Nombre: __________________________________ Grupo: _________

INDICE

BLOQUE I: PLANEACIN DE LA AUDITORA INFORMTICA. ........................................... 3

EC01: EMPRESA A LA VANGUARDIA ..................................................................................................... 4 DIAGNOSTICO DEL NEGOCIO ............................................................................................................... 5 Elementos del diagnstico organizacional .................................................................................... 5 Perspectivas del diagnstico organizacional ................................................................................. 6 Diagnstico cultural....................................................................................................................... 7 EC02: ANLISIS DEL NEGOCIO ............................................................................................................ 8 DIAGNOSTICO DE INFORMTICA ........................................................................................................... 9 EC03: ANLISIS INFORMTICO .......................................................................................................... 10 MATRIZ DE RIESGOS ......................................................................................................................... 11 EC04: ANLISIS DE MATRIZ DE RIESGOS ............................................................................................ 15 PROCEDIMIENTOS ............................................................................................................................ 16 Redaccin de procedimientos documentados ............................................................................. 17 CMO ESTABLECER UN PROCEDIMIENTO DE CALIDAD ......................................................................... 18 Compromiso formalizado por la administracin ........................................................................... 18 Plan de accin de calidad ........................................................................................................... 19 EC05: PROCEDIMIENTOS.................................................................................................................. 19 EC06: ANLISIS DE PROCEDIMIENTOS ............................................................................................... 20 EC07: ACTIVIDAD INTEGRADORA DEL BLOQUE ................................................................................... 22

BLOQUE II: AUDITORA INFORMTICA POR REAS ....................................................... 23

EC08: AUDITORIA DE RECURSOS INFORMTICOS ............................................................................... 24 EC09: EVALUACIN DEL HARDWARE ................................................................................................. 25 EC10: EVALUACIN DEL SOFTWARE.................................................................................................. 26 EC11: REDES Y COMUNICACIN ....................................................................................................... 27 EC12: SEGURIDAD INFORMTICA ...................................................................................................... 28

BLOQUE III: PROPUESTA DE MEJORA .............................................................................. 29

PROPUESTA DE MEJORA ................................................................................................................... 30 La resolucin de problemas ........................................................................................................ 30 EC13: EL INFORME FINAL ................................................................................................................. 39

ANEXOS................................................................................................................................. 40

Auditora informtica II

Bloque I: Planeacin de la auditora informtica.

El Bloque I, tiene como finalidad conocer los elementos fundamentales de la auditoria informtica, as como sus conceptos bsicos y principios ticos para identificar su utilidad en las organizaciones.
M.C. Gabriel Huesca Aguilar Pgina 3

Auditora informtica II EC01: Empresa a la vanguardia

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: _39___

Instrucciones: Lee con atencin la siguiente situacin didctica, analiza el problema y elabora una reflexin acerca de qu hacer para evitarlo, en la que expreses tus opiniones y experiencias para enriquecer el tema, mostrando tolerancia y respetando las reglas de convivencia social.

En una empresa de a localidad se han creado nuevas polticas para estar a la vanguardia. Una de las estrategias es la certificacin en sus procedimientos administrativos; por lo que es necesario prepararse para una auditoria informtica que permita la certificacin. Si t fueras parte del equipo del departamento de informtica, como resolveras las siguientes situaciones. 1. Quin crees que va a realizar la auditora? 2. Qu departamento(s) de la empresa se tiene que preparar para la auditora? 3. Qu reas se deben organizar para dicha auditora? 4. Qu documentos crees que debes recopilar para dicha auditora? 5. Cmo podras tu, colaborar para aprobar dicha auditoria? 6. Quin es el responsable de la auditoria?

M.C. Gabriel Huesca Aguilar

Pgina 4

Auditora informtica II

Diagnostico del negocio1

Se puede definir al diagnstico como un proceso analtico que permite conocer la situacin real de la organizacin en un momento dado para descubrir problemas y reas de oportunidad, con el fin de corregir los primeros y aprovechar las segundas. En el diagnstico se examinan y mejoran los sistemas y prcticas de la comunicacin interna y externa de una organizacin en todos sus niveles y tambin las producciones comunicacionales de una organizacin tales como historietas, metforas, smbolos, artefactos y los comentarios que la gente de la organizacin hace en sus conversaciones diarias. Para tal efecto se utiliza una gran diversidad de herramientas, dependiendo de la profundidad deseada, de las variables que se quieran investigar, de los recursos disponibles y de los grupos o niveles especficos entre los que se van a aplicar. El diagnstico no es un fin en s mismo, sino que es el primer paso esencial para perfeccionar el funcionamiento comunicacional de la organizacin. Condiciones para llevar a cabo el diagnstico organizacional Para poder llevar a cabo con xito un diagnstico organizacional se deben cumplir algunos requisitos bsicos: 1. Antes de iniciar el proceso de diagnstico es indispensable contar con la intencin de cambio y el compromiso de respaldo por parte del cliente (trmino usado en Desarrollo Organizacional para designar a la persona o grupo directamente interesado en que se lleve a cabo una transformacin en el sistema y con la suficiente autoridad para promoverla). Es decir, que est dispuesto a realizar los cambios resultantes del diagnstico. 2. El "cliente" debe dar amplias facilidades al consultor (interno o externo) para la obtencin de informacin y no entorpecer el proceso de diagnstico. 3. El consultor manejar la informacin que se obtenga del proceso en forma absolutamente confidencial, entregando los resultados generales sin mencionar a las personas que proporcionaron la informacin. 4. Tambin debe proporcionar retroalimentacin acerca de los resultados del diagnstico a las fuentes de las que se obtuvo la informacin. 5. El xito o fracaso del diagnstico depende en gran medida del cliente y del cumplimiento de los acuerdos que haga con el consultor

Elementos del diagnstico organizacional

Podemos dividir al diagnstico organizacional en tres etapas principales: Generacin de informacin, la cual abarca a su vez tres aspectos: 1. La forma en que se recolecta la informacin, las herramientas y los procesos utilizados. 2. La metodologa utilizada para recopilar la informacin, la cual sigue dos corrientes, los mtodos usados para obtener informacin desde el cliente (entrevistas, cuestionarios) y los usados para obtenerla desde el consultor (observacin). 3. La frecuencia con que se recolecta la informacin, la cual depende de la estabilidad del sistema. Organizacin de la informacin, en donde es necesario considerar tres aspectos claves: El diseo de procedimientos para el proceso de la informacin. El almacenamiento apropiado de los datos.
1

http://www.infosol.com.mx/espacio/cont/investigacion/diagnostico.html

M.C. Gabriel Huesca Aguilar

Pgina 5

Auditora informtica II
El ordenamiento de la informacin, de modo que sea fcil de consultar. 1. Anlisis e interpretacin de la informacin, que consiste en separar los elementos bsicos de la informacin y examinarlos con el propsito de responder a las cuestiones planteadas al inicio de la investigacin.

Perspectivas del diagnstico organizacional

El diagnstico organizacional se divide en dos perspectivas principales, una funcional y otra cultural, cada una con sus propios objetivos, mtodos y tcnicas. Son complementarias entre s y dan origen a dos tipos de diagnstico: Diagnstico funcional Diagnstico cultural El diagnstico funcional (su nombre debido a una perspectiva funcionalista) examina principalmente las estructuras formales e informales de la comunicacin, las prcticas de la comunicacin que tienen que ver con la produccin, la satisfaccin del personal, el mantenimiento de la organizacin, y la innovacin. Usa un proceso de diagnstico en el cual el auditor asume la responsabilidad casi total del diseo y la conduccin del mismo (objetivos, mtodos y la interpretacin de los resultados). Objetivos del diagnstico funcional Evaluar la estructura interna formal e informal del sistema de comunicacin y los diferentes canales de comunicacin. Evaluar los sistemas y procesos de comunicacin a nivel interpersonal, grupal, departamental, e interdepartamental. Evaluar los sistemas y procesos de la comunicacin externa de la organizacin, entidades pblicas y privadas con las cuales existe interdependencia. Evaluar el papel, la eficiencia y la necesidad de la tecnologa de la comunicacin organizacional. Evaluar el impacto que tienen los procesos de comunicacin en la satisfaccin en el trabajo, en la productividad, en el compromiso y el trabajo en equipo. Mtodos y tcnicas Dentro de la perspectiva funcionalista los mtodos ms usados son la entrevista, el cuestionario, el anlisis de las redes de comunicacin, la entrevista grupal, el anlisis de experiencias crticas de comunicacin, y el anlisis de la difusin de mensajes. Las tcnicas aplicables son: Entrevista. Esta tcnica se complementa con el cuestionario y permite recoger informacin que puede ser investigada hasta en sus mnimos detalles en una conversacin personal con los miembros de una organizacin. Cuestionario. Permite recoger mayor cantidad de informacin de mayor cantidad de gente y de una manera ms rpida y ms econmica que otros mtodos; y facilita el anlisis estadstico. Anlisis de transmisin de mensajes. Consiste en un cuestionario especializado que descubre el proceso de difusin de un mensaje en la organizacin, desde su punto de origen hasta que logra alcanzar a los diferentes miembros de la misma. Este mtodo revela el tiempo que toma la difusin de un mensaje, su proceso comunicativo, quienes bloquean la comunicacin, las redes de comunicacin informal y la manera como se procesa la informacin. El anlisis de experiencias crticas de comunicacin. Sirve para conocer las experiencias positivas y negativas que existen dentro de la organizacin y la efectividad o inefectividad de las mismas.

M.C. Gabriel Huesca Aguilar

Pgina 6

Auditora informtica II
Anlisis de redes de comunicacin. Analiza la estructura de comunicacin de una organizacin y su efectividad. Se evala quien se comunica con quin, que grupos existen en la organizacin, qu miembros actan como puente entre los grupos, los bloqueos que sufre la informacin, el contenido de la comunicacin y la cantidad de informacin difundida. La entrevista grupal. Esta tcnica selecciona un cierto nmero de miembros representativos de la organizacin para ser entrevistados como grupo. La entrevista se suele centrar en aspectos crticos de la comunicacin organizacional.

Diagnstico cultural
El diagnstico cultural es una sucesin de acciones cuya finalidad es descubrir los valores y principios bsicos de una organizacin, el grado en que stos son conocidos y compartidos por sus miembros y la congruencia que guardan con el comportamiento organizacional. Objetivos desde la perspectiva interpretivista Evaluar el papel de la comunicacin en la creacin, mantenimiento y desarrollo de la cultura de una organizacin. Evaluar el contenido de las producciones comunicacionales y el significado que tiene para sus miembros, tales como conversaciones, ritos, mitos, filosofa y valores. Entender la vida organizacional y el papel de la comunicacin desde la perspectiva de los miembros de la organizacin. Categoras de anlisis del diagnstico cultural Los valores y principios bsicos de una organizacin pueden determinarse a travs de los campos en que se manifiestan, por lo que mientras ms manifestaciones culturales se analicen, ms rico y acertado resultar el diagnstico. Las manifestaciones conceptuales y simblicas estn constituidas por las siguientes categoras y elementos: Espirituales: Ideologa / filosofa, smbolos, mitos e historia. Conductuales: Lenguaje, comportamiento no verbal, rituales y formas de interaccin. Estructurales: Polticas y procedimientos, normas, sistemas de status internos, estructura del poder. Materiales: Tecnologa, instalaciones, mobiliario y equipo. Mtodos y tcnicas El proceso del diagnstico cultural se apoya en ciertas herramientas. En cuanto a su aplicacin, bsicamente podemos hablar de dos enfoques: el cualitativo y el cuantitativo. Con el primero se busca la medicin precisa de ciertas variables establecidas de antemano y su posterior comparacin, el segundo depende ms de la agudeza de la percepcin del investigador al analizar los datos. Tcnicas cualitativas aplicables: Observacin. Para llevarla a cabo, el investigador puede optar por convertirse en un miembro ms del grupo (observacin participante), o bien por observarlos desde fuera (observacin no participante u ordinaria). El investigador debe ganarse, en cualquier caso, la confianza de las personas que va a estudiar, lograr su aceptacin y evitar en lo posible que s presencia interfiera o perturbe de algn modo las actividades cotidianas del grupo. Entrevistas individuales. Es muy importante que en las entrevistas se logre lo que se conoce con el nombre de "simpata". Esta implica el establecimiento de un clima de confianza mutua, comprensin y afinidad emocional entre el entrevistador y el entrevistado. Anlisis de documentos. El investigador reunir una coleccin de documentos diversos que necesitan ser interpretados a fin de extraer la informacin que contienen sobre la historia y caractersticas de la organizacin, y que lo llevarn a inferir algunos aspectos importantes de la cultura de la misma. M.C. Gabriel Huesca Aguilar Pgina 7

Auditora informtica II
Discusin en grupos pequeos. Sesiones de grupo con una discusin dirigida. Dramatizacin. Proporciona datos sobre la percepcin que la gente tiene de ciertos papeles, relaciones y situaciones de trabajo. Tcnicas proyectivas. Consiste en presentar a un sujeto un material poco estructurado, con instrucciones vagas y pidindole que lo organice a su manera, cosas que no puede hacer sin proyectar la estructura de su propia personalidad.

Tcnicas cuantitativas aplicables: Encuesta. La informacin recogida por medio de esta tcnica puede emplearse para un anlisis cuantitativo con el fin de identificar y conocer la magnitud de los problemas que se suponen o se conocen en forma parcial o imprecisa. El mtodo que puede utilizarse para levantar la encuesta es el cuestionario.

EC02: Anlisis del negocio

Fecha: ___/_____/201__

Nombre: _____________________________________________ Grupo: _39___

Instrucciones: Despus de haber ledo con atencin la lectura anterior, elabora un esquema (mapa mental, conceptual, cuadro sinptico o de doble entrada, etc), acerca del diagnostico de la organizacin elegida para la auditora informtica.

M.C. Gabriel Huesca Aguilar

Pgina 8

Auditora informtica II

Diagnostico de informtica2
Aqu el auditor se coordina directamente con el responsable de la funcin de informtica. Conocimiento de la funcin de informtica: En esta parte el auditor conocer la estructura interna de informtica, funciones, objetivos, estrategias, planes y polticas. La tecnologa de software y hardware es en la que se apoya para llevar a cabo su funcin dentro del negocio. Las entrevistas deben hacerse con el responsable de informtica. El auditor debe ser profesional y tico en su trabajo para brindarles seguridad de que al final de su tarea beneficiar a los que lo contrataron. El auditor en informtica debe lograr un equipo de trabajo unido, y que el lder de proyectos (es quien se encarga de coordinar y supervisar los proyectos de la auditora; puede tener a uno o ms auditores) desarrolle una buena comunicacin con el personal de informtica en esta etapa. Es clave remarcar y evaluar los servicios que presta informtica a las diferentes reas del negocio y en los distintos niveles organizacionales, estos servicios pueden ser ejecutados por personal externo y coordinados por informtica. Ejemplos de servicios brindados: Implantacin de soluciones de informacin: Desarrollo de sistemas de informacin Compra y adecuacin de aplicaciones Bases de datos Evaluacin, adquisicin, instalacin y reemplazo de: Equipos de cmputo y telecomunicaciones Paquetes de software Lenguajes de programacin Mantenimiento de los sistemas y equipos Soporte a usuarios Capacitacin y asesora tcnica Investigaciones sobre tecnologas (equipos) y aplicaciones en el mercado Planeacin de informtica Auditora en informtica Soporte a la alta direccin Observacin: Para obtener toda la informacin posible sobre el diagnstico del negocio y de informtica, el auditor se apoyara sobre cuestionarios detallados. El diagnstico inicial del negocio reflejar algunos puntos como el giro de la empresa, sus reas organizacionales, planes y proyectos del negocio, imagen de informtica ante la alta direccin, etc. Los aspectos tecnolgicos, administrativos, culturales y financieros, entre otros, brindan al auditor en informtica un panorama real del escenario donde desarrollar su trabajo.

http://es.scribd.com/doc/51508177/9/Etapa-preliminar-o-diagnostico

M.C. Gabriel Huesca Aguilar

Pgina 9

Auditora informtica II EC03: Anlisis informtico

Fecha: ___/_____/201__

Nombre: _____________________________________________ Grupo: _39___

Instrucciones: Despus de haber ledo con atencin la lectura anterior, elabora un anlisis acerca de la situacin informtica en la organizacin elegida para la auditora informtica apoyndote en la informacin presentada y los recursos adicionales disponibles. Recursos adicionales: http://www.ongei.gob.pe/publica/metodologias/Lib5099/indice.HTM http://www.ibermatica.com/ibermatica/consultoria2/estrategiaplanificaciontic/ticdiagnostico

M.C. Gabriel Huesca Aguilar

Pgina 10

Auditora informtica II

Matriz de riesgos3
Introduccin La Matriz para el Anlisis de Riesgo, es producto del proyecto de Seguimiento al Taller Centroamericano Ampliando la Libertad de Expresin: Herramientas para la colaboracin, informacin y comunicacin seguras y fue punto clave en analizar y determinar los riesgos en el manejo de los datos e informacin de las organizaciones sociales participantes. La Matriz, que bas en una hoja de clculo, no dar un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de informacin) de la institucin, sino una mirada aproximada y generalizada de estos. Hay que tomar en cuenta que el anlisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daos de cada recurso de una institucin contra todas las posibles amenazas, es decir terminaramos con un sinnmero de grafos de riesgo que deberamos analizar y clasificar. Por otro lado, hay que reconocer que la mayora de las organizaciones sociales centroamericanas (el grupo meta del proyecto), ni cuentan con personal tcnico especfico para los equipos de computacin, ni con recursos econmicos o mucho tiempo para dedicarse o preocuparse por la seguridad de la informacin que manejan y en muchas ocasiones tampoco por la formacin adecuada de sus funcionarios en el manejo de las herramientas informticas. Entonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar los recursos de una organizacin, que estn ms en peligro de sufrir un dao por algn impacto negativo, para posteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superacin de las vulnerabilidades y la reduccin de las amenazas. Descargar la Matriz El formato (vaco) de la Matriz en versin OpenOffice y Microsoft Excel, ms algunos documentos de apoyo, se puede obtener en la seccin Descargas que se encuentra en la liga: http://protejete.wordpress.com/descargas/ Fundamento de la Matriz La Matriz la bas en el mtodo de Anlisis de Riesgo con un grafo de riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Dao La Probabilidad de Amenaza y Magnitud de Dao pueden tomar los valores y condiciones respectivamente 1 = Insignificante (incluido Ninguna) 2 = Baja 3 = Mediana 4 = Alta

http://protejete.wordpress.com/gdr_principal/matriz_riesgo/

M.C. Gabriel Huesca Aguilar

Pgina 11

Auditora informtica II

El Riesgo, que es el producto de la multiplicacin Probabilidad de Amenaza por Magnitud de Dao, est agrupado en tres rangos, y para su mejor visualizacin, se aplica diferentes colores. Bajo Riesgo = 1 6 (verde) Medio Riesgo = 8 9 (amarillo) Alto Riesgo = 12 16 (rojo) Uso de la Matriz La Matriz verdadera la bas en un archivo con varias hojas de calculo que superan el tamao de una simple pantalla de un monitor. Entonces por razones demostrativas, en las siguientes imgenes solo se muestra una fraccin de ella. La Matriz contiene una coleccin de diferentes Amenazas (campos verdes) y Elementos de informacin (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Dao (campos amarillas) por cada elemento de Informacin.

M.C. Gabriel Huesca Aguilar

Pgina 12

Auditora informtica II
Para la estimacin de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente) est relacionado con el recurso ms vulnerable de los elementos de informacin, sin embargo usado para todos los elementos. Si por ejemplo existe una gran probabilidad de que nos pueden robar documentos y equipos en la oficina, porque ya entraron varias veces y no contamos todava con una buena vigilancia nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarn una porttil, que est en la oficina (con gran probabilidad se van a llevarla), o si robarn un documento que est encerrado en una caja fuerte escondido (es menos probable que se van a llevar este documento). Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunos riesgos saldrn demasiado altos), algo que posteriormente tendremos que corregirlo. Sin embargo, excluir algunos resultados falsos todava es mucho ms rpido y barato, que hacer un anlisis de riesgo detallado, sobre todo cuando el enfoque solo es combatir los riesgos ms graves. En el caso de que se determine los valores para la Probabilidad de Amenaza y Magnitud de Dao a travs de un proceso participativo de trabajo en grupo (grande), se recomienda primero llenar los fichas de apoyo (disponible en Descargas) para los Elementos de Informacin y Probabilidad de amenaza, y una vez consolidado los datos, llenar la matriz. Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de Dao, la Matriz calcula el producto de ambos variables y visualiza el grado de riesgo.

Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de informacin de sufrir un dao significativo, causado por una amenaza, sino tambin sobre las medidas de proteccin necesarias Proteger los datos de RR.HH, Finanzas contra virus Proteger los datos de Finanzas y el Coordinador contra robo Evitar que se compartan las contraseas de los porttiles Etc, etc Tambin, como se mencion anteriormente, existen combinaciones que no necesariamente tienen mucho sentido y por tanto no se las considera para definir medidas de proteccin Proteger el Personal (Coordinador y Personal tcnico) contra Virus de computacin Evitar la falta de corriente para el Coordinador Etc, etc

M.C. Gabriel Huesca Aguilar

Pgina 13

Auditora informtica II
Elementos de la Matriz La Matriz la bas en una hoja de calculo. Existe la versin en OpenOffice y Microsoft PowerPoint y se recomienda usar el formato que corresponde con el sistema operativo donde se la usa, debido a algunos problemas de compatibilidad entre ambos formatos. La Matriz est compuesto por 6 hojas 1_Datos: Es la hoja para valorar el riesgo para los Elementos de Informacin Datos e Informaciones, llenando los campos Magnitud de Dao y Probabilidad de Amenaza conforme a sus valores estimados (solo estn permitidos valores entre 1 y 4). Los valores de Probabilidad de Amenaza solo se aplica en est hoja, porque las dems hojas, hacen referencia a estos. Los tres campos de Clasificacin (Confidencial, Obligacin por ley, Costo de recuperacin) no tienen ningn efecto sobre el resultado de riesgo y no necesariamente tiene que ser llenados. Sin embargo pueden ser usados como campos de apoyo, para justificar o subrayar el valor de Magnitud de Dao estimado. En caso de usarlo, hay que marcar los campos respectivos con una x (cualquier combinacin de los campos est permitido, todos marcados, todos vacos etc.). 2_Sistemas: Es la hoja para valorar el riesgo para los Elementos de Informacin Sistemas e Infraestructura. Hay que llenar solo los valores de Magnitud de Dao, debido a que los valores de Probabilidad de Amenaza estn copiados automticamente desde la hoja 1_Datos. Igual como en 1_Datos, los tres campos de Clasificacin (Acceso exclusivo, Acceso ilimitado, Costo de recuperacin) otra vez no tienen ningn efecto sobre el resultado de riesgo y solo sirven como campo de apoyo. 3_Personal: Es la hoja para valorar el riesgo para los Elementos de Informacin Personal. Igual como en 2_Sistemas, solo hay que llenar los valores de Magnitud de Dao. Otra vez, los tres campos de Clasificacin (Imagen pblica, Perfil medio, Perfil bajo) solo sirven como campo de apoyo. Anlisis_Promedio: Esta hoja muestra el promedio aritmtico de los diferentes riesgos, en relacin con los diferentes grupos de amenazas y daos. La idea de esta hoja es ilustrar, en que grupo (combinacin de Probabilidad de Amenaza y Magnitud de Dao) hay mayor o menor peligro. No hay nada que llenar en esta hoja. Anlisis_Factores: Esta hoja tiene el mismo propsito como la hoja Anlisis_Promedio, con la diferencia que esta vez el promedio aritmtico de los grupos est mostrado en un grafo, dependiendo de la Probabilidad de Amenaza y Magnitud de Dao. La linea amarilla muestra el traspaso de la zona Bajo Riesgo a Mediano Riesgo y la linea roja, el traspaso de Mediano riesgo a Alto Riesgo. La idea de esta hoja es ilustrar el nivel de peligro por grupo y la influencia de cada factor (Probabilidad de amenaza, Magnitud de Dao). Fuente: Esta hoja se usa solo para la definicin de algunos valores generales de la matriz. Adaptacin de la Matriz a las necesidades individuales La Matriz trabaja con una coleccin de diferentes Amenazas y Elementos de informacin. Ambas colecciones solo representan una aproximacin a la situacin comn de una organizacin, pero no necesariamente reflejan la realidad de una organizacin especifica. Entonces si hay necesidad de adaptar la Matriz a la situacin real de una organizacin, solo hay que ajustar los valores de las Amenazas en la hoja 1_Datos (solo en esta) y los Elementos de informacin en su hoja correspondiente. Pero ojo, si hay que insertar, quitar filas o columnas, se recomienda hacerlo con mucho cuidado, debido a que se corre el peligro de introducir errores en la presentacin y el calculo de los resultados.

M.C. Gabriel Huesca Aguilar

Pgina 14

Auditora informtica II EC04: Anlisis de matriz de riesgos

Fecha: ___/_____/201__

Nombre: _____________________________________________ Grupo: _39___

Instrucciones: Despus de haber ledo con atencin la lectura anterior, elabora una matriz de riesgos existentes en la organizacin elegida para la auditora informtica apoyndote en la informacin presentada y los recursos adicionales disponibles. Recursos: A. http://protejete.wordpress.com/gdr_principal/matriz_riesgo/ B. http://www.ccee.edu.uy/ensenian/catcomp/material/riesgo.pdf C. http://es.scribd.com/doc/17245356/matriz-de-riesgos

M.C. Gabriel Huesca Aguilar

Pgina 15

Auditora informtica II

Procedimientos4
La ejecucin del producto o la prestacin del servicio deben llevarse a cabo mediante procesos planificados previamente como garanta de que no se van a producir incertidumbres en el desarrollo de los mismos. Dichos procesos incluirn los siguientes aspectos: A. Las especificaciones que definen el producto final; B. La documentacin adecuada, la metodologa ms conveniente y los recursos necesarios para llevar a cabo el proceso de ejecucin del producto; C. Los controles necesarios para garantizar el cumplimiento de los requisitos del producto tales como inspecciones, mediciones, actividades de evaluacin y seguimiento y ensayos de todo tipo, as como los criterios de aceptacin y rechazo; D. Definicin de los registros de calidad necesarios para dejar constancia del cumplimiento de los requisitos establecidos. Los procesos pueden definirse mediante procedimientos documentados que forman parte, de forma permanente, del sistema de calidad, pero cuando se refieren a un producto, proyecto o contrato especfico, tal como puede ser un producto no repetitivo, pueden denominarse planes de calidad e incluirn la secuencia de los procesos afectados y la totalidad de los recursos necesarios para la ejecucin del producto. La base fundamental de la gestin de calidad es el control de los procesos, pero para que los procesos puedan ser objeto de control debe ser establecida una correcta planificacin de los mismos. La norma orienta las posibles actividades de planificacin, segn los siguientes apartados: Objetivos y requisitos del producto.- Para poder ejecutar un producto determinado, ste debe estar perfectamente definido. A los efectos de poder realizar una definicin correcta deberemos tener en cuenta no solamente los requisitos del cliente, ms o menos expresados en el documento de compra, sino tambin sus necesidades complementarias, como pueden ser: plazo y secuencia de la entrega, envases o embalajes adecuados, documentacin de acompaamiento, etc. En el caso de que nuestros productos no vayan destinados a un cliente determinado, que haya suministrado un pedido formal a la organizacin, los objetivos del producto pasarn por su definicin concordante con las apetencias demostradas del mercado ajustadas en cantidad, calidad, coste y posibilidad, al potencial de la organizacin y a sus propsitos de rentabilidad. Procedimientos y recursos.- Anteriormente se explic la importancia de que las actividades de la organizacin estn definidas con anterioridad, a fin de poder conseguir procesos repetibles, controlables, enseables y mejorables. Deber tambin realizarse un presupuesto detallado de los recursos necesarios, los cuales incluirn las instalaciones y equipos, las materias primas, principales y auxiliares, los consumibles y repuestos y en especial los recursos humanos representados por personal suficientemente preparado, no solamente desde el punto de vista tcnico, sino tambin en lo que se refiere a sus cualidades humanas y de relacin. Medicin y control de los productos.- La organizacin debe impedir a toda costa que salgan al mercado productos que no puedan demostrar su conformidad con los requisitos o su adecuacin a las preferencias del mercado. Para ello establecer rigurosos planes de control que deberan estar basados fundamentalmente en el control del proceso, a base de mecanismos de auto-control.

http://www.rebiun.org/opencms/opencms/handle404?exporturi=/export/docReb/biblio_fernandezhatre.pdf&%5d

M.C. Gabriel Huesca Aguilar

Pgina 16

Auditora informtica II
Registros de productos y procesos.- La frase tradicional para su aplicacin en este caso es que la calidad debe estar documentada. Justamente los registros del sistema son los medios con los que la calidad se documenta y debern ser definidos junto con los procedimientos de desarrollo y de control de la actividad. Con el fin de que "la calidad est documentada", deben disearse documentos que reflejen las premisas de ejecucin de los productos, las cuales pueden referirse a la planificacin de los productos, que son las llamadas especificaciones tcnicas de producto y a la planificacin de los procesos o los controles que pueden agruparse en lo que la norma denomina procedimientos documentados.

Redaccin de procedimientos documentados

Los procesos deben estar reflejados rigurosamente en los documentos que habitualmente se denominan procedimientos aunque tambin responden a las denominaciones de protocolos, instrucciones tcnicas, mtodos o cualquier otra denominacin similar. Dado que en una organizacin se desarrollan mltiples procesos, algunos de muy pequea importancia, puede plantearse el dilema de hasta dnde extender la redaccin de procedimientos, dado que la proliferacin de los mismos puede conllevar una carga burocrtica insostenible. Debe quedar a eleccin de los gestores, aunque la norma del 94 nos ayudaba a establecer un criterio, al sealar que los procedimientos serian necesarios cuando su ausencia tuviese un efecto negativo sobre la calidad, utilizacin de equipos, condiciones ambientales y conformidad con las normas. La norma actual es ms ambigua, ya que limita la obligacin de redactar procedimientos a seis casos solamente, pero contempla la necesidad de establecer documentos o instrucciones de trabajo. La redaccin de procedimientos frecuentemente es interpretada como una tarea difcil o que requiere dedicarle un tiempo del que no se dispone. El consejo vlido es que la nica forma de comprobar su relativa sencillez es simplemente comenzar la tarea, teniendo en cuenta las siguientes advertencias. No se trata de describir el proceso tcnico o fsico-qumico que realizan las mquinas o se produce en el interior de las instalaciones. Se describirn fundamentalmente las actividades del personal, haciendo una mnima mencin a los procesos realizados por mquinas o equipos. El proceso debe describirse siguiendo un orden determinado de operaciones escogiendo el que ms lgico y sencillo resulte, bien utilizando el camino seguido por el producto principal o haciendo uso de un criterio geogrfico de ubicacin de mquinas o instalaciones. Se utilizarn palabras y frases sencillas y concretas a fin de conseguir una redaccin clara que pueda ser entendida por todos. Los lmites del proceso deben estar perfectamente definidos, con un principio y un final, escogidos preferentemente en ciertos hitos que puedan identificarse con la mayor claridad. En un procedimiento deben quedar suficientemente resaltados los parmetros del proceso, sus valores nominales y sus lmites. Para recordar esto es conveniente redactarlo con la mira puesta en que el procedimiento ha de servir para controlar el proceso. Las operaciones definidas en el procedimiento deben realizarse en concordancia con las normas adoptadas para este proceso en particular, con las exigidas en los contratos de nuestros clientes y con el espritu del sistema de calidad de la organizacin.

M.C. Gabriel Huesca Aguilar

Pgina 17

Auditora informtica II

Cmo establecer un procedimiento de calidad5

Para mejorar la calidad (eliminando la calidad deficiente y mejorando el proceso de trabajo) en una compaa es necesario que tanto la administracin como los empleados reflexionen a fin de definir los objetivos alcanzables en trminos de calidad que puedan ser aceptados por todos. Una "poltica de calidad" incluye las directivas y objetivos generales, en trminos de calidad, dispuestos por la administracin de una compaa y formalizados en un documento escrito. La poltica de calidad define las directivas e intereses buscados en trminos de satisfaccin del beneficiario. El trmino "procedimiento de calidad" se refiere al enfoque y a la organizacin operativa usados para alcanzar los objetivos establecidos por la poltica de calidad. Antes que nada, es preciso realizar el inventario de la compaa que permitir delinear en detalle a la organizacin y describir con claridad el proyecto de la misma: los objetivos generales de la compaa la organizacin y responsabilidades generales: quin hace qu? En esta etapa, se puede definir una nueva estructura que considere la organizacin de calidad. Esta "reorganizacin drstica" permite que las compaas redefinan su actividad y objetivos principales y constituye un medio para atenuar la resistencia al cambio. En tanto el objetivo de calidad sea la satisfaccin del beneficiario, es esencial definir a los beneficiarios correctamente. Dado que la implementacin de un procedimiento de calidad generalmente requiere cambios en la organizacin, el procedimiento debe empezar por dar participacin al nivel jerrquico ms elevado. La redaccin de una carta de compromiso firmada por la administracin sienta el procedimiento de manera inamovible y legitima a un administrador de calidad cuando se implementan cambios en la operacin. Un procedimiento de calidad depende de los sucesivos planes de accin que permiten que una compaa establezca con exactitud y formalice los objetivos a corto plazo y los medios para alcanzarlos. El inicio de un procedimiento de calidad implica sobre todo el establecimiento de un nuevo espritu compartido por todos los miembros de la compaa. Por lo tanto, un proyecto exitoso depende en gran parte de la comunicacin que rodea a su implementacin. De este modo, una campaa de comunicacin permitir que los empleados se informen acerca de las medidas que se han tomado y encuentren su lugar dentro del proyecto de la compaa.

Compromiso formalizado por la administracin

Con frecuencia, un compromiso formalizado por el equipo de administracin implica una carta escrita (generalmente denominada carta de compromiso) que sintetiza los objetivos principales establecidos por la administracin. Esta carta, considerada muchas veces una simple declaracin de propsito de poca utilidad, en realidad es una herramienta extremadamente til, ya que sienta todo el procedimiento de manera inamovible y proclama la importancia que la administracin confiere al procedimiento.

http://es.kioskea.net/contents/qualite/demarche-qualite.php3

M.C. Gabriel Huesca Aguilar

Pgina 18

Auditora informtica II
Plan de accin de calidad
La redaccin de un plan de accin de calidad debe ser un esfuerzo grupal que implique a todos los empleados as como a la administracin media. Cada plan de accin es un proyecto en s mismo que incluye un estado inicial, un objetivo, un plazo de tiempo, los medios para lograrlo y un programa riguroso. Por lo tanto, para evaluar el logro de los objetivos establecidos para cada plan de accin, se debe definir y presentar un cierto nmero de indicadores en cada reunin del comit de calidad. Artculo escrito el 16 de diciembre de 2004 por Jean-Franois Pillou

EC05: Procedimientos

Fecha: ___/_____/201__

Nombre: _____________________________________________ Grupo: _39___

Instrucciones: Despus de haber ledo con atencin la lectura anterior, elabora un esquema (mapa mental, conceptual, cuadro sinptico o de doble entrada, etc), apoyndote en la informacin presentada y los recursos adicionales disponibles.

M.C. Gabriel Huesca Aguilar

Pgina 19

Auditora informtica II EC06: Anlisis de procedimientos

Fecha: ___/_____/201__

Nombre: _____________________________________________ Grupo: _39___ Instrucciones: Utilizando los ejemplos de procedimientos de auditora proporcionados por el maestro, realiza lo siguiente: 1. Marca y elabora una lista de datos de identificacin necesarios para reconocer un procedimiento de auditoria 2. Elabora una lista de elementos que debe contener el procedimiento de auditora. 3. Analiza los ejemplos propuestos y reflexiona la razn por la que aparecen cada uno de los elementos identificados. 4. Marca en los ejemplos las firmas que identificas y escribe una lista de firmas que deben aparecer. 5. Analiza los ejemplos y explica porque es necesario que haya un procedimiento. 6. Elabora los procedimientos indicados para llevar a cabo la auditoria informtica en la organizacin elegida. 7. Reflexiona acerca de los procedimientos de auditora y responde a la pregunta Qu pasara si no existieran procedimientos en la organizacin?
Ejemplos: http://www.cobachbc.edu.mx/calidad/doctos/14/Planeacion%20Didactica.pdf http://dtpconsultores.com.mx/Calidad%202004/Procedimientos/Aseguramiento%20de%20calidad/ Procedimientos%20(AC-XX-YYY)/AC-01-001.pdf http://www.cobachbc.edu.mx/calidad/doctos/15/Proced.%20Academias.pdf http://www.afce.isics.es/futuretense_cs/ccurl/AFCE/pdf/procedimiento_elaboracion_procedimiento s_calidad.pdf http://www.cobachbc.edu.mx/calidad/doctos/2/Elaboracion%20de%20procedimientos.pdf http://www.aero.upm.es/etsia/mejora/sistema_garantia/elaboracion_procedimientos.pdf

M.C. Gabriel Huesca Aguilar

Pgina 20

Auditora informtica II

Informacin para otorgar calificacin en la exposicin elegida

Datos de Identificacin: Alumno Grupo Presentacin Evidencia Auditoria Informtica II Asignatura I: Organizacin de la informtica auditoria Bloque Evala M.C. Gabriel Huesca Aguilar

Criterios

Escala de 0 a 10 Presentacin en Microsoft Power point 2007 en adelante Presenta mrgenes adecuados, pie de pgina, orientacin de la hoja, formato a fuentes, imgenes, grficos, ortografa, formatos para el control. La explicacin es clara, sencilla y responde a las preguntas de sus compaeros. La informacin tiene estructura adecuada. Explica claramente el control investigado Utiliza la creatividad Los compaeros de grupo opinan que es buena. El da que se pide

Presentacin

Contenido Tiempo de entrega

Evaluacin: ________ Observaciones y comentarios:

M.C. Gabriel Huesca Aguilar

Pgina 21

Auditora informtica II EC07: Actividad integradora del bloque

Fecha: ___/____/201___ Nombre: _____________________________________________ Grupo: __________
1. Define los siguientes conceptos a. Auditora informtica b. Auditora Interna y externa c. Procedimiento d. Matriz de riesgo e. Diagnostico funcional y cultural f. Evidencia 2. 3. 4. 5. 6. 7. Menciona las reas de aplicacin de la auditoria informtica. Menciona los elementos del diagnostico organizacional y explica dos de ellos Explica ampliamente que es y para que se utilizar el diagnostico de la unidad informtica. Menciona los elementos que se deben tomar en cuenta al elaborar un procedimiento. Elabore un procedimiento para el movimiento de equipo informtico. Explique brevemente que aspectos se deben tomar en cuenta al redactar un procedimiento.

M.C. Gabriel Huesca Aguilar

Pgina 22

Auditora informtica II

Bloque II: Auditora Informtica por reas

ud
En el Bloque II se aplican las competencias adquiridas anteriormente para definir las etapas de la planeacin de una auditora informtica y su importancia para su posterior aplicacin con profesionalismo y objetividad.
M.C. Gabriel Huesca Aguilar Pgina 23

Auditora informtica II EC08: Auditoria de recursos informticos

Fecha: ____/______/2012

Nombre : __________________________________________ Grupo: _39__ Instrucciones: A continuacin vamos a elaborar la Evaluacin de Auditoria del hardware realizando las siguientes actividades. 1. Completa un formato que permita registrar los recursos informticos de hardware (Numero de control, descripcin, dispositivo, marca, modelo, color, etc). 2. Completa un formato que permita registrar los recursos informticos de software (Numero de control, descripcin, aplicacin, licencia, ao, etc). 3. Lleva a cabo el inventario de Equipo de cmputo con el que cuenta la empresa identificando las caractersticas importantes para resolver cualquier duda en el ejercicio.

M.C. Gabriel Huesca Aguilar

Pgina 24

Auditora informtica II EC09: Evaluacin del hardware

Fecha: ____/______/2012 Nombre : __________________________________________ Grupo: _39__ Instrucciones: A continuacin vamos a elaborar la Evaluacin de Auditoria fsica realizando las siguientes actividades. 1. Escribe en Microsoft Office 2007 la auditora realizada 2. Elabora una lista de puntos fuertes de la empresa auditada en referencia al inventario fsico levantado en la organizacin auditada. 3. Elabora una lista de puntos dbiles de la empresa auditada en referencia al inventario fsico levantado en la organizacin auditada. 4. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias). 5. Elabora un control automtico para utilizar la informacin que recabaste en la empresa auditada de manera que puedas ubicar cualquier computadora. 6. Captura el proceso del seguimiento que se le da al equipo informtico en la empresa auditada. 7. Elabora una opinin fundamentada acerca de la evaluacin fsica.

M.C. Gabriel Huesca Aguilar

Pgina 25

Auditora informtica II EC10: Evaluacin del software

Fecha: ____/______/2012 Nombre : __________________________________________ Grupo: _39__ Instrucciones: Para realizar la auditoria de aplicaciones ten en cuenta lo siguiente:
Qu auditamos? Aplicaciones en funcionamiento en cuanto al grado de cumplimiento de los objetivos para los que fueron creadas. OBJETIVO DE LAS APLICACIONES: Registro de las operaciones procesos de clculo y edicin, almacenamiento de la informacin, dar respuesta a consultas de usuarios, generar informes de inters para la organizacin. AMENAZAS POSIBLE: Posibilidades de fallo: Software, hardware, redes y telecomunicaciones, confidencialidad e integridad gran uso de internet en las aplicaciones. RELEVAMIENTO DE INFORMACIN Y DOCUMENTACIN SOBRE LA APLICACIN: Manuales / ayuda del sistema Conocer la organizacin Organigramas, constitucin legal, layout, etc Entorno operativo de la aplicacin Hardware / software / redes Conocer de la aplicacin Lenguaje, Bases de datos, Mapa de datos, DD, Mtodo de programacin, Niveles de usuario, privilegios Estadsticas de uso.

Instrucciones: Para este ejercicio debers haber realizado el inventario de las aplicaciones existentes en la empresa auditada utilizando los formatos elaborados en la planeacin de la auditoria. 1. Captura el inventario de las aplicaciones especficas y de ofimtica existente en la empresa auditada. 2. Elabora una lista de puntos fuertes de la empresa auditada en referencia al inventario de aplicaciones realizado en la empresa auditada 3. Elabora una lista de puntos dbiles de la empresa auditada en referencia al inventario de aplicaciones realizado en la empresa auditada 4. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias) 5. Elabora una opinin fundamentada acerca de la evaluacin de aplicaciones.

M.C. Gabriel Huesca Aguilar

Pgina 26

Auditora informtica II EC11: Redes y comunicacin

Nombre : __________________________________________ Fecha: ____/______/2012 Grupo: _39__

Instrucciones: Para realizar la auditoria de redes y comunicacin toma en cuenta lo siguiente: Definicin: Serie de mecanismos mediante los cuales se pone a prueba una red informtica evaluando su desempeo y seguridad a fin de lograr una utilizacin ms eficiente y segura de la informacin. Qu auditamos? Proteccin a los cables y puntos de conexin para evitar fallas, Revisiones peridicas en la red (buscando fallas), Equipo de prueba de comunicaciones y alternativas de respaldos. Contraseas de acceso, registro de actividades en la red y cifrado de datos, accesos a servidores remotos, Herramientas para el monitoreo de la red .

Instrucciones: Para este ejercicio debers haber realizado la auditoria de las redes y comunicacin de datos existentes en la empresa auditada utilizando los formatos elaborados en la planeacin de la auditoria. 1. Entra a la direccin: http://www.monografias.com/trabajos10/auap/auap.shtml y realiza una lectura en donde comprendas la importancia y procedimiento para realizar este tipo de auditora 2. Captura la informacin auditada en cuanto a redes y comunicacin existente en la empresa auditada. 3. Elabora una lista de puntos fuertes de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 4. Elabora una lista de puntos dbiles de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 5. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias) 6. Elabora una opinin fundamentada acerca de la evaluacin de la red y sus puntos de conexin y comunicacin.

M.C. Gabriel Huesca Aguilar

Pgina 27

Auditora informtica II EC12: Seguridad informtica

Nombre : __________________________________________ Fecha: ____/______/2012 Grupo: _39__

Instrucciones: Para realizar la auditoria de la seguridad informtica toma en cuenta lo siguiente: Definicin: La Seguridad Informtica es el conjunto de reglas, planes y acciones que permiten asegurar la informacin contenida en un sistema de la informacin. Qu auditamos? Por una parte se debe contemplar la proteccin del hardware y los soportes de datos, as como la seguridad de los edificios e instalaciones que los albergan. El auditor informtico debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catstrofes naturales, etc. Por su parte, la seguridad lgica se refiere a la seguridad en el uso de software, la proteccin de los datos, procesos y programas, as como la del acceso ordenado y autorizado de los usuarios a la informacin. El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin de virus. Procesos para encriptar la informacin, la importacin y exportacin de datos, Inhabilitar el software o hardware con acceso libre y Polticas que prohban la instalacin de programas o equipos personales en la red.

Instrucciones: Para este ejercicio debers haber realizado la auditoria a la seguridad de los datos e informacin existentes en la empresa auditada utilizando los formatos elaborados en la planeacin de la auditoria. 1. Captura la informacin auditada en cuanto a la seguridad informtica existente en la empresa auditada. 2. Elabora una lista de puntos fuertes de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 3. Elabora una lista de puntos dbiles de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 4. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias) 5. Elabora una opinin fundamentada acerca de la evaluacin de la red y sus puntos de conexin y comunicacin. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos Inhabilitar el software o hardware con acceso libre Crear protocolos con deteccin de errores El software de comunicacin ha de tener procedimiento correctivos y de control ante mensajes duplicados, fuera de orden o retrasados. Polticas que prohban la instalacin de programas o equipos personales en la red. Firewall

M.C. Gabriel Huesca Aguilar

Pgina 28

Auditora informtica II

Bloque III: Propuesta de mejora

En este bloque se utilizan tcnicas de recopilacin de informacin para que permitan dar al auditor informacin de apoyo de cada rea que sea objeto de la auditoria y Evaluar la evidencia recabada durante la auditoria con el fin de elaborar un dictamen sobre las vulnerabilidades y fortalezas detectadas y presentar recomendaciones de una manera profesional, objetiva y honesta.
M.C. Gabriel Huesca Aguilar Pgina 29

Auditora informtica II

Propuesta de mejora6
La resolucin de problemas
No requiere mucha explicacin afirmar que solucionar problemas en el mbito de la empresa genera inmediatamente una mejora en aquella cuestin donde el problema desaparece. Pero no es ese el nico efecto que se produce. La solucin de problemas genera aprendizaje, aporta experiencia que se utiliza para hacer las cosas de otra forma, facilita la innovacin, y las novedades generan nuevos problemas cuya resolucin nos hace entrar en un crculo donde el aprendizaje lleva a la innovacin, que genera nuevos problemas, cuya resolucin nos hace aprender para nuevamente volver a innovar de forma constante.

En este dar vueltas, podemos llegar a tener empresas sabias y absolutamente intiles si no discriminamos sobre la tipologa de los problemas que se presentan. De forma que los problemas que deben solucionarse son slo aquellos que permitirn incrementar la capacidad competitiva de la empresa. Es decir, ante un problema la primera decisin a tomar es si es necesario resolverlo o no, si hay que dedicar algn tipo de esfuerzo para encontrar una solucin, tomando la iniciativa de abordar solamente aquellos que den paso a una mejora que haga incrementar la capacidad competitiva. Se consigue incrementar la capacidad competitiva cuando se consigue una mejora en: La relacin con los clientes Los recursos

El aprendizaje se consigue, adems de participando en la identificacin de los problemas, buscando soluciones y llevando a cabo las acciones previstas, evaluando los resultados obtenidos tras las decisiones llevadas a cabo. Esto nos lleva a la necesidad de establecer sistemas de informacin que permitan medir esos resultados de tal manera que la experiencia acumulada nos permita cuantificar de una forma clara el xito o el no xito de las medidas adoptadas. EL MODELO DE EMPRESA A fin de explicar con ms detenimiento en qu consisten la relacin con los clientes y los recursos, tomaremos como referencia un modelo genrico de empresa: Estrategia: Toda empresa ha de empezar por establecer una estrategia, lo cual implica tener que definir los siguientes conceptos: Misin, es lo que la empresa quiere hacer, incluye las metas a alcanzar y los objetivos globales de actuacin. El mbito producto / mercado, que se refiere a dnde compite la empresa. Las bases para la diferenciacin, qu ofrece al mercado diferente a lo que estn ya ofreciendo los competidores.

http://www.popomega.com/articulos/popomega_propuesta_mejora.pdf

M.C. Gabriel Huesca Aguilar

Pgina 30

Auditora informtica II
Relacin con los clientes: En funcin de cual sea la estrategia elegida, se establece cual ser la relacin que se mantendr con los clientes, para lo cual es necesario considerar, bajo las perspectivas de beneficios para el cliente: Contactos y apoyos, la forma en que la empresa acude al mercado respecto a canales utilizados, apoyos a prestar a los clientes y el nivel de servicio. Dinmica de relacin, cmo interactan los productores con el consumidor. Estructura de precios, con qu criterios y con qu diferencias frente a los competidores se van a establecer los precios. Informacin e ideas, lo cual implica cmo se va a acumular y a utilizar el conocimiento aportado o generado a partir de los clientes. Recursos: Establecida la estrategia y definida cual ser la relacin con los clientes es necesario aportar los recursos precisos para que se pueda llevar a cabo: Conocimientos, lo que la empresa sabe, habilidades y capacidades nicas. Activos, lo que la empresa posee, cosas ms que conocimientos. Procesos, lo que la gente hace, metodologa y rutinas. La forma que tienen de combinarse los conocimientos, los activos y los procesos, constituyen la configuracin de la empresa. Conexiones de valor: Los limites de la empresa se encuentra en lo que sta hace y lo que contrata y acuerda, de forma que el modelo tiene una extensin que alcanza a: Proveedores. Asociados. Coaliciones.

M.C. Gabriel Huesca Aguilar

Pgina 31

Auditora informtica II
FACTORES ECONMICOS: El modelo puede tener unas caractersticas que favorezcan unos resultados ms altos, stas son: Eficiencia, indica los costes de produccin que son necesarios realizar para obtener una unidad de beneficios. Singularidad, cuanto ms singular sea el modelo tendr mayor posibilidad de generar beneficios por encima de la media. Encajado, los elementos se refuerzan mutuamente.

Otros impulsores de beneficios son: o Los que generan ingresos crecientes: Efecto Red Feed Back de Clientes Aprendizaje Los que ponen en jaque a la competencia: Anticipacin Puntos de Ahogo Encerronas al cliente Las economas Estratgicas: Escala Especializacin Alcance Flexibilidad frente al mercado: Amplia Cartera de Clientes Agilidad Operativa Punto muerto reducido

CONOCIMIENTOS, HABILIDADES, COMPETENCIAS Todo proceso de resolucin de problemas debe comenzar por preguntarse qu hay que resolver, por qu y para qu, o con qu objetivo hay que solucionar el problema que se nos presenta. Respecto a los procedimientos que se pueden utilizar son muchos, y no son excluyentes por lo que pueden darse varios mtodos de trabajo, rutinas de relacin o tcnicas utilizadas, que se solapen o se pongan en prctica al mismo tiempo. Citamos algunos de estos aspectos para aclarar lo que remos indicar: Mtodo experimental, ver en la prctica qu ocurre. El sistema de prueba - error se encontrara en este mtodo. Analoga, buscar situaciones o problemas similares para ver como se han resuelto. Anlisis, distincin y separacin de las partes de un problema para llegar a conocer sus elementos. El anlisis causa efecto, o la interrogacin sistemtica estaran incluidos dentro de esta metodologa. Sntesis, composicin de un todo por la reunin de sus partes. Reuniones de grupo. No es un mtodo para abordar la solucin de problemas, sino una frmula adoptada para aprovechar todo el conocimiento que poseen las personas implicadas en la M.C. Gabriel Huesca Aguilar Pgina 32

Auditora informtica II
solucin de un problema, independientemente del mtodo elegido. La tormenta de ideas es especialmente representativa de esta intencin. Identificado un problema y decidido cuales sern los mtodos y las frmulas a utilizar en su solucin, se hace necesario identificar los conocimientos que precisa la persona o personas que van a buscar la solucin: - Si el problema se encuentra en el mbito de la relacin con los clientes, ser conveniente que sepan, con un detalle suficiente, los factores que intervengan en el problema; que conozcan los canales y sus caractersticas, o los productos, o cmo acta la competencia, o qu informacin estn aportando los propios clientes. - Si el problema se encuentra en el mbito de los recursos, el razonamiento es el mismo aunque su explicacin resulta un poco ms enrevesada, pues la primera cuestin que se plantea es saber lo que la gente sabe; respecto a los activos, conocer su utilidad, su uso y su funcionamiento; y respecto a los procedimientos, conocer los procesos que tiene como origen. El conocimiento se adquiere mediante el estudio y la experiencia. Habilidades: Nos referimos a la capacidad que tienen las personas para poner en accin sus conocimientos. Por ejemplo, refirindonos al juego del tenis, se puede tener un conocimiento casi perfecto de los fundamentos fsicos y de las caractersticas tcnicas que son necesarias para dar un buen derechazo y no ser nada efectivo con una raqueta en la mano. Los conocimientos no tienen ninguna utilidad si no van acompaados de habilidades para ponerlos en prctica. Por otro lado, un mayor nivel de conocimientos no est relacionado con una mejor actuacin; es necesario poseer unos conocimientos mnimos, alcanzar un umbral, para realizar determinadas acciones, pero sobrepasado ese umbral mayores conocimientos no garantizan mejores actuaciones. Las habilidades pueden ser: Locomotrices, como en el caso del tenis citado arriba. De relacin, como puede ser la capacidad de venta, de negociacin, de animacin de equipos, de comunicacin. De percepcin, como la capacidad analtica, la visin global o el autocontrol. Las habilidades se adquieren con entrenamiento. Competencias: Siguiendo con el ejemplo del tenis, se puede tener un buen conocimiento de cmo dar un derechazo, o de cmo jugar al tenis, en general, ser muy habilidoso con la raqueta y muy rpido en los movimientos y sin embargo no jugar al tenis o no ganar partidos. Para llevar a cabo determinada accin, aparte de poseer los conocimientos necesarios que lo permitan y las habilidades que capaciten para ello, es necesario tener inters en llevarla a cabo, tener la motivacin adecuada. El campo de la psicologa es el que ms ampliamente y con ms detalle ha estudiado el comportamiento humano, y existe cierto consenso en aceptar que para que una accin se lleve a cabo es necesario que exista un incentivo capaz de activar la motivacin del individuo. Una vez activado el motivo, ste se combinar con los valores, las destrezas (conocimientos y habilidades) y M.C. Gabriel Huesca Aguilar Pgina 33

Auditora informtica II
las oportunidades que se presenten en el entorno, para que la motivacin activada de cmo resultado una conducta determinada.

Mientras que lo valores, las destrezas y las oportunidades son conocidos, o parcialmente conocidos, por el individuo cuando acta, los motivos son inconscientes. Los motivos sociales mejor estudiados son: El Motivo de Logro, que representa el inters que tienen las personas en alcanzar cosas moderadamente difciles porque les reporta una satisfaccin personal conseguir lo que pretenden mediante el propio esfuerzo. El Motivo de Poder, incentivado por la satisfaccin que se puede encontrar en influir, o producir un impacto en los dems. El Motivo Afiliativo, la satisfaccin que se encuentra en el trato con otras personas y en poder ayudarse mutuamente. Nuestro tenista, que tiene las destrezas suficientes para ser un gran jugador, si su motivacin principal para practicar ese deporte se encuentra impulsada por el motivo de logro, posiblemente participe en campeonatos y se interese en mejorar en el ranking, contrate a un entrenador que le haga mejorar sus resultados y dedique un tiempo extra a entrenar (las personas impulsadas por el motivo de logro cuantifican sus objetivos pues eso les permite verificar que los consiguen); si su motivacin fuese de poder, tratara de relacionarse con personas influyentes siendo el juego una justificacin para ganar prestigio e influir en los dems con mayor facilidad; y si su motivacin fuese afiliativa, posiblemente jugara partidos de dobles, el resultado sera lo de menos pues el juego no es ms que la justificacin para pasar un rato con otras personas.

M.C. Gabriel Huesca Aguilar

Pgina 34

Auditora informtica II
Los motivos dirigen nuestro comportamiento a largo plazo. Esto quiere decir que una persona con un motivo muy marcado tender a llevar a cabo conductas donde se alcancen los incentivos que impulsan ese motivo. El principal incentivo para el motivo de logro es intrnseco, consiste en la propia realizacin de la tarea, mientras que los incentivos relacionados con el motivo de poder suelen ser extrnsecos (posesiones personales, signos de estatus,...). Los valores se refieren a lo que consideramos que es bueno o malo. Condicionan el comportamiento en la medida que una vez que se ha activado un motivo, ste buscar formas de manifestarse que se encuentren reconocidas por el individuo y por la sociedad a la que ste pertenezca. El motivo de poder no se manifestar en violencia salvo en casos de guerra o en situaciones donde sea aceptada. Las destrezas (conocimientos y habilidades), posibilitan determinados comportamientos. Las oportunidades permiten que se lleve a cabo la accin. Cuando esta combinacin de motivos, valores, destrezas y oportunidades dan como resultado una actuacin exitosa en el trabajo, se dice que constituyen una competencia. Conviene resaltar el significado que estamos otorgando a la palabra competencia, que es diferente a lo que tiene cuando nos referimos a los competidores, o cuando hacemos referencia a las facultades y atributos propios de una persona o de un cargo. Si bien el resultado de una competencia es una conducta, la competencia es una caracterstica subyacente (en la medida que el motivo que la suscita suele ser inconsciente). Esto queda fcilmente explicado con los dos ejemplos siguientes, obtenidos en entrevistas para identificar competencias: - Un comercial bancario estuvo durante varios meses tratando de captar a una empresa cliente, sin mucho xito pues no tena necesidades financieras que cubrir. No obstante, la persistencia del vendedor y las repetidas visitas que hizo a la empresa le procuraron cierta amistad con el director financiero, que un da le llam para solicitar una lnea de financiacin importante, que necesitaba con urgencia pues haba tenido una incidencia con otro banco y para que veas que te tengo en cuenta te llamo a ti en vez de llamar a otro de mis bancos. Nuestro comercial le coment que no le poda dar una respuesta inmediata ya que hasta dentro de dos das no se reunira el comit de riesgos. Sin embargo a las pocas llam a su cliente para decirle que lo haba hablado con el director en base a la urgencia que tenan y que la operacin estaba aprobada. Cuando le preguntamos que por qu le haba dicho que le dara la respuesta en dos das si poda despacharlo con el director de la oficina ese mismo da y dar una respuesta (pensando, nosotros, que ese sera un trmite necesario cuya conducta obedecera a la competencia Preocupacin por el Orden y la Calidad motivada por el motivo de logro). Nos contest que no lo consult con el director y que la respuesta se la poda haber dado inmediatamente pues el riesgo lo tena aprobado desde haca tiempo, pero que hacerlo as hubiese quedado como que la empresa le haca un favor por llamarle a l, sin embargo, el demorar la respuesta y luego llamarle para decirle que haba hecho una gestin especial para atender su demanda, le dejaba en una posicin totalmente contraria, el que haca el favor era l y eso le permitira pedir otras cosas ms tarde (esta conducta obedece a la competencia Impacto e Influencia, impulsada por el motivo de poder) Dos comerciales de seguros nos afirmaban que parte del xito de sus gestiones se encontraba en el tiempo que dedicaban a recopilar informacin acerca de posibles candidatos y sobre las necesidades de sus clientes (competencia conocida como Bsqueda de Informacin, relacionada con el motivo de logro). Cuando les preguntamos acerca de situaciones donde esto hubiese sido especialmente notable, uno nos narr varias situaciones vividas en la cantina del pueblo, donde todos los da iba a jugar una M.C. Gabriel Huesca Aguilar Pgina 35

Auditora informtica II
partida, con el objeto de recabar informacin pues por la cantina pasa todo el mundo y delante de una copa hablan ms de lo normal. El otro nos coment como peridicamente revisaba la documentacin generada en su oficina (plizas nuevas, fechas de renovacin, pagos de siniestros) para hacer visitas concertadas a determinados clientes que le podan dar ms informacin. Con estos dos ejemplos hemos querido poner de manifiesto que una misma conducta puede reflejar dos competencias diferentes (dependiendo de cual sea el inters que haya para actuar de esa forma), y que una misma competencia se puede manifestar en dos comportamientos distintos. Por tanto a la hora de definir conductas por las cuales se manifiesten las competencias, habr que hacerlo de forma genrica (busca informacin preguntando directamente), indicando el inters que le mueve a actuar de esa manera (no sera lo mismo: a fin de obtener datos que le permitan mejorar los resultados que a fin de conocer cmo se encuentran las personas y prestarles ayuda). Las competencias se adquieren conformando la motivacin (entrenamiento a largo plazo). Como hemos visto, los conocimientos y las habilidades no garantizan, por s solos, comportamientos exitosos en el trabajo. Hay que aadir motivos, valores y oportunidades para que se formen las competencias. Son ejemplos de competencias: Relacionadas con el motivo de logro: Orientacin al Logro, Iniciativa, Bsqueda de Informacin. Relacionada con el motivo de poder: Impacto e Influencia, Aprovechamiento de la Diversidad. Relacionada con el motivo afiliativo: Empata, Compromiso con la Organizacin. Gerenciales (con una combinacin de los tres motivos): Dar Directrices, Desarrollo de Personas, Liderazgo. LA CULTURA DE EMPRESA Es el conjunto de valores que la empresa considera positivos y propios. Emana de la Estrategia y adquiere forma a travs de la configuracin de la empresa y de las relaciones que esta establece hacia dentro y hacia afuera. La Cultura de Empresa es importante porque constituye una parte vital en la formacin de las competencias: Propicia la formacin en motivacin, en funcin de su orientacin a reesultados, su preocupacin por el impacto en los dems o por los aspectos sociales que fomente. Define los valores que se deben considerar a la hora de actuar. Se preocupa por la adquisicin de destrezas. Propicia determinadas conductas e impide, o no facilita, otras. Decide las oportunidades que deben darse para actuar. La Cultura de Empresa es importante porque naciendo en la Estrategia, se forma a travs de la configuracin y las relaciones que se crean en la empresa, y las incoherencias que se pueden producir entre lo que se dice que es bueno y las facilidades o inconvenientes que se ponen para que eso se pueda llevar a cabo generan deseconomas: Por falta de encaje, los elementos no se pueden reforzar mutuamente pues tiran hacia sitios diferentes. Por falta de eficiencia, si de la estrategia se dice que hay que potenciar algn valor, seguramente se asignarn algunos recursos de los que no se obtendrn resultados. Ponemos algunos ejemplos muy usuales de incoherencias en la Cultura de Empresa: - Hay que estar orientado hacia el cliente, y la estructura fsica de las oficinas no tienen asientos, ni lugares para dar una atencin confidencial. Eso s, hay mucho merchandising. M.C. Gabriel Huesca Aguilar Pgina 36

Auditora informtica II
- El compromiso con la organizacin es un valor importante en nuestros empleados, y se contrata fuera a las personas que ocupan los puestos ms relevantes (hay compromiso si hay reciprocidad). - El trabajo en equipo es un factor determinante de nuestra cultura, y se retribuye la actuacin individual, se potencia la competitividad entre diferentes departamentos y se critican las reuniones por inoperantes. En las situaciones de cambio organizativo es muy importante, a fin de no incurrir en deseconomas, ir realizando una comunicacin clara de la modificacin de valores que pueden provocar esos cambios, e ir formando y entrenando a las personas para que adquieran las competencias que sern precisas en la nueva situacin. LA GESTION DEL CONOCIMIENTO Llegado a este punto conviene retomar algunos comentarios realizados en puntos anteriores y recordar que el objetivo de este documento es realizar una propuesta para la mejora continua y que esta propuesta consiste en la mejora mediante la resolucin de problemas, para lo cual hemos tratado de identificar cuales son los problemas importantes que generarn mejora y que caractersticas deben tener las personas para resolver problemas. En estas explicaciones hemos hablado del aprendizaje, como una consecuencia de la solucin de problemas y como un elemento previo a la innovacin. Tambin hemos indicado que para aprender hay que medir lo que se hace y as poder conocer el impacto de las soluciones aportadas. Hay que establecer sistemas de informacin que permitan verificar los xitos y conocer los errores. Sistemas de informacin hay muchos y de caractersticas muy diferentes: la Contabilidad, Informes Estadsticos, Cuadro de Mando Integral (muy de moda). Uno de los procedimientos ms elaborados y con mejores resultado que se han establecido para conocer los errores, es el establecido por la aviacin civil y su sistema de la caja negra (que ni es una ni es negra, son dos y son naranja). Las cajas negras recogen, una de ellas, toda la informacin mecnica del avin, como temperatura, presin, combustible, altitud, funcionamiento de los diferentes componentes, y todas las comunicaciones que se realizan con el avin. De forma que despus de un accidente se puede comprobar el comportamiento mecnico que tena el aparato, y las conversaciones de los pilotos, a fin de verificar el tipo de incidente ocurrido y tratar de poner soluciones para que no ocurra nuevamente en el futuro. Sean cuales sean es conveniente establecer sistemas de informacin que permitan conocer el impacto de nuestras acciones (para aprender) y poder tomar decisiones (innovar). Hablamos de aprendizaje, y cuando tratamos el modelo de empresa citbamos como Recursos los Conocimientos (lo que la empresa sabe) y los Procesos (lo que la gente hace). Tambin indicbamos como impulsores de beneficios el Feed Back de Clientes. Ms adelante introdujimos el concepto de Competencia (como hace la gente lo que hace y con qu intencin). El ltimo punto lo hemos dedicado a la Cultura de Empresa, que puede estar recogida en algn documento o transmitida de boca en boca. Todas estas cosas forman parte del conocimiento de la empresa y tener acceso a ellas puede constituir una ventaja competitiva, no slo por la singularidad que provoca poder acceder al conocimiento concreto de una determinada organizacin, sino por la enorme ayuda que esto supondra a la hora de solucionar problemas. El objetivo de la Gestin del Conocimiento es establecer un Sistema Operativo Estable, para la mejora de la Capacidad Competitiva mediante el Aprovechamiento del Conocimiento.

M.C. Gabriel Huesca Aguilar

Pgina 37

Auditora informtica II
Puede tener un soporte tecnolgico, o no tenerlo. Desde luego el apoyo de la tecnologa es importante para la captura de datos y para establecer relaciones, pero no es un requisito imprescindible para Gestionar el Conocimiento. Lo que s es importante es la estructura que se d para almacenar los datos, de forma que stos sean fciles de encontrar. Una frmula muy extendida es el modelo universidad, donde los diferentes edificios y espacios que constituyen el Campus, alojan un tipo de conocimiento diferente. As: El Paraninfo, podra contener el manual de acogida, los principios fundacionales y las estrategias. Las Aulas, todos los cursos (programas y contenidos) que tiene la empresa a su disposicin. La Biblioteca, los procedimientos, los manuales, los informes tcnicos emitidos desde la empresa, o recogidos de otras organizaciones. Los Talleres, actuaciones que no dieron el resultado esperado, o iniciativas abiertas al debate. Las Aulas de Postgrado, pueden recoger aspectos como, perfiles de competencias asociados a diferentes ocupaciones dentro de la empresa, mapas de navegacin para autogestionar el desarrollo profesional. El Claustro de Profesores, podra recoger las mejores prcticas, de dentro y de fuera de la empresa y quizs tambin las sugerencias y los comentarios recibidos de clientes, proveedores. La Cafetera, es un centro de reunin, donde existen foros y charlas sobre aspectos diferentes. La analoga comentada no pretende ms que facilitar la bsqueda. Incluso, si se cuenta con una plataforma tecnolgica adecuada, se pueden poner autobuses que nos lleven de un lugar a otro: agentes (similares a los avisos que aparecen en el word), que te avisen de contenidos cuando ests escribiendo un informe o consultando un tema concreto.

M.C. Gabriel Huesca Aguilar

Pgina 38

Auditora informtica II EC13: El informe final

Nombre: _____________________________________________ Estructura del informe de auditora informtica y propuesta 1. 2. 3. 4. 5. 6. 7. Portada principal (incluyendo logos e informacin de la empresa auditor) ndice Dedicatoria Carta de presentacin Acta de inicio de Auditoria. Carta de informe de auditoria Informe de auditoria A. La empresa auditada B. Los recursos informticos C. Aplicaciones D. Redes y comunicacin 8. Propuesta de mejora A. Problema(s) detectados B. Objetivo de la propuesta C. Matriz de riesgos D. Procedimientos de auditoria E. Automatizacin de procesos (pantallas del programa) 9. Bibliografa 10. Anexos Fecha: ___/____/201___ Grupo: __________

Nota: En cada una de las reas del informe de auditora, es necesario agregar los formatos de evaluacin elaborados en clase.

M.C. Gabriel Huesca Aguilar

Pgina 39

Auditora informtica II

ANEXOS

M.C. Gabriel Huesca Aguilar

Pgina 40

Auditora informtica II Gua para presentar trabajos en la asignatura de Auditoria Informtica II

Contenido: 1. Portada: 1.1. Logo y nombre completo de la universidad 1.2. Nombre de la asignatura 1.3. Identificacin y Nombre del trabajo 1.4. Nombre del Alumno 1.5. Catedrtico 1.6. Grupo 1.7. Fecha de entrega 2. ndice (en caso de ser necesario) 3. Introduccin 4. Contenido del trabajo 5. Conclusin, reflexin u opinin personal 6. Bibliografa.

Presentacin y forma 1. Ofimtica versin 2007 en adelante 2. Atender a las reglas de ortografa y gramtica. 3. Uso mnimo de letras en maysculas 4. Justificacin de texto a la izquierda y derecha 5. Uso correcto del formato de texto 5.1. Mismo tipo de letra 5.2. Diferente tamao para temas y subtemas 5.3. Estilo de texto diferente para enfatizar 6. Utilizar el estilo APA para citar textos

M.C. Gabriel Huesca Aguilar

Pgina 41

Auditora informtica II
Formato 2 Hoja __ de __

PROPUESTA DE MEJORA
Ente Pblico (1) rea especfica (4) Sistemas de Control y/o Controles especficos propuestos (5) Situacin actual: (6)
mejora implantacin

Ejercicio (2)

N Prog. (3)

Descripcin de la propuesta: (7)

Acciones concretas o especficas a implementar: (8)

Resultados esperados: (9)

Nombre y firma (10) CARGO Y/O PUESTO Servidor Pblico Titular de la Unidad Administrativa M.C. Gabriel Huesca Aguilar

Nombre y firma (11) CARGO Y/O PUESTO Socio Responsable de la Auditora

Pgina 42

Auditora informtica II
INSTRUCTIVO DE LLENADO Ente Pblico 1 2 Ejercicio Nmero Progresivo 3 rea especfica 4 Sistemas de Control y/o controles especficos propuestos Anotar el nombre del ente pblico (entidad, rgano desconcentrado y/o fideicomiso pblico no paraestatal). Anotar el perodo o ejercicio (s) sujeto (s) a revisin. Asignar un nmero progresivo a cada una de las propuestas, compuesto de dos dgitos comenzando por el 01. Anotar el nombre del rea que va a resultar beneficiada con la propuesta. Se deber anotar el nombre del Sistema de Control genrico, o en su caso del control o controles especficos en los que el auditor externo haya detectado omisiones y/o debilidades, en las cuales sea factible implementar una propuesta para su mejora Se debern describir de manera clara y concisa las deficiencias y/o las debilidades de control que estn originando la propuesta. Incorporar las recomendaciones que a juicio de la firma de auditores externos atiendan las omisiones y debilidades de control sealadas en el punto 6. Se debern precisar las principales acciones concretas o especficas a implementar por parte del rea responsable, que coadyuven a abatir o eliminar las deficiencias y/o debilidades de control, las cuales deben guardar congruencia con las recomendaciones de mejora del auditor externo Se debern describir los beneficios en calidad, y en su caso en monto, presentes y futuros que se darn con la propuesta. Anotar el nombre, cargo y firma del Servidor Pblico titular de la Unidad Administrativa. Anotar el nombre, cargo y firma del Socio Responsable de la Auditora.

Situacin actual 6 Descripcin de la propuesta 7 Acciones concretas o especficas a implementar 8

Resultados esperados 9 Nombre y firma del Servidor Pblico titular de la Unidad Administrativa Nombre y firma Socio Responsable de la Auditora

10 11

M.C. Gabriel Huesca Aguilar

Pgina 43