los hechos o arquitecturas de Seguridad
la auditoría. Uso de mitiguen el impacto. Para . Modelo TCP/IP
contraseñas, cifrado de las evaluarlos hay que
mismas, situaciones de considerar el tipo de
bloqueo. información almacenada, UNIDAD VI Informe de la
Protección de datos. Origen procesada y transmitida, la auditoria informática.
del dato, proceso, salida de criticidad de las
los datos. operaciones, la tecnología 6.1 Generalidades de la
Comunicaciones y redes. usada, el marco legal seguridad del área física.
Topología y tipo de aplicable, el sector de la
comunicaciones, posible entidad, la entidad misma y Es muy importante ser
uso de cifrado, protecciones el momento. Los riesgos consciente que por más que
ante virus. Tipos de pueden disminuirse nuestra empresa sea la más
transacciones. Protección de (generalmente no pueden segura desde el punto de
conversaciones de voz en eliminarse), transferirse o vista de ataques externos,
caso necesario, protección asumirse. Hackers, virus, etc.
de transmisiones por fax (conceptos luego tratados);
para contenidos 5.4 Técnicas y la seguridad de la misma
clasificados. Internet e herramientas de auditoría será nula si no se ha
Intranet, correo electrónico, relacionadas con la previsto como combatir un
control sobre páginas web, seguridad en la incendio.
teleinformática.
15
16. La seguridad física es uno patrimonio, de la situación contenida en las cuentas
de los aspectos más financiera y del resultado de anuales.
olvidados a la hora del sus operaciones, así como
diseño de un sistema de los recursos obtenidos y En su caso, explica las
informático. Si bien algunos aplicados durante el desviaciones que presentan
de los aspectos tratados a ejercicio. los estados financieros con
continuación se prevén, respecto a unos estándares
otros, como la detección de Características del informe preestablecidos.
un atacante interno a la de auditoría:
empresa que intenta a Podemos sintetizar que el
acceder físicamente a una 1. Es un documento informe es una presentación
sala de operaciones de la mercantil o público. pública, resumida y por
misma, no. escrito del trabajo realizado
2. Muestra el alcance del por los auditores y de su
Esto puede derivar en que trabajo. opinión sobre las cuentas
para un atacante sea más anuales.
fácil lograr tomar y copiar 3. Contiene la opinión del
una cinta de la sala, que auditor. 6.3 Estructura del informe.
intentar acceder vía lógica a
la misma. 4. Se realiza conforme a un Concluido el Trabajo de
marco legal. Campo, el auditor tendrá
Así, la Seguridad Física como responsabilidad la
consiste en la “aplicación Principales afirmaciones confección del
de barreras físicas y que contiene el informe: Informe de Auditoría como
procedimientos de control, un producto final de este
como medidas de Indica el alcance del trabajo trabajo. El informe
prevención y contramedidas y si ha sido posible llevarlo contendrá el mensaje del
ante amenazas a los a cabo y de acuerdo con qué Auditor sobre lo que ha
recursos e información normas de auditoría. hecho y como lo ha
confidencial”(1). Se refiere realizado, así como los
a los controles y Expresa si las cuentas resultados obtenidos.
mecanismos de seguridad anuales contienen la
dentro y alrededor del información necesaria y Concepto
Centro de Cómputo así suficiente y han sido Es el documento emitido
como los medios de acceso formuladas de acuerdo con por el Auditor como
remoto al y desde el mismo; la legislación vigente y, resultado final de su
implementados para también, si dichas cuentas examen y/o evaluación,
proteger el hardware y han sido elaboradas incluye información
medios de almacenamiento teniendo en cuenta el suficiente sobre
de datos. principio contable de Observaciones,
uniformidad. Conclusiones de hechos
6.2 Características del significativos, así como
informe. Asimismo, expresa si las Recomendaciones
cuentas anuales reflejan, en constructivos para superar
Objetivos, características y todos los aspectos las debilidades en cuanto a
afirmaciones que contiene significativos, la imagen políticas, procedimientos,
el informe de auditoría fiel del patrimonio, de la cumplimiento de
situación financiera, de los actividades y otras.
El informe de auditoría resultados y de los recursos
financiera tiene como obtenidos y aplicados. Importancia
objetivo expresar una El Informe de Auditoría,
opinión técnica de las Se opina también sobre la reviste gran Importancia,
cuentas anuales en los concordancia de la porque suministra a la
aspectos significativos o información contable del administración de la
importantes, sobre si éstas informe de gestión con la empresa, información
muestran la imagen fiel del sustancial sobre su proceso
16
17. administrativo, como una del auditor para que tenga la
forma de contribuir al acogida y aceptación que El formato para informes
cumplimiento de sus metas los empresarios esperan de finales está enfocado a
y objetivos programados. él, en este sentido el apoyar y facilitar el proceso
Informe debe: de evaluación de los
El Informe a través de sus resultados de los proyectos
observaciones, conclusiones . Despertar o motivar financiados por la sede
y recomendaciones, interés. Bogotá, con respecto a los
constituye el mejor medio . Convencer mediante compromisos adquiridos en
para que las organizaciones información sencilla, veraz el proyecto aprobado.
puedan apreciar la forma y objetiva. Además de reportar sobre el
como están operando. En cumplimiento de los
algunas oportunidades 2. Requisitos del informe objetivos y el impacto
puede ocurrir que, debido a logrado a partir del uso y
un descuido en su Claridad y simplicidad. obtención de los resultados
preparación, se pierde la La Claridad y Simplicidad, esperados y de las
oportunidad de hacer significan introducir sin actividades de investigación
conocer a la empresa lo que mayor dificultad en la científica.
realmente desea o necesita mente del lector del
conocer para optimizar su informe, lo que el Auditor • Los informes finales
administración, a pesar de ha escrito o pensó escribir. técnico y financiero, deben
que se haya emitido un A veces lo que ocasiona la ser entregados a la
voluminoso informe, pero deficiencia de claridad y Dirección de
inadvertidamente puede simplicidad del informe es Investigación de la sede, al
estar falto de sustentación y precisamente la falta de finalizar el periodo de
fundamento adecuado; en claridad en los conceptos ejecución del proyecto.
consecuencia su contenido que el Auditor tiene en • El informe debe ser
puede ser pobre; con esto mente, es decir, no hay una aprobado previamente por
queremos hacer resaltar el cabal comprensión de lo el respectivo Consejo
hecho de que, el Informe que realmente quiere Directivo de cada
debe comunicar comunicar, asimismo Facultad, Centro o Instituto.
información útil para cuando el Informe está falto • El informe debe contener
promover la toma de de claridad, puede dar lugar un índice. Cada página del
decisiones. a una doble interpretación, informe debe estar
Lamentablemente esto no se ocasionando de este modo numerada.
logrará si el informe revela que, se torne inútil y pierda • Cada anexo debe estar
pobreza de expresión y no su utilidad. En numerado haciendo
se aportan comentarios consecuencia, para que el referencia a lo anotado en
constructivos. informe logre su objetivo de los cuadros de resultados.
informar o comunicar al • El informe técnico final
Redacción del Informe cliente, el Auditor: deberá presentarse en
La Redacción se efectuará versión impresa y
en forma corriente a fin de . Evitará el uso de un magnética (CD o disquete).
que su contenido sea lenguaje técnico, florido o
comprensible al lector, vago. I. CONTENIDO DEL
evitando en lo posible el . Evitará ser muy breve. INFORME TÉCNICO
uso de terminología muy . Evitará incluir mucho
especializada; evitando detalle. 1. Título y código del
párrafos largos y . Utilizará palabras simples, proyecto
complicados, así como familiares al lector, es decir, 2. Nombre del investigador
expresiones grandilocuentes escribirá en el idioma que el principal y de la Facultad,
y confusas. lector entiende. Centro o Instituto al que
pertenece
La Redacción del Informe 3. Fecha de entrega del
debe merecer mucha 6.4 Formato para el Informe
atención cuidado de parte informe.
17
18. 4. Sinopsis divulgativa: Con 8. Conclusiones
el propósito de promover la .
divulgación de las
actividades investigativas
que adelanta la Sede Bogotá
y para dar mayor difusión a
los proyectos, deben incluir
un resumen de una cuartilla
que servirá de base para la
elaboración de notas
académicas dirigidas a los
medios de comunicación de
la Universidad.
5. Resumen técnico de los
resultados obtenidos
durante la realización del
proyecto y de las
principales conclusiones
(máximo cinco páginas).
6. Cuadro de resultados
obtenidos: De acuerdo a los
objetivos y resultados
esperados planteados en el
proyecto aprobado,
relacione los resultados
obtenidos durante la
realización del proyecto, los
cuales deben estar
soportados por sus
respectivos indicadores
verificables: publicaciones,
patentes, registros, normas,
certificaciones, memorias,
formación de recurso
humano, capacitación,
organización y/o
participación en eventos
científicos, etc., estos deben
numerarse y adjuntarse
como anexos del informe
(ver cuadro No. 1).
7. Descripción del impacto
actual o potencial de los
resultados: En términos de
generación de nuevo
conocimiento a nivel
mundial, de aporte para el
desarrollo del país, de
contribución a la solución
de problemas específicos,
de fortalecimiento de la
capacidad científica, y de
fortalecimiento de la
investigación y creación en
la Sede Bogotá (máximo
dos páginas).
18