Embed Size (px)
DESCRIPTION
JESUS ANTONIO BENAVIDES 1C REVISTA
Citation preview
CONTENIDO DEL CURSO: ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA
UNIDAD I
Introducción a la auditoria informática.
Conceptos de auditoría y auditoria Informática.
La auditoría informática es el proceso de recoger, agrupar y
evaluar evidencias para determinar si un Sistema de
Información
salvaguarda el activo empresarial, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organización y
utiliza eficientemente los recursos.
Auditar consiste principalmente en estudiar los mecanismos de
control que están implantados en una empresa u organización,
determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los
cambios que
se deberían realizar para la consecución de los mismos.
Los objetivos de la auditoría Informática son:
* El control de la función informática
* El análisis de la eficiencia de los Sistemas Informáticos
* La verificación del cumplimiento de la Normativa en este
ámbito
* La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas
características en la empresa como:
- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad
Generalmente se puede desarrollar en alguna o combinación
de las siguientes áreas:
- Gobierno corporativo
- Administración del Ciclo de vida de los sistemas
- Servicios de Entrega y Soporte
- Protección y Seguridad
- Planes de continuidad y Recuperación de desastres
1.2 Tipos de auditoría.
Auditoría contable (de estados financieros) – no es interés del
curso.
Auditoría interna. La lleva a cabo un departamento dentro de la
organización y existe una relación laboral.
Auditoría externa. No existe relación laboral y la hacen
personas externas al negocio para que los resultados que nos
arroje sean
imparciales como pueden ser las firmas de contadores o
administradores independientes.
1 Practica
Auditoria administrativa. (William. P Leonard) es un examen
completo y constructivo de la estructura organizativa de la
empresa,
institución o departamento gubernamental o de cualquier otra
entidad y de sus métodos de control, medios de operación y
empleo
que dé a sus recursos humanos y materiales.
Auditoria gubernamental.
Auditoría Financiera: Consiste en una revisión exploratoria y
critica de los controles subyacentes y los registros de
contabilidad
de una empresa realizada por un contador público.
Auditoria de operaciones: Se define como una técnica para
evaluar sistemáticamente de una función o una unidad con
referencia a
normas de la empresa, utilizando personal no especializado en
el área de estudio.
Auditoría fiscal: Consiste en verificar el correcto y oportuno
pago de los diferentes impuestos y obligaciones fiscales de los
contribuyentes desde el punto de vista físico (SHCP),
direcciones o tesorerías de hacienda estatales o tesorerías
municipales.
Auditoria de resultados de programas: Esta auditoría la eficacia
y congruencia alcanzadas en el logro de los objetivos y las metas
establecidas.
Auditoria de legalidad: Este tipo de auditoría tiene como
finalidad revisar si la dependencia o entidad, en el desarrollo de
sus
actividades.
Auditoría integral: Es un examen que proporciona una
evaluación objetiva y constructiva acerca del grado en que los
recursos
humanos, financieros y materiales.
1.2.1 Auditoría interna y externa.
La Auditoría Externa examina y evalúa cualquiera de los
sistemas de información de una organización y emite una
opinión
independiente sobre los mismos, pero las empresas
generalmente requieren de la evaluación de su sistema de
información
financiero en forma independiente para otorgarle validez ante
los usuarios del producto de este, por lo cual tradicionalmente
se ha
asociado el término Auditoría Externa a Auditoría de Estados
Financieros, lo cual como se observa no es totalmente
equivalente, pues puede existir. Auditoría Externa del Sistema
de
Información Tributario, Auditoría Externa del Sistema de
Información Administrativo, Auditoría Externa del Sistema de
Información Automático etc.
La auditoría Interna es el examen crítico, sistemático y detallado
de un sistema de información de una unidad económica,
realizado por un profesional con vínculos laborales con la
misma, utilizando técnicas determinadas y con el objeto de
emitir
informes y formular sugerencias para el mejoramiento de la
misma. Estos informes son de circulación interna y no tienen
trascendencia a los terceros pues no se producen bajo la figura
de la Fe Pública.
1.3 Campo de la auditoria informática.
2 Practica
Algunos campos de aplicación de la informática son las
siguientes:
Investigación científica y humanística: Se usan la las
computadoras para la resolución de cálculos matemáticos,
recuentos
numéricos, etc.
Aplicaciones técnicas: Usa la computadora para facilitar diseños
de ingeniería y de productos comerciales, trazado de planos,
etc.
Documentación e información: Es uno de los campos más
importantes para la utilización de computadoras. Estas se usan
para el
almacenamiento de grandes cantidades de datos y la
recuperación controlada de los mismos en bases de datos.
Gestión administrativa: Automatiza las funciones de gestión
típicas de una empresa.
Inteligencia artificial: Las computadoras se programan de forma
que emulen el comportamiento de la mente humana. Los
programas responden como previsiblemente lo haría una
persona inteligente.
Instrumentación y control: Instrumentación electrónica, electro
medicina, robots industriales, entre otros.
1.4 Control interno.
El Control Interno Informático puede definirse como el sistema
integrado al proceso administrativo, en la planeación,
organización, dirección y control de las operaciones con el
objeto de asegurar la protección de todos los recursos
informáticos y
mejorar los índices de economía, eficiencia y efectividad de los
procesos operativos automatizados.
También se puede definir el Control Interno como cualquier
actividad o acción realizada manual y/o automáticamente para
prevenir, corregir errores o irregularidades que puedan afectar
al funcionamiento de un sistema para conseguir sus objetivos.
1.5 Modelos de control utilizados en auditoria informática.
El COBIT es precisamente un modelo para auditar la gestión y
control de los sistemas de información y tecnología, orientado
a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores
involucrados en el
proceso.
Las siglas COBIT significan Objetivos de Control para Tecnología
de Información y Tecnologías relacionadas (Control Objetives
for Information Systems and related Technology). El modelo es
el resultado de una investigación con expertos de varios países,
desarrollado por ISACA (Information Systems Audit and Control
Association).
La estructura del modelo COBIT propone un marco de acción
donde se evalúan los criterios de información, como por
ejemplo la
seguridad y calidad, se auditan los recursos que comprenden la
tecnología de información, como por ejemplo el recurso
humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una
evaluación sobre los procesos involucrados en la organización.
El COBIT es un modelo de evaluación y monitoreo que enfatiza
en el control de negocios y la seguridad IT y que abarca
controles
3 Practica
específicos de IT desde una perspectiva de negocios. “La
adecuada implementación de un modelo COBIT en una
organización,
provee una herramienta automatizada, para evaluar de manera
ágil y consistente el cumplimiento de los objetivos de control y
controles detallados, que aseguran que los procesos y recursos
de información y tecnología contribuyen al logro de los
objetivos
del negocio en un mercado cada vez más exigente, complejo y
diversificado”, señaló un informe de ETEK.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI
que ha cambiado la forma en que trabajan los profesionales de
tecnología. Vinculando tecnología informática y prácticas de
control, el modelo COBIT consolida y armoniza estándares de
fuentes globales prominentes en un recurso crítico para la
gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la
empresa, incluyendo los computadores personales y las redes.
Está
basado en la filosofía de que los recursos TI necesitan ser
administrados por un conjunto de procesos naturalmente
agrupados para
proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.
El conjunto de lineamientos y estándares internacionales
conocidos como COBIT, define un marco de referencia que
clasifica los
procesos de las unidades de tecnología de información de las
organizaciones en cuatro “dominios” principales, a saber:
-Planificación y organización
-Adquisición e implantación
-Soporte y Servicios
- Monitoreo
Estos dominios agrupan objetivos de control de alto nivel, que
cubren tanto los aspectos de información, como de la
tecnología
que la respalda. Estos dominios y objetivos de control facilitan
que la generación y procesamiento de la información cumplan
con
las características de efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.
Asimismo, se deben tomar en cuenta los recursos que
proporciona la tecnología de información, tales como: datos,
aplicaciones,
plataformas tecnológicas, instalaciones y recurso humano.
“Cualquier tipo de empresa puede adoptar una metodología
COBIT, como parte de un proceso de reingeniería en aras de
reducir
los índices de incertidumbre sobre vulnerabilidades y riesgos de
los recursos IT y consecuentemente, sobre la posibilidad de
evaluar el logro de los objetivos del negocio apalancado en
procesos tecnológicos”, finalizó el informe de ETEK.
1.6 Principios aplicados a los auditores informáticos.
El auditor deberá ver cómo se puede conseguir la máxima
eficacia y rentabilidad de los medios informáticos de la empresa
auditada, estando obligado a presentar recomendaciones
acerca del reforzamiento del sistema y el estudio de las
soluciones
más idóneas según los problemas detectados en el sistema
informático de esta última. En ningún caso está justificado que
realice su trabajo el prisma del propio beneficio. Cualquiera
actitud que se anteponga intereses personales del auditor a los
del
4 Practica
auditado deberá considerarse como no ética. Para garantizar el
beneficio del auditado como la necesaria independencia del
auditor, este último deberá evitar estar ligado en cualquier
forma, a intereses de determinadas marcas, productos o
equipos
compatibles con los de su cliente. La adaptación del auditor al
sistema del auditado debe implicar una cierta simbiosis con el
mismo, a fin de adquirir un conocimiento pormenorizado de sus
características intrínsecas. Únicamente en los casos en el que
el auditor dedujese la imposibilidad de que el sistema pudiera
acomodarse a las exigencias propias de su cometido, este podrá
proponer un cambio cualitativamente significativo de
determinados elementos o del propio sistema informático
globalmente
contemplado. Una vez estudiado el sistema informático a
auditar, el auditor deberá establecer los requisitos mínimos,
aconsejables
y óptimos para su adecuación a la finalidad para la que ha sido
diseñado. El auditor deberá lógicamente abstenerse de
recomendar
actuaciones innecesariamente onerosas, dañinas o que generen
riesgos injustificados para el auditado. Una de las cuestiones
más
controvertidas, respecto de la aplicación de este principio, es la
referente a facilitar el derecho de las organizaciones auditadas
a la libre elección del auditor. Si el auditado decidiera
encomendar posteriores auditorías a otros profesionales, éstos
deberías
poder tener acceso a los informes de los trabajos profesionales,
éstos deberían poder tener acceso a los informes de los
trabajos
anteriormente realizados sobre el sistema del auditado.
del grado de cobertura que dan las aplicaciones a las
necesidades estratégicas y operativas de información de la
empresa.
UNIDAD II Planeación de la auditoria Informática.
2.1 Fases de la auditoria.
Fase I: Conocimientos del Sistema
Fase II: Análisis de transacciones y recursos
Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones
2.1.1 Planeación.
Para hacer una adecuada planeación de la auditoría en
informática, hay que seguir una serie de pasos previos que
permitirán
dimensionar el tamaño y características de área dentro del
organismo a auditar, sus sistemas, organización y equipo. En el
caso de
la auditoría en informática, la planeación es fundamental, pues
habrá que hacerla desde el punto de vista de los dos objetivos:
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.
2.1.2 Revisión preliminar.
En esta fase el auditor debe de armarse de un conocimiento
amplio del área que va a auditar, los objetivos que debe
cumplir,
5 Practica
tiempos (una empresa no pude dejar sus equipos y personal
que lo opera sin trabajar porque esto le genera pérdidas
sustanciosas),
herramientas y conocimientos previos, así como de crear su
equipo de auditores expertos en la materia con el fin de evitar
tiempos
muertos a la hora de iniciar la auditoria.
Es de tomarse en cuenta que el propietario de dicha empresa,
ordena una auditoria cuando siente que un área tiene una falla
o
simplemente no trabaja productivamente como se sugiere, por
esta razón habrá puntos claves que se nos instruya sean
revisados,
hay que recordar que las auditorias parten desde un ámbito
administrativo y no solo desde la parte tecnológica, porque al
fin de
cuentas hablamos de tiempo y costo de producción, ejercicio de
ventas, etc. Es decir, todo aquello que representa un gasto para
la
empresa.
2.1.3 Revisión detallada.
Los objetos de la fase detallada son los de obtener la
información necesaria para que el auditor tenga un profundo
entendimiento
de los controles usados dentro del área de informática.
El auditor debe de decidir se debe continuar elaborando
pruebas de consentimiento, con la esperanza de obtener mayor
confianza
por medio del sistema de control interno, o proceder
directamente a revisión con los usuarios (pruebas
compensatorias) o a las
pruebas sustantivas.
2.1.4 Examen y evaluación de la información.
Periodo en el que se desarrollan las pruebas y su extensión
Los auditores independientes podrán realizar las pruebas de
cumplimiento durante el periodo preliminar.
Cuando éste sea el caso, la aplicación de tales pruebas a todo el
periodo restante puede no ser necesaria, dependiendo
fundamentalmente del resultado de estas pruebas en el
periodo preliminar así como de la evidencia del cumplimiento,
dentro del
periodo restante, que puede obtenerse de las pruebas
sustantivas realizadas por el auditor independiente.
La determinación de la extensión de las pruebas de
cumplimento se realizará sobre bases estadísticas o sobre bases
subjetivas. El
muestreo estadístico es, en principio, el medio idóneo para
expresar en términos cuantitativos el juicio del auditor respecto
a la
razonabilidad, determinando la extensión de las pruebas y
evaluando su resultado.
Cuando se utilicen bases subjetivas se deberá dejar constancia
en los papeles de trabajo de las razones que han conducido a tal
elección, justificando los criterios y bases de selección.
Evaluación del control interno
6 Practica
Realizados los cuestionarios y representado gráficamente el
sistema de acuerdo con los procedimientos vistos, hemos de
conjugar
ambos a fin de realizar un análisis e identificar los puntos
fuertes y débiles del sistema.
En esa labor de identificación, influye primordialmente la
habilidad para entender el sistema y comprender los puntos
fuertes y
débiles de su control interno.
La conjugación de ambas nos dará el nivel de confianza de los
controles que operan en la empresa, y será preciso determinar
si los
errores tienen una repercusión directa en los estados
financieros, o si los puntos fuertes del control eliminarían el
error.
2.1.5 Pruebas de controles de usuario.
En una auditoria existen los siguientes módulos para ayudarle a
planificar y ejecutar pruebas:
Aéreas de Auditoria
Registro de Riesgos y Controles
Plan de Pruebas
Realizar pruebas
Permite especificar la estructura bajo la cual se agruparan las
pruebas.
Permite planificar y ejecutar pruebas relacionadas con los
riesgos y controles definidos para esta auditoría.
Permite agregar, editar y borrar pruebas con independencia del
Registro de Riesgos y Controles.
Permite registrar el resultado y el status de cada prueba
(completadas, revisadas o aprobadas).
Una Librería de Áreas y una Librería de Pruebas pueden
también ser mantenida para proveer Áreas y Pruebas Standard
para su
selección en cada auditoria.
Las Áreas de Auditoria estructuran sus pruebas en programas
de trabajo lógicos y pueden usarse para capturar información
relacionada con los objetivos de cada programa de trabajo.
2.1.6 Pruebas sustantivas.
El objetivo de las pruebas sustantivas es obtener evidencia
suficiente que permita al auditor emitir su juicio en las
conclusiones
acerca de cuándo pueden ocurrir pérdidas materiales durante el
proceso de la información.
Se pueden identificar 8 diferentes pruebas sustantivas:
1 pruebas para identificar errores en el procesamiento o de
falta de seguridad o confidencialidad.
2 prueba para asegurar la calidad de los datos.
3 pruebas para identificar la inconsistencia de datos.
4 prueba para comparar con los datos o contadores físicos.
5 confirmaciones de datos con fuentes externas
6 pruebas para confirmar la adecuada comunicación.
7 prueba para determinar falta de seguridad.
8 pruebas para determinar problemas de legalidad.
2.2 Evaluación de los sistemas de acuerdo al riesgo.
7 Practica
Riesgo
v
Proximidad o posibilidad de un daño, peligro, etc.
v
Cada uno de los imprevistos, hechos desafortunados, etc., que
puede cubrir un seguro.
v
Sinónimos: amenaza, contingencia, emergencia, urgencia,
apuro.
Seguridad
v
Cualidad o estado de seguro
v
Garantía o conjunto de garantías que se da a alguien sobre el
cumplimiento de algo.
Ejemplo: Seguridad Social Conjunto de organismos, medios,
medidas, etc., de la administración estatal para prevenir o
remediar
los posibles riesgos, problemas y necesidades de los
trabajadores, como enfermedad, accidentes laborales,
incapacidad,
maternidad o jubilación; se financia con aportaciones del
Estado, trabajadores y empresarios.
Se dice también de todos aquellos objetos, dispositivos,
medidas, etc., que contribuyen a hacer más seguro el
funcionamiento o el
uso de una cosa: cierre de seguridad, cinturón de seguridad.
2.4 Personal participante.
Una de las partes más importantes en la planeación de la
auditoría en informática es el personal que deberá participar, ya
que se
debe contar con un equipo seleccionado y con ciertas
características que puedan ayudar a llevar la auditoria de
manera correcta y
en el tiempo estimado.
Aquí no se verá el número de persona que deberán participar,
ya que esto depende de las dimensiones de la organización, de
los
sistemas y de los equipos, lo que se deberá considerar son
exactamente las características que debe cumplir cada uno del
personal
que habrá de participar en la auditoria.
Uno de los esquemas generalmente aceptados para tener un
adecuado control es que el personal que intervenga esté
debidamente
capacitado, que tenga un alto sentido de moralidad, al cual se le
exija la optimización de recursos (eficiencia) y se le retribuya o
compense justamente por su trabajo.
Con estas bases debemos considerar los conocimientos, la
práctica profesional y la capacitación que debe tener el
personal que
intervendrá en la auditoria.
8 Practica
También se deben contar con personas asignadas por los
usuarios para que en el momento que se solicite información, o
bien se
efectúe alguna entrevista de comprobación de hipótesis, nos
proporcionen aquello que se está solicitando, y complementen
el
grupo multidisciplinario, ya que debemos analizar no sólo el
punto de vista de la dirección de informática, sino también el
del
usuario del sistema.
UNIDAD III Auditoria de la función informática.
3.1 Recopilación de la información organizacional.
Para que un proceso de D.O. tenga éxito debe comenzar por
obtener un diagnostico con información verdadera y a tiempo
de
lo que sucede en la organización bajo análisis, esta obtención de
la información debe ser planeada en forma estructurada para
garantizar una generación de datos que ayuden posteriormente
su análisis. Es un ciclo continuo en el cual se planea la
recolección
de datos, se analiza, se retroalimentan y se da un seguimiento.
La recolección de datos puede darse de varias maneras:
• Cuestionarios
• Entrevistas
• Observación
• Información documental (archivo)
Toda la información tiene un valor en sí misma, el método de
obtención de información está directamente ligado a la
disponibilidad, dificultad y costo. Existen ventajas y desventajas
en el uso de cada una de estas herramientas, su utilidad
dependerá del objetivo que se busque y los medios para llevar a
cabo esa recolección de datos en tiempo y forma para su
posterior
análisis.
3.2 Evaluación de los recursos humanos
La auditoría de recursos humanos puede definirse como el
análisis de las políticas y prácticas de personal de una empresa y
la
evaluación de su funcionamiento actual, seguida de sugerencias
para mejorar. El propósito principal de la auditoria de recursos
humanos es mostrar cómo está funcionado el programa,
localizando prácticas y condiciones que son perjudiciales para la
empresa
o que no están justificando su costo, o prácticas y condiciones
que deben incrementarse.
La auditoría es un sistema de revisión y control para informar a
la administración sobre la eficiencia y la eficacia del programa
que
lleva a cabo.
El sistema de administración de recursos humanos necesita
patrones capaces de permitir una continua evaluación y control
sistemático de su funcionamiento.
Patrón en in criterio o un modelo que se establece previamente
para permitir la comparación con los resultados o con los
objetivos
9 Practica
alcanzados. Por medio de la comparación con el patrón pueden
evaluarse los resultados obtenidos y verificar que ajustes y
correcciones deben realizarse en el sistema, con el fin de que
funcione mejor.
3.3 Entrevistas con el personal de informática.
La entrevista es uno de los eslabones finales para conseguir la
posición deseada. Desde el otro lado del mostrador y habiendo
entrevistado a 5.000 profesionales en sistemas entre nuestro
equipo de selectores, te dejamos valiosos consejos en esta
nota.
Es un diálogo directo entre el entrevistador y entrevistado. El
entrevistador dirige la conversación e intenta obtener la
máxima
información posible del candidato.
Te preguntará por tu currículum, experiencias, habilidades,
aficiones e intentará ponerte en situaciones reales para estudiar
tus
reacciones. En ocasiones puede haber más de un entrevistador,
con el fin de tener más de un punto de vista a la hora de elegir
el
candidato final.
Modalidades de la Entrevista Personal
Estructurada (dirigida)
El entrevistador dirige la conversación y hace las preguntas al
candidato siguiendo un cuestionario o guión. El entrevistador
formulará las mismas preguntas a todos los candidatos.
Se recomienda contestar a las preguntas aportando aquella
información que se pide, con claridad y brevedad.
No estructurada (libre)
El entrevistador te dará la iniciativa a ti, y deberás
desenvolverte por tu cuenta. El entrevistador podría empezar
con la
pregunta: “Háblame de ti”, y luego seguir con preguntas
generales, que surgen en función del desarrollo de la
conversación.
Lo más aconsejable es empezar siguiendo el guión de tu
historial profesional. También puedes preguntar si está
interesado en
conocer algo en particular. Aprovecha para llevar la
conversación a los puntos fuertes que deseas destacar en
relación con el
puesto ofertado.
Semi-estructurada (mixta)
Es una combinación de las dos anteriores. El entrevistador
utilizará preguntas directas para conseguir informaciones
precisas
sobre ti, y preguntas indirectas para sondearte respecto a tus
motivaciones. Intenta seguir un orden discursivo, sé conciso e
intenta
relacionar tus respuestas y comentarios con las exigencias del
puesto al que optas.
3.4 Situación presupuestal y financiera.
10 Practica
El estudio y evaluación del control interno deberá efectuarse
conforme a lo dispuesto en el boletín 3050 “Estudio y
Evaluación
del Control Interno”, emitido por la Comisión de Normas y
Procedimientos de Auditoría del Instituto Mexicano de
Contadores
Públicos, A.C., éste servirá de base para determinar el grado de
confianza que se depositará en él y le permita determinar la
naturaleza, alcance y oportunidad, que va a dar a los
procedimientos de auditoría, por lo que el auditor para el
cumplimiento de los
objetivos deberá considerar lo siguiente:
- Existencia de factores que aseguren un ambiente de control
- Existencia de riesgo en la información financiera
Existencia de un sistema presupuestal que permita identificar,
reunir, analizar, clasificar, registrar y producir información
cuantitativa de las operaciones basadas en flujos de efectivo y
partidas devengadas
- Existencia de procedimientos relativos a autorización,
procesamiento y clasificación de transacciones, salvaguarda
física de
documentación soporte y de verificación y evaluación,
incluyendo los aplicables a la actualización de cifras y a los
controles
relativos al procesamiento electrónico de datos. - Vigilancia
sobre el establecimiento y mantenimiento de controles internos
con
objeto de identificar si están operando efectivamente y si
deben ser modificados cuando existan cambios importantes.
Para efectos de estudio y evaluación del control interno en una
revisión en una revisión de estados presupuestarios, el auditor
deberá considerar los siguientes aspectos:
a. Existencia de un presupuesto anual autorizado
b. Existencia e políticas, bases y lineamientos presupuestarios
c. Existencia de un sistema de registro presupuestario
d. Existencia de un procedimiento de autorizaciones
e. Procedimientos de registro, control y reporte presupuestario
Obtener el estado analítico de recursos presupuestarios y el
ejercicio presupuestario del gasto, tal como lo establecen los
Términos
de Referencia para auditorías a Órganos
Desconcentrados y Entidades Paraestatales de la SFP, así como
el flujo de efectivo que detalle el origen y el destino de los
egresos
(Art.103 de la Ley Federal de Presupuesto y
Responsabilidad Hacendaria)
UNIDAD IV Evaluación de la seguridad.
Generalidades de la seguridad del área física.
Es muy importante ser consciente que por más que nuestra
empresa sea la más segura desde el punto de vista de ataques
externos,
Hackers, virus, etc. (conceptos luego tratados); la seguridad de
la misma será nula si no se ha previsto como combatir un
incendio.
La seguridad física es uno de los aspectos más olvidados a la
hora del diseño de un sistema
11 Practica
Informático. Si bien algunos de los aspectos tratados a
continuación se prevén, otros, como la detección de un
atacante interno a la
empresa que intenta a acceder físicamente a una sala de
operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr
tomar y copiar una cinta de la sala, que intentar acceder vía
lógica
a la misma.
Así, la Seguridad Física consiste en la “aplicación de barreras
físicas y procedimientos de control, como medidas de
prevención y
contramedidas ante amenazas a los recursos e información
confidencial” (1). Se refiere a los controles y mecanismos de
seguridad
dentro y alrededor del Centro de Cómputo así como los medios
de acceso remoto al y desde el mismo; implementados para
proteger el hardware y medios de almacenamiento de datos.
4.2 Seguridad lógica y confidencial.
La seguridad lógica se encarga de los controles de acceso que
están diseñados para salvaguardar la integridad de la
información
almacenada de una computadora, así como de controlar el mal
uso de la información.
La seguridad lógica se encarga de controlar y salvaguardar la
información generada por los sistemas, por el software de
desarrollo
y por los programas en aplicación.
Identifica individualmente a cada usuario y sus actividades en el
sistema, y restringe el acceso a datos, a los programas de uso
general, de uso específico, de las redes y terminales.
La falta de seguridad lógica o su violación puede traer las
siguientes consecuencias a la organización:
Cambio de los datos antes o cuando se le da entrada a la
computadora.
Copias de programas y /o información.
Código oculto en un programa
Entrada de virus
Un método eficaz para proteger sistemas de computación es el
software de control de acceso. Los paquetes de control de
acceso
protegen contra el acceso no autorizado, pues piden al usuario
una contraseña antes de permitirle el acceso a información
confidencial. Sin embargo, los paquetes de control de acceso
basados en componentes pueden ser eludidos por delincuentes
sofisticados en computación, por lo que no es conveniente
depender de esos paquetes por si solos para tener una
seguridad
adecuada.
4.3 Seguridad personal.
A finales del siglo XX, los Sistemas Informáticos se han
constituido en las herramientas más poderosas para
materializar uno de
los conceptos más vitales y necesarios para cualquier
organización empresarial, los Sistemas de Información de la
empresa.
12 Practica
La Informática hoy, está subsumida en la gestión integral de la
empresa, y por eso las normas y estándares propiamente
informáticos deben estar, por lo tanto, sometidos a los
generales de la misma. En consecuencia, las organizaciones
informáticas
forman parte de lo que se ha denominado el "management" o
gestión de la empresa. Cabe aclarar que la Informática no
gestiona
propiamente la empresa, ayuda a la toma de decisiones, pero
no decide por sí misma. Por ende, debido a su importancia en el
funcionamiento de una empresa, existe la Auditoría
Informática.
El término de Auditoría se ha empleado incorrectamente con
frecuencia ya que se ha considerado como una evaluación cuyo
único
fin es detectar errores y señalar fallas. A causa de esto, se ha
tomado la frase "Tiene Auditoría" como sinónimo de que, en
dicha
entidad, antes de realizarse la auditoría, ya se habían detectado
fallas.
El concepto de auditoría es mucho más que esto. Es un examen
crítico que se realiza con el fin de evaluar la eficacia y eficiencia
de una sección, un organismo, una entidad, etc.
4.4 Clasificación de los controles de seguridad.
Clasificación general de los controles
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las
causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las
instalaciones
Sistemas de claves de acceso
Controles detectives
Son aquellos que no evitan que ocurran las causas del riesgo
sino que los detecta luego de ocurridos. Son los más
importantes para
el auditor. En cierta forma sirven para evaluar la eficiencia de
los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de
auditoría
Procedimientos de validación
Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo.
La corrección adecuada puede resultar difícil e ineficiente,
siendo
necesaria la implantación de controles defectivos sobre los
controles correctivos, debido a que la corrección de errores es
en sí una
actividad altamente propensa a errores.
4.5 Seguridad en los datos y software de aplicación.
13 Practica
Este apartado aborda los aspectos asociados al componente
lógico del sistema: programas y datos. Para ello, se distingue
entre las
medidas para restringir y controlar el acceso a dichos recursos,
los procedimientos para asegurar la fiabilidad del software
(tanto
operativo como de gestión) y los criterios a considerar para
garantizar la integridad de la información.
Control de acceso.
Sistemas de identificación, asignación y cambio de derechos de
acceso, control de accesos, restricción de terminales,
desconexión
de la sesión, limitación de reintento.
Software de base.
Control de cambios y versiones, control de uso de programas de
utilidad, control de uso de recursos y medición de
'performance'.
Software de aplicación.
En este apartado se trata todo lo concerniente al software de
aplicación, es decir, todo lo relativo a las aplicaciones de
gestión, sean
producto de desarrollo interno de la empresa o bien sean
paquetes estándar adquiridos en el mercado.
Desarrollo de software.
. Metodología: existe, se aplica, es satisfactoria.
Documentación: existe, esta actualizada, es accesible.
. Estándares: se aplican, como y quien lo controla. Involucración
del usuario.
. Participación de personal externo.
. Control de calidad.
. Entornos real y de prueba.
. Control de cambios.
Adquisición de software estándar.
Metodología, pruebas, condiciones, garantías, contratos,
capacitación, licencias, derechos, soporte técnico.
Datos.
Los datos es decir, la información que se procesa y se obtiene
son la parte más importante de todo el sistema informático y su
razón de ser. Un sistema informático existe como tal desde el
momento en que es capaz de tratar y suministrar información.
Sin
ésta, se reduciría a un conjunto de elementos lógicos sin
ninguna utilidad.
En la actualidad la inmensa mayoría de sistemas tienen la
información organizada en sendas Bases de Datos. Los criterios
que se
citan a continuación hacen referencia a la seguridad de los
Sistemas de Gestión de Bases de Datos (SGBD) que cumplan
normas
ANSI, si bien muchos de ellos pueden ser aplicables a los
archivos de datos convencionales.
Diseño de bases de datos.
14 Practica
Es importante la utilización de metodologías de diseño de
datos. El equipo de analistas y diseñadores deben hacer uso de
una
misma metodología de diseño, la cual debe estar en
concordancia con la arquitectura de la Base de Datos elegida
jerárquica,
relacional, red, o bien orientada a objetos.
Debe realizarse una estimación previa del volumen necesario
para el almacenamiento de datos basada en distintos aspectos
tales
como el número mínimo y máximo de registros de cada entidad
del modelo de datos y las predicciones de crecimiento.
A partir de distintos factores como el número de usuarios que
accederá a la información, la necesidad de compartir
información y
las estimaciones de volumen se deberá elegir el SGBD más
adecuado a las necesidades de la empresa o proyecto en
cuestión.
En la fase de diseño de datos, deben definirse los
procedimientos de seguridad, confidencialidad e integridad que
se aplicarán a los
datos:
Procedimientos para recuperar los datos en casos de caída del
sistema o de corrupción de los archivos.
Procedimientos para prohibir el acceso no autorizado a los
datos. Para ello deberán identificarlos.
Procedimientos para restringir el acceso no autorizado a los
datos. Debiendo identificar los distintos perfiles de usuario que
accederán a los archivos de la aplicación y los subconjuntos de
información que podrán modificar o consultar.
Procedimientos para mantener la consistencia y corrección de
la información en todo momento.
Básicamente existen dos niveles de integridad: la de datos, que
se refiere al tipo, longitud y rango aceptable en cada caso, y la
lógica, que hace referencia a las relaciones que deben existir
entre las tablas y reglas del negocio.
Debe designarse un Administrador de Datos, ya que es
importante centralizar en personas especializadas en el tema
las tareas de
redacción de normas referentes al gestor de datos utilizado,
definición de estándares y nomenclatura, diseño de
procedimientos de
arranque, recuperación de datos, asesoramiento al personal de
desarrollo entre algunos otros aspectos.
Creación de bases de datos.
Debe crearse un entorno de desarrollo con datos de prueba, de
modo que las actividades del desarrollo no interfieran el
entorno de
explotación. Los datos de prueba deben estar dimensionados de
manera que permitan la realización de pruebas de integración
con
otras aplicaciones, de rendimiento con volúmenes altos.
15 Practica
En la fase de creación, deben desarrollarse los procedimientos
de seguridad, confidencialidad e integridad definidos en la
etapa de
diseño:
. Construcción de los procedimientos de copia y restauración de
datos.
. Construcción de los procedimientos de restricción y control de
acceso. Existen dos enfoques para este tipo de procedimientos:
Confidencialidad basada en roles, que consiste en la definición
de los perfiles de usuario y las acciones que les son permitidas
(lectura, actualización, alta, borrado, creación/eliminación de
tablas, modificación de la estructura de las tablas).
4.6 Controles para evaluar software de aplicación.
Una vez conseguida la Operatividad de los Sistemas, el segundo
objetivo de la auditoría es la verificación de la observancia de
las normas teóricamente existentes en el departamento de
Informática y su coherencia con las del resto de la empresa.
Para ello,
habrán de revisarse sucesivamente y en este orden:
1. Las Normas Generales de la Instalación Informática. Se
realizará una revisión inicial sin estudiar a fondo las
contradicciones
que pudieran existir, pero registrando las áreas que carezcan de
normativa, y sobre todo verificando que esta Normativa
General .
Informática no está en contradicción con alguna Norma General
no informática de la empresa.
2. Los Procedimientos Generales Informáticos. Se verificará su
existencia, al menos en los sectores más importantes. Por
ejemplo,
la recepción definitiva de las máquinas debería estar firmada
por los responsables de Explotación. Tampoco el alta de una
nueva
Aplicación podría producirse si no existieran los Procedimientos
de Backup y Recuperación correspondientes.
3. Los Procedimientos Específicos Informáticos. Igualmente, se
revisara su existencia en las áreas fundamentales. Así,
Explotación no debería explotar una Aplicación sin haber
exigido a Desarrollo la pertinente documentación. Del mismo
modo,
deberá comprobarse que los Procedimientos Específicos no se
opongan a los Procedimientos Generales. En todos los casos
anteriores, a su vez, deberá verificarse que no existe
contradicción alguna con la Normativa y los Procedimientos
Generales de la
propia empresa, a los que la Informática debe estar sometida.
4.7 Controles para prevenir crímenes y fraudes informáticos.
En los años recientes las redes de computadoras han crecido de
manera asombrosa. Hoy en día, el número de usuarios que se
comunican, hacen sus compras, pagan sus cuentas, realizan
negocios y hasta consultan con sus médicos online supera los
200
millones, comparado con 26 millones en 1995.
A medida que se va ampliando la Internet, asimismo va
aumentando el uso indebido de la misma. Los denominados
delincuentes
16 Practica
cibernéticos se pasean a su aire por el mundo virtual,
incurriendo en delitos tales como el acceso sin autorización o
"piratería
informática", el fraude, el sabotaje informático, la trata de niños
con fines pornográficos y el acecho.
Los delincuentes de la informática son tan diversos como sus
delitos; puede tratarse de estudiantes, terroristas o figuras del
crimen organizado. Estos delincuentes pueden pasar
desapercibidos a través de las fronteras, ocultarse tras
incontables "enlaces" o
simplemente desvanecerse sin dejar ningún documento de
rastro. Pueden despachar directamente las comunicaciones o
esconder
pruebas delictivas en "paraísos informáticos" - o sea, en países
que carecen de leyes o experiencia para seguirles la pista -.
Según datos recientes del Servicio Secreto de los Estados
Unidos, se calcula que los consumidores pierden unos 500
millones
de dólares al año debido a los piratas que les roban de las
cuentas online sus números de tarjeta de crédito y de llamadas.
Dichos
números se pueden vender por jugosas sumas de dinero a
falsificadores que utilizan programas especiales para
codificarlos en
bandas magnéticas de tarjetas bancarias y de crédito, señala el
Manual de la ONU.
Otros delincuentes de la informática pueden sabotear las
computadoras para ganarle ventaja económica a sus
competidores o
amenazar con daños a los sistemas con el fin de cometer
extorsión. Los malhechores manipulan los datos o las
operaciones,
ya sea directamente o mediante los llamados "gusanos" o
"virus", que pueden paralizar completamente los sistemas o
borrar
todos los datos del disco duro. Algunos virus dirigidos contra
computadoras elegidas al azar; que originalmente pasaron de
una
computadora a otra por medio de disquetes "infectados";
también se están propagando últimamente por las redes, con
frecuencia
camuflados en mensajes electrónicos o en programas
"descargados" de la red.
4.8 Plan de contingencia, seguros, procedimientos de
recuperación de desastres.
Medida que las empresas se han vuelto cada vez más
dependientes de las computadoras y las redes para manejar sus
actividades,
la disponibilidad de los sistemas informáticos se ha vuelto
crucial. Actualmente, la mayoría de las empresas necesitan un
nivel
alto de disponibilidad y algunas requieren incluso un nivel
continuo de disponibilidad, ya que les resultaría
extremadamente difícil
funcionar sin los recursos informáticos.
Los procedimientos manuales, si es que existen, sólo serían
prácticos por un corto periodo. En caso de un desastre, la
interrupción
prolongada de los servicios de computación puede llevar a
pérdidas financieras significativas, sobre todo si está implicada
la
responsabilidad de la gerencia de informática. Lo más grave es
que se puede perder la credibilidad del público o los clientes y,
como consecuencia, la empresa puede terminar en un fracaso
total.
17 Practica
En un estudio realizado por la Universidad de Minnesota, se ha
demostrado que más del 60% de las empresas que sufren un
desastre y que no tienen un plan de recuperación ya en
funcionamiento, saldrán del negocio en dos o tres años.
Mientras vaya en
aumento la dependencia de la disponibilidad de los recursos
informáticos, este porcentaje seguramente crecerá.
Por lo tanto, la capacidad para recuperarse exitosamente de los
efectos de un desastre dentro de un periodo predeterminado
debe
ser un elemento crucial en un plan estratégico de seguridad
para una organización.
4.9 Técnicas y herramientas relacionadas con la seguridad física
y del personal.
SEGURIDAD FISICA
Es todo lo relacionado con la seguridad y salvaguarda de los
bienes tangibles de los sistemas computacionales de la
empresa, tales
como el hardware, periféricos, y equipos asociados, las
instalaciones eléctricas, las instalaciones de comunicación y de
datos.
Igualmente todo lo relacionado con la seguridad y salvaguarda
de las construcciones, el mobiliario y equipo de oficina, así
como
la protección a los accesos al centro de sistematización.
En sí, es todo lo relacionado con la seguridad, la prevención de
riesgos y protección de los recursos físicos informáticos de la
empresa.
UNIDAD V Auditoria de la seguridad en la teleinformática.
5.1 Generalidades de la seguridad en el área de la
teleinformática.
En la actualidad tiene una gran trascendencia tanto técnica
como social, lo que se denomina teleinformática: la unión de la
informática y las telecomunicaciones. Tanto en la vida
profesional como en las actividades cotidianas, es habitual el
uso de
expresiones y conceptos relacionados con la teleinformática.
Este trabajo se basa en conceptos fundamentales expresados
de la manera más simple posible, pero a su vez siendo precisos.
Comenzamos por introducir la historia y evolución de la
teleinformática y de la manera en que fue desarrollándose, y a
su vez,
proporcionando un panorama general del tema. Luego
mencionamos de forma genérica los elementos que integran un
sistema
teleinformática, desde un simple terminal hasta una red.
Continuamos explicando las técnicas fundamentales de
transmisión de datos, para comprender cómo viaja la
información de un
sistema a otro a través de los circuitos de telecomunicación.
Las técnicas de comunicación se estructuran en niveles: físico,
enlace de datos, red, transporte, sesión, presentación y
aplicación.
18 Practica
También, mencionamos las redes de área local ya que son muy
importantes en lo que a la teleinformática respecta.
Hicimos inca pié en la red Internet y su protocolo TCP/IP, y en
los conceptos básicos sobre
Programas de Comunicación y Gestión de Red.
Analizamos los servicios de valor añadido como el Video tex,
Ibercom o La Telefonía Móvil.
Además, establecimos los últimos desarrollos y las tendencias
de la teleinformática, desde las redes digitales hasta el proceso
distribuido.
Por último, manifestamos la importancia de la relación que
existe entre la teleinformática y la sociedad, en lo que respecta
a la
educación, la sanidad y la empresa.
Explicaremos claramente la importancia de la teleinformática y
su desarrollo a través de la historia desde el comienzo ya que es
uno de los factores que ha constituido y constituye un elemento
fundamental para la evolución de la humanidad: la
comunicación.
En una comunicación se transmite información desde una
persona a otra e intervienen tres elementos: el emisor, que da
origen a la
información, el medio, que permite la transmisión, y el
receptor, que recibe la información.
La primera comunicación que existió entre los hombres fue a
base de signos o gestos que expresaban intuitivamente
determinadas
manifestaciones con sentido propio. Estos gestos iban
acompañados de sonidos.
Posteriormente, comenzó la comunicación hablada a través de
un determinado lenguaje, en el cuál cada palabra significaba
algo y
cada frase tenía un contenido informativo.
Más tarde, el hombre tubo necesidad de realizar
comunicaciones a distancia como por ejemplo, entre personas
de dos aldeas
situadas a cierta distancia pero con visibilidad entre ambas, o
bien entre un barco y la costa. Es aquí donde aparecen las
señales de
humo, destellos con espejos entre innumerables métodos de
comunicación.
Con el paso del tiempo y la evolución tecnológica, la
comunicación a distancia comenzó a ser cada vez más
importante.
La primera técnica utilizada surgió con la aparición del telégrafo
y el código morse que permitieron comunicaciones a través de
cables a unas distancias considerables.
Posteriormente se desarrolló la técnica que dio origen al
teléfono para la comunicación directa de la voz a larga
distancia. Más
tarde la radio y la transmisión de imágenes a través de la
televisión habilitaron un gran número de técnicas y métodos
que luego
fueron muy importantes a lo que respecta a la comunicación.
19 Practica
5.2 Objetivos y criterios de la auditoria en el área de la
teleinformática.
Así ante la continua aparición de nuevas herramientas de
gestión, la auditoría interna se ve compelida a velar entre otras
cosas por
la aplicación y buen uso de las mismas. Ello ciertamente implica
un muy fuerte compromiso. Dijimos antes que la auditoría
debía
velar no sólo por los activos de la empresa sino además por su
capacidad competitiva. Cuidar de esto último significa difundir,
apoyar y controlar las nuevas y buenas prácticas. Así, haciendo
uso del benchmarking puede verificar y promover las mejores
prácticas para el mantenimiento de la más alta competitividad.
Ser competitivo es continuar en la lucha por la subsistencia o
continuidad de la empresa.
Como brillantemente lo expresa Fernando Gaziano (Deloitte
Chile), "los auditores y los astrónomos compartimos
plenamente
una idea: el universo se expande. Así como después del "big
bang" un universo de planetas y estrellas comenzó y continúa
expandiéndose, de la misma forma el mundo del Auditor
Interno es cada vez más amplio. Como nunca, probablemente
hoy
se enfrenta a uno de los cambios más importantes en su
profesión, debiendo abordar aspectos relacionados con el
Gobierno
Corporativo y los nuevos riesgos a los que se enfrentan las
organizaciones.
5.3 Síntomas de riesgo.
La Auditoría de la Seguridad
Para muchos la seguridad sigue siendo el área principal a
auditar, hasta el punto de que en algunas entidades se creó
inicialmente
la función de auditoría informática para revisar la seguridad,
aunque después se hayan ido ampliando los objetivos. Cada día
es
mayor la importancia de la información, especialmente
relacionada con sistemas basados en el uso de tecnología de
información
y comunicaciones, por lo que el impacto de las fallas, los
accesos no autorizados, la revelación de la información, entre
otros
problemas, tienen un impacto mucho mayor que hace algunos
años.
En la auditoría de otras áreas pueden también surgir revisiones
solapadas con la seguridad; así a la hora de revisar el desarrollo
se
verá si se realiza en un entorno seguro, etc
Los controles directivos. Son los fundamentos de la seguridad:
políticas, planes, funciones, objetivos de control, presupuesto,
así
como si existen sistemas y métodos de evaluación periódica de
riesgos.
El desarrollo de las políticas. Procedimientos, posibles
estándares, normas y guías.
Amenazas físicas externas. Inundaciones, incendios,
explosiones, corte de líneas o suministros, terremotos,
terrorismo, huelgas,
etc., se considera: la ubicación del centro de procesos, de los
servidores, PCs, computadoras portátiles (incluso fuera de las
oficinas); estructura, diseño, construcción y distribución de
edificios; amenazas de fuego, riesgos por agua, por accidentes
20 Practica
atmosféricos; contenido en paquetes}, bolsos o carteras que se
introducen o salen de los edificios; visitas, clientes,
proveedores,
contratados; protección de los soportes magnéticos en cuanto a
acceso, almacenamiento y transporte.
Control de accesos adecuado. Tanto físicos como lógicos, que se
realicen sólo las operaciones permitidas al usuario: lectura,
variación, ejecución, borrado y copia, y quedando las pistas
necesarias para el control y la auditoría. Uso de contraseñas,
cifrado
de las mismas, situaciones de bloqueo.
Protección de datos. Origen del dato, proceso, salida de los
datos.
Comunicaciones y redes. Topología y tipo de comunicaciones,
posible uso de cifrado, protecciones ante virus. Tipos de
transacciones. Protección de conversaciones de voz en caso
necesario, protección de transmisiones por fax para contenidos
clasificados. Internet e Intranet, correo electrónico, control
sobre páginas web, así como el comercio electrónico.
El entorno de producción. Cumplimiento de contratos,
outsourcing.
El desarrollo de aplicaciones en un entorno seguro, y que se
incorporen controles en los productos desarrollados y que éstos
resulten auditables. Con el uso de licencias (de los programas
utilizados).
La continuidad de las operaciones. Planes de contingencia o de
Continuidad.
No se trata de áreas no relacionadas, sino que casi todas tienen
puntos de enlace comunes: comunicaciones con control de
accesos,
cifrado con comunicaciones, etc.
Evaluación de riesgos
Se trata de identificar riesgos, cuantificar su probabilidad e
impacto y analizar medidas que los eliminen o que disminuyan
la probabilidad de que ocurran los hechos o mitiguen el
impacto. Para evaluarlos hay que considerar el tipo de
información
almacenada, procesada y transmitida, la criticidad de las
operaciones, la tecnología usada, el marco legal aplicable, el
sector de
la entidad, la entidad misma y el momento. Los riesgos pueden
disminuirse (generalmente no pueden eliminarse), transferirse
o
asumirse.
5.4 Técnicas y herramientas de auditoría relacionadas con la
seguridad en la teleinformática.
Introducir al estudiante en los aspectos técnicos, funcionales y
organizacionales que componen la problemática de seguridad
en las
redes teleinformáticas, ilustrando las operaciones, técnicas y
herramientas más usuales para garantizar privacidad,
autenticación y
seguridad.
Introducción General a la Seguridad en Redes
. Definiciones
. Generalidades
. Intrusos
. Amenazas
. Ataques
21 Practica
Planeación de la Seguridad
. Análisis del sistema actual
. Análisis de riesgos
. Definición de políticas de seguridad
. Implantación de la seguridad
Servicios de Seguridad
. Modelo OSI para arquitecturas de Seguridad
. Modelo TCP/IP
UNIDAD VI Informe de la auditoria informática.
6.1 Generalidades de la seguridad del área física.
Es muy importante ser consciente que por más que nuestra
empresa sea la más segura desde el punto de vista de ataques
externos,
Hackers, virus, etc. (conceptos luego tratados); la seguridad de
la misma será nula si no se ha previsto como combatir un
incendio.
La seguridad física es uno de los aspectos más olvidados a la
hora del diseño de un sistema informático. Si bien algunos de
los
aspectos tratados a continuación se prevén, otros, como la
detección de un atacante interno a la empresa que intenta a
acceder
físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr
tomar y copiar una cinta de la sala, que intentar acceder vía
lógica
a la misma.
Así, la Seguridad Física consiste en la “aplicación de barreras
físicas y procedimientos de control, como medidas de
prevención y
contramedidas ante amenazas a los recursos e información
confidencial”(1). Se refiere a los controles y mecanismos de
seguridad
dentro y alrededor del Centro de Cómputo así como los medios
de acceso remoto al y desde el mismo; implementados para
proteger el hardware y medios de almacenamiento de datos.
6.2 Características del informe.
Objetivos, características y afirmaciones que contiene el
informe de auditoría
El informe de auditoría financiera tiene como objetivo expresar
una opinión técnica de las cuentas anuales en los aspectos
significativos o importantes, sobre si éstas muestran la imagen
fiel del patrimonio, de la situación financiera y del resultado de
sus
operaciones, así como de los recursos obtenidos y aplicados
durante el ejercicio.
Características del informe de auditoría:
1. Es un documento mercantil o público.
22 Practica
2. Muestra el alcance del trabajo.
3. Contiene la opinión del auditor.
4. Se realiza conforme a un marco legal.
Principales afirmaciones que contiene el informe:
Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y
de acuerdo con qué normas de auditoría.
Expresa si las cuentas anuales contienen la información
necesaria y suficiente y han sido formuladas de acuerdo con la
legislación
vigente y, también, si dichas cuentas han sido elaboradas
teniendo en cuenta el principio contable de uniformidad.
Asimismo, expresa si las cuentas anuales reflejan, en todos los
aspectos significativos, la imagen fiel del patrimonio, de la
situación financiera, de los resultados y de los recursos
obtenidos y aplicados.
Se opina también sobre la concordancia de la información
contable del informe de gestión con la contenida en las cuentas
anuales.
En su caso, explica las desviaciones que presentan los estados
financieros con respecto a unos estándares preestablecidos.
Podemos sintetizar que el informe es una presentación pública,
resumida y por escrito del trabajo realizado por los auditores y
de
su opinión sobre las cuentas anuales.
6.3 Estructura del informe.
Concluido el Trabajo de Campo, el auditor tendrá como
responsabilidad la confección del
Informe de Auditoría como un producto final de este trabajo. El
informe contendrá el mensaje del Auditor sobre lo que ha
hecho y
como lo ha realizado, así como los resultados obtenidos.
Concepto
Es el documento emitido por el Auditor como resultado final de
su examen y/o evaluación, incluye información suficiente sobre
Observaciones, Conclusiones de hechos significativos, así como
Recomendaciones constructivos para superar las debilidades en
cuanto a políticas, procedimientos, cumplimiento de actividades
y otras.
Importancia
El Informe de Auditoría, reviste gran Importancia, porque
suministra a la administración de la empresa, información
sustancial
sobre su proceso administrativo, como una forma de contribuir
al cumplimiento de sus metas y objetivos programados.
23 Practica
El Informe a través de sus observaciones, conclusiones y
recomendaciones, constituye el mejor medio para que las
organizaciones
puedan apreciar la forma como están operando. En algunas
oportunidades puede ocurrir que, debido a un descuido en su
preparación, se pierde la oportunidad de hacer conocer a la
empresa lo que realmente desea o necesita conocer para
optimizar su
administración, a pesar de que se haya emitido un voluminoso
informe, pero inadvertidamente puede estar falto de
sustentación
y fundamento adecuado; en consecuencia su contenido puede
ser pobre; con esto queremos hacer resaltar el hecho de que, el
Informe debe comunicar información útil para promover la
toma de decisiones. Lamentablemente esto no se logrará si el
informe
revela pobreza de expresión y no se aportan comentarios
constructivos.
Redacción del Informe
La Redacción se efectuará en forma corriente a fin de que su
contenido sea comprensible al lector, evitando en lo posible el
uso de
terminología muy especializada; evitando párrafos largos y
complicados, así como expresiones grandilocuentes y confusas.
La Redacción del Informe debe merecer mucha atención
cuidado de parte del auditor para que tenga la acogida y
aceptación que
los empresarios esperan de él, en este sentido el
Informe debe:
. Despertar o motivar interés.
. Convencer mediante información sencilla, veraz y objetiva.
2. Requisitos del informe
Claridad y simplicidad.
La Claridad y Simplicidad, significan introducir sin mayor
dificultad en la mente del lector del informe, lo que el Auditor
ha
escrito o pensó escribir. A veces lo que ocasiona la deficiencia
de claridad y simplicidad del informe es precisamente la falta
de claridad en los conceptos que el Auditor tiene en mente, es
decir, no hay una cabal comprensión de lo que realmente
quiere
comunicar, asimismo cuando el Informe está falto de claridad,
puede dar lugar a una doble interpretación, ocasionando de
este
modo que, se torne inútil y pierda su utilidad. En consecuencia,
para que el informe logre su objetivo de informar o comunicar
al
cliente, el Auditor:
. Evitará el uso de un lenguaje técnico, florido o vago.
. Evitará ser muy breve.
. Evitará incluir mucho detalle.
. Utilizará palabras simples, familiares al lector, es decir,
escribirá en el idioma que el lector entiende.
6.4 Formato para el informe.
El formato para informes finales está enfocado a apoyar y
facilitar el proceso de evaluación de los resultados de los
proyectos
24 Practica
financiados por la sede Bogotá, con respecto a los compromisos
adquiridos en el proyecto aprobado. Además de reportar sobre
el
cumplimiento de los objetivos y el impacto logrado a partir del
uso y obtención de los resultados esperados y de las actividades
de
investigación científica.
• Los informes finales técnico y financiero, deben ser
entregados a la Dirección de
Investigación de la sede, al finalizar el periodo de ejecución del
proyecto.
• El informe debe ser aprobado previamente por el respectivo
Consejo Directivo de cada
Facultad, Centro o Instituto.
• El informe debe contener un índice. Cada página del informe
debe estar numerada.
• Cada anexo debe estar numerado haciendo referencia a lo
anotado en los cuadros de resultados.
• El informe técnico final deberá presentarse en versión
impresa y magnética (CD o disquete).
I. CONTENIDO DEL INFORME TÉCNICO
1. Título y código del proyecto
2. Nombre del investigador principal y de la Facultad, Centro o
Instituto al que pertenece
3. Fecha de entrega del Informe
4. Sinopsis divulgativa: Con el propósito de promover la
divulgación de las actividades investigativas que adelanta la
Sede Bogotá
y para dar mayor difusión a los proyectos, deben incluir un
resumen de una cuartilla que servirá de base para la
elaboración de
notas académicas dirigidas a los medios de comunicación de la
Universidad.
5. Resumen técnico de los resultados obtenidos durante la
realización del proyecto y de las principales conclusiones
(máximo
cinco páginas).
6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y
resultados esperados planteados en el proyecto aprobado,
relacione los resultados obtenidos durante la realización del
proyecto, los cuales deben estar soportados por sus respectivos
indicadores verificables: publicaciones, patentes, registros,
normas, certificaciones, memorias, formación de recurso
humano,
capacitación, organización y/o participación en eventos
científicos, etc., estos deben numerarse y adjuntarse como
anexos del
informe (ver cuadro No. 1).
7. Descripción del impacto actual o potencial de los resultados:
En términos de generación de nuevo conocimiento a nivel
mundial, de aporte para el desarrollo del país, de contribución a
la solución de problemas específicos, de fortalecimiento de la
capacidad científica, y de fortalecimiento de la investigación y
creación en la Sede Bogotá (máximo dos páginas).
8. Conclusiones
.
25 Practica
