CONCEPTOS DE AUDITORIA INFORMÁTICA

Proceso metodológico ejecutado por especialistas del área de auditoría y de

informática.
Orientado a la verificación y aseguramiento de que las políticas y procedimientos
establecidos para el manejo y uso adecuado de la tecnología de información, se
lleven a cabo de manera oportuna y eficiente.
Que operen en un ambiente se seguridad y control para generar confiabilidad,
integridad, exactitud, etc. en los datos..
Debe generar un informe que indique las observaciones, recomendaciones y
áreas de oportunidad para el mejoramiento y optimización de las Tecnologías de
Información.

Los objetivos de la auditoría Informática son:

 El control de la función informática
 El análisis de la eficiencia de los Sistemas Informáticos
 La verificación del cumplimiento de la Normativa en este ámbito
 La revisión de la eficaz gestión de los recursos informáticos.
 La auditoría informática sirve para mejorar ciertas características en la
empresa como:
- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad

Importancia de la auditoria en informática:

La tecnología informática (hardware, software, redes, bases de datos, etc.) es una
herramienta estratégica que brinda rentabilidad y ventajas competitivas a los
negocios frente a otros negocios similares en el mercado, pero puede originar
costos y desventajas si no es bien administrada por el personal encargado.

Páá giná 1
La solución clara es entonces realizar evaluaciones oportunas y completas de la
función informática, a cargo de personal calificado, consultores externos, auditores
en informática o evaluaciones periódicas realizadas por el mismo personal de
informática

También es un conjunto de tareas realizadas por un especialista para la

evaluación o revisión de políticas y procedimientos relacionados con las
diferentes áreas de una empresa
 Administrativas.
 Financieras.
 Operativas.
 Informática.
 Crédito.
 Fiscales

1.1 TIPOS DE AUDITORIA.

1.1.1 AUDITORIA INTERNA Y EXTERNA.

LA AUDITORÍA INTERNA

Es la realizada con recursos materiales y personas que pertenecen a la empresa

auditada. Los empleados que realizan esta tarea son remunerados
económicamente. La auditoría interna existe por expresa decisión de la Empresa,
o sea, que puede optar por su disolución en cualquier momento. Por otro lado,

Páá giná 2
 LA AUDITORÍA EXTERNA

Es realizada por personas afines a la empresa auditada; es siempre

remunerada. Se presupone una mayor objetividad que en la Auditoría
Interna, debido al mayor distanciamiento entre auditores y auditados.

El auditor tiene relación con la empresa.

La relación con la empresa puede influir en la emisión del juicio sobre la
Evaluación de las áreas de la empresa.

Informe para uso interno.

Permite detectar problemas y desviaciones.
Puede actuar periódicamente como parte de su Plan Anual.
Los auditados conocen estos planes y se habitúan a las Auditorías.
Las Recomendaciones habidas benefician su trabajo.
El auditor no tiene relación con la empresa

Revisión independiente con total libertad de criterio sin ninguna influencia.

Realizadas por despachos de auditores

Generalmente solicitado por instituciones gubernamentales

1.3.- CAMPO DE LA AUDITORIA INFORMÁTICA

Algunos campos de aplicación de la informática son las siguientes:

Investigación científica y humanística: Se usan las computadoras para

la resolución de cálculos matemáticos, recuentos numéricos, etc. Algunas
de estas operaciones:
Resolución de ecuaciones.
Análisis de datos de medidas experimentales, encuestas etc.
Análisis automáticos de textos.
Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería
y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:

Análisis y diseño de circuitos de computadora.

Cálculo de estructuras en obras de ingeniería.
Minería.
Páá giná 3
 Cartografía.

Documentación e información: Es uno de los campos más importantes para la

utilización de computadoras.
Estas se usan para el almacenamiento de grandes cantidades de datos y la
recuperación controlada de los mismos en bases de datos.
Ejemplos de este campo de aplicación son:
Documentación científica y técnica.
Archivos automatizados de bibliotecas.
Bases de datos jurídicas.

Gestión administrativa: Automatiza las funciones de gestión típicas de una

empresa. Existen programas que realizan las siguientes actividades:
Contabilidad.
Facturación.
Control de existencias.

Inteligencia artificial: Las computadoras se programan de forma que emulen el

comportamiento de la mente humana. Los programas responden como
previsiblemente lo haría una persona inteligente.
Aplicaciones como:
Reconocimiento de lenguaje natural.
Programas de juego complejos (ajedrez).
Instrumentación y control: Instrumentación electrónica, electro
medicina, robots industriales, entre otros.

1.4.- CONTROL INTERNO.

Se puede definir el control interno como "cualquier actividad o acción realizada

manual y/o automáticamente para prevenir, corregir errores o irregularidades que
puedan afectar al funcionamiento de un sistema para lograr o conseguir sus
objetivos.

Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de

seguridad que impida los accesos no autorizados al sistema.

Páá giná 4
Controles detectivos: Cuando fallan los preventivos para tratar de conocer
cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han

producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir
de las copias de seguridad.

Para la implantación de un sistema de controles internos informáticos habrá que

definir:

Gestión de sistema de información: políticas, pautas y normas técnicas que

sirvan de base para el diseño y la implantación de los sistemas de
información y de los controles correspondientes.

Administración de sistemas: Controles sobre la actividad de los centros de

datos y otras funciones de apoyo al sistema, incluyendo la administración de las
redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en
el software del sistema, integridad del sistema, confidencialidad (control de
acceso) y disponibilidad.

Gestión del cambio: separación de las pruebas y la producción a nivel del

software y controles de procedimientos para la migración de programas
software aprobados y probados.

1.5.- MODELOS DE CONTROL

En la actualidad existen una gran cantidad de modelos de control interno.

Los modelos de control interno COSO y COBIT son los dos modelos más
difundidos en la actualidad.

Páá giná 5
COSO está enfocado a toda la organización, contempla políticas, procedimientos y
estructuras organizativas además de procesos para definir el modelo de control
interno.

Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)
se centra en el entorno IT, contempla de forma específica la seguridad de la
información como uno de sus objetivos, cosa que COSO no hace. Además el
modelo de control interno que presenta COBIT es más completo, dentro de su
ámbito.

Existen otros tipos de modelos los cuales se mencionan a continuación:

OECD (Organization for Economic Cooperation and Development)
GAPP (Generaly Accepted Principles and Practices). National Institute of
Standards and Technology (NIST)

BS 7799 (British Standard Institute)

SAC (Security Auditability and Control). The Inst. of Internal Audit.
COSO (Internal Control Integrated Framework. Committee of Sponsoring
Organizations)
SSE CMM (Systems Security Engineering Capability Maturity Model)
National Security Agency (NSA) Defense- Canada.
CoCo (Criteria of Control Board of The Canadian Instituteof Chartered
Accountants.)
ITCG (Information Technology Control Guidelines). Canadian Institute of
Chartered Accountants(CICA)
GASSP (Generaly Accepted System Security Principles). International
Information Security Foundation (IISF)

Cobit (Control Objectives for Information and Related Technologies)

FISCAM (Federal Information Systems Controls Audit Manual).
GAO
SysTrust (AICPA/CICA SysTrust Principles and Criteria for System
Reliability)
SSAG (System Self-Assessment Guide for Information Technology
Systems). NIST

COBIT – DEFINICIÓN
Páá giná 6
Es un marco de control interno de TI.
Parte de la premisa de que la TI requiere proporcionar información para
lograr los objetivos de la organización.
Promueve el enfoque y la propiedad de los procesos.
Apoya a la organización al proveer un marco que asegura que:
La Tecnología de Información (TI) esté alineada con la misión y visión.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
COBIT – PRINCIPIOS

COBIT – ESTRUCTURA

Páá giná 7
COBIT – REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

COBIT combina los principios contenidos por modelos existentes y conocidos,

como COSO, SAC Y SAS.

Páá giná 8
COBIT – REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO
Efectividad: Información relevante y pertinente, proporcionada en forma
oportuna, correcta, consistente y utilizable
Eficiencia: Empleo óptimo de los recursos.
Confidencialidad: Protección de la información sensitiva contra
divulgación no autorizada
Integridad: Información exacta y completa, así como válida de acuerdo
con las expectativas de la organización.
Disponibilidad: accesibilidad a la información y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y compromisos contractuales.
Confiabilidad: Apropiada para la toma de decisiones adecuadas y el
cumplimiento normativo
COBIT – PROCESOS DE TI – TRES NIVELES

Páá giná 9
1.6.- PRINCIPIOS APLICADOS A AUDITORES INFOMÁTICOS

PRINCIPIO DE BENEFICIO DE AUDITADO

En este principio el auditor debe conseguir la máxima eficacia y rentabilidad
de los medios informáticos de la empresa auditada, no debe de
ningún modo obtener beneficio propio.

PRINCIPIO DE CALIDAD
En el auditor deberá prestar sus servicios conforme las posibilidades de la
ciencia y medios a su alcance con absoluta libertad respecto a la utilización
de dichos medios y en unas condiciones técnicas adecuadas para el idóneo
cumplimiento de su labor.

PRINCIPIO DE CONFIANZA
El auditor deberá facilitar e incrementar la confianza del auditor en base a
una actuación de transparencia en su actividad profesional sin alardes
científicos-técnicos.

PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la realización de la auditoría
encomendada, maximice teniendo en cuenta que, a los auditados en algunos

Páá giná 10
casos les puede ser extremadamente difícil verificar sus recomendaciones y
evaluar correctamente la precisión de las mismas.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL

El auditor, tanto en sus relaciones con el auditado como con terceras personas,
deberá, en todo momento, actuar conforma a las normas, implícitas o explícitas,
de dignidad de la profesión y de corrección en el trato personal.

PRINCIPIO DE CRITERIO PROPIO

El auditor durante la ejecución deberá actuar con criterio propio y no permitir que
esté subordinado al de otros profesionales, aun de reconocido prestigio, que no
coincidan con el mismo.

PRINCIPIO DE CONCENTRACION EN EL TRABAJO

El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de
concentración y precisión en cada una de las tareas a él encomendadas, y a que
la estructuración y dispersión de trabajos suele a menudo, si no está debidamente
controlada, provocar la conclusión de los mismos sin las
debidas garantías de seguridad.

PRINCIPIO DE DISCRECIÓN
El auditor deberá en todo momento mantener una cierta discreción en la
divulgación de datos, aparentemente inocuos, que se le hayan puesto de
manifiesto durante la ejecución de la auditoria.
PRINCIPIO DE ECONOMÍA

El auditor deberá proteger, en la medida de sus conocimientos, los derechos

económicos del auditado evitando generar gastos innecesarios en el ejercicio de
su actividad.

PRINCIPIO DE FORMACIÓN CONTINUADA

Páá giná 11
Este principio impone a los auditores el deber y la responsabilidad de mantener
una permanente actualización de sus conocimientos y métodos a fin de
adecuarlos a las necesidades de la demanda y a las exigencias de la competencia
de la oferta.
PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN

La defensa de los auditados pasa por el fortalecimiento de la profesión de los

auditores informáticos, lo que exige un respeto por el ejercicio, globalmente
considerado, de la actividad desarrollada por los mismos y un comportamiento
acorde con los requisitos exigibles para el idóneo cumplimiento de la finalidad de
las auditorias.

PRINCIPIO DE INDEPENDENCIA

Esta relacionado con el principio de criterio propio, obliga al auditor, tanto si actúa
como profesional externo o con dependencia laboral respecto a la empresa en la
que deba realizar la auditoria informática, a exigir una total autonomía e
independencia en su trabajo.

PRINCIPIO DE INFORMACIÓN SUFICIENTE

Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e

inteligible para el auditado, información de los puntos y conclusiones
relacionados con la auditoria.

PRINCIPIO DE INTEGRIDAD MORAL

Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor

a ser honesto, leal y diligente en el desempeño de su misión, a ajustarse a
las normas morales de justicia y prioridad.

PRINCIPIO DE LEGALIDAD

Páá giná 12
La primacía de esta obligación exige del auditor un comportamiento activo de
oposición a todo intento, por parte del auditado o de terceras personas,
tendente a infringir cualquier precepto integrado en el derecho positivo.

PRINCIPIO DE LIBRE COMPETENCIA

La actual economía de mercado exige que el ejercicio de la profesión se realice en

el marco de la libre competencia siendo rechazables, por tanto, las prácticas
colusorias tendentes a impedir o limitar la legítima competencia de otros
profesionales.

PRINCIPIO DE NO DISCRIMINACIÓN

El auditor en su actuación previa, durante y posterior a la auditoria deberá evitar

cualquier tipo de condicionantes personalizados y actuar en todos
los casos con similar diligencia.

PRINCIPIO DE NO INJERENCIA

El auditor, deberá evitar injerencias en los trabajos de otros profesionales, respetar

su labor y eludir hacer comentarios que pudieran interpretarse como
despreciativos de la misma, deberá igualmente evitar aprovechar los datos.

PRINCIPIO DE PRECISIÓN

Este principio exige del auditor la no conclusión de su trabajo hasta estar

convencido, en la medida de lo posible, de la viabilidad de sus propuestas.

PRINCIPIO DE PUBLICIDAD ADECUADA

La oferta y promoción de los servicios de auditoria deberán en todo momento

ajustarse a las características, condiciones y finalidad perseguidas.

PRINCIPIO DE RESPONSABILIDAD

El auditor deberá, como elemento intrínseco de todo comportamiento profesional,

responsabilizarse de lo que haga, diga o aconseje.

PRINCIPIO DE SECRETO PROFESIONAL

Páá giná 13
La confidencia y confianza entre el auditor y el auditado e imponen al primero la
obligación de guardar en secreto los hechos e informaciones que conozca en el
ejercicio de su actividad profesional.

PRINCIPIO DE SERVICIO PÚBLICO

La aplicación de este principio debe incitar al auditor a hacer lo que este en su

mano y sin perjuicio de los intereses de su cliente, para evitar daños sociales.

PRINCIPIO DE VERACIDAD
El Auditor en sus comunicaciones con el auditado deberá tener siempre presente
la obligación de asegurar la veracidad de sus manifestaciones con los limites
impuestos por los deberes de respeto, corrección, y secreto profesional.

1.7.- RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

El auditor informático debe ser una persona con un alto grado de calificación
técnica y al mismo tiempo estar integrado a las corrientes organizativas
empresariales. Es responsable de realizar las siguientes actividades:

•Verificación del control interno tanto de las aplicaciones como de los SI,
periféricos, etc.
•Análisis de la administración de Sistemas de Información, desde un punto de
vista de riesgo de seguridad, administración y efectividad de la administración.
•Análisis de la integridad, fiabilidad y certeza de la información a través del
análisis de aplicaciones.
•Auditoría del riesgo operativo de los circuitos de información
•Análisis de la administración de los riesgos de la información y de la seguridad
implícita.
•Verificación del nivel de continuidad de las operaciones.
•Análisis del Estado del Arte tecnológico de la instalación revisada y las
consecuencias empresariales que un desfase tecnológico puede acarrear.

RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

Organización de la función de Auditoría Informática

Páá giná 14
La función de la auditoría informática se hconvertido en una función que desarrolla
un trabajo más acorde con la importancia que para las organizaciones tienen los
SI, que son su objeto de estudio y análisis. El auditor informático pasa a ser
auditor y consultor de empresas en materias de:

•Seguridad
•Control interno operativo
•Eficiencia y eficacia
•Tecnologías de Información
•Continuidad de operaciones
•Administración de riesgos

Su localización puede estar ligada a la auditoría interna operativa y financiera

(aunque exista una coordinación lógica entre ambos departamentos), con
independencia de objetivos, planes de formación y presupuestos.

Debe ser un grupo independiente del de auditoría interna, con acceso total a los
SI y demás tecnología, que depende de la misma persona que la auditoría
interna (Director General o Consejero).

La dependencia debe ser del máximo responsable de la organización, nunca del
departamento de sistemas o del financiero. Esto es para que no se pueda
sospechar que exista sesgo al momento de realizar el trabajo de auditoría y
ofrecer conclusiones y recomendaciones.

Los recursos humanos con los que debe contar el departamento debe ser una
mezcla equilibrada de personas con formación en auditoría y organización y con
perfil informático (especialidades).

UNIDAD 2.- PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA

2.1 FASES DE LA AUDITORIA.

Páá giná 15
LAS NORMAS DE LA AUDITORÍA INTERNA COMPRENDEN

•Las actividades auditadas y la objetividad de los auditores internos.

•El alcance del trabajo de auditoría interna en el área de informática.

•El departamento de auditoría interna deberá asignara cada auditoría a aquellas

personas que en su conjunto posean los conocimientos, la experiencia y la
disciplina necesarios para conducir apropiadamente la auditoría.

El departamento de auditoría interna deberá asegurarse:

•Que las auditorías sean supervisadas en forma apropiada. La supervisión es un

proceso continuo que comienza con la planeación y termina con el trabajo de
auditoría.

•Que los informes de auditoría sean precisos, objetivos, claros, concisos,

constructivos y oportunos.

Páá giná 16
•Que se cumplan los objetivos de la auditoría.

•Que la auditoría sea debidamente documentada y que se conserve la evidencia

apropiada de la supervisión.

•Que los auditores cumplan con las normas profesionales de conducta.

•Que los auditores en informática posean los conocimientos, experiencias y

disciplinas esenciales para realizar sus auditorías.

Para una adecuada planeación

Para hacer una adecuada planeación de la auditoría en informática hay que seguir
una serie de pasos previos que permitirán dimensionar el tamaño y características
del área dentro del organismo a auditar, sus sistemas, organización y equipo. Con
ello podremos determinar el número y características del personal de auditoría, las
herramientas necesarias, el tiempo y costo, así como definir los alcances de la
auditoría para, en caso necesario, poder elaborar el contrato de servicios.

2.1.1. PLANEACIÓN

El trabajo de auditoría deberá incluir:

•La planeación de la auditoría

•El examen y la evaluación de la información

•La comunicación de los resultados y el seguimiento

1. Planeación (Cont.)

Páá giná 17
La planeación deberá ser documentada e incluirá:

2.1.2. REVISIÓN PRELIMINAR

El objetivo de la revisión preliminar es el de obtener la información necesaria para

que el auditor pueda tomar la decisión de cómo proceder en la auditoría. Al
terminar la revisión preliminar el auditor puede proceder en uno de los tres
caminos siguientes: Diseño de la auditoría. Puede haber problemas debido a la
falta de competencia técnica para realizar la auditoría.

Realizar una revisión detallada de los controles internos de los sistemas con la
esperanza de que se deposite la confianza en los controles de los sistemas y de
que una serie de pruebas sustantivas puedan reducir las consecuencias.

Decidir el no confiar en los controles internos del sistema. Existen dos razones
posibles para esta decisión. Primero, puede ser más eficiente desde el punto de
vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los
controles del área de informática pueden duplicar los controles existentes en el
área del usuario.

2.1.3. REVISIÓN DETALLADA

Los objetivos de la fase detallada son los de obtener la información necesaria

para que el auditor tenga un profundo entendimiento de los controles usados

dentro del área de informática. En la fase de evaluación detallada es importante
para el auditor identificar las causas de las pérdidas existentes dentro de la

Páá giná 18
instalación y los controles para reducir las pérdidas y los efectos causados por
éstas. Al terminar la revisión detallada el auditor debe evaluar en qué momento los
controles establecidos reduce las pérdidas esperadas a un nivel aceptable. Los
métodos de obtención de información al momento de la evaluación detallada son
los mismos usados en la investigación preliminar,

y lo único que difiere es la profundidad con se obtiene la información y se evalúa.

2.1.4. EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN.

Los auditores internos deberán obtener, analizar, interpretar y documentar la

información para apoyar los resultados de la auditoría. El proceso de examen y
evaluación de la información es el siguiente:

Se debe obtener la información de todos los asuntos relacionados con los

objetivos y alcances del auditor. La información relevante apoya los hallazgos y
recomendaciones de auditoría y es consistente con los objetivos de ésta. La
información útil ayuda a la organización a lograr sus metas. El proceso de recabar,
analizar, interpretar y documentar la información deberá supervisarse para
proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo
y que las metas de auditoría se cumplieron. Los documentos de trabajo de la
auditoría deberán ser preparados por los auditores y revisados por la gerencia de
auditoría. Estos documentos deberán registrar la información obtenida y el análisis
realizado, y

deben apoyar las bases de los hallazgos de auditoría y las recomendaciones que
se harán.

Páá giná 19
Los auditores deberán reportar los resultados del trabajo de auditoría: El auditor
deberá discutir las conclusiones y recomendaciones en los niveles apropiados de
la administración antes de emitir su informe final. Los informes deberán ser
objetivos, claros, concisos, constructivos y oportunos. Los informes presentarán el
propósito, alcance y resultados de la auditoría y, cuando se considere apropiado,
contendrán la opinión del auditor.

2.1.5. PRUEBAS DE CONTROLES DE USUARIO.

En algunos casos el auditor puede decidir el no confiaren los controles internos

dentro de las instalaciones informáticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles de informática. Estas
pruebas que compensan las deficiencias de los controles internos se pueden
realizar mediante cuestionarios, entrevistas, visitas y evaluaciones hechas
directamente con los usuarios.

2.1.6 PRUEBAS SUSTANTIVAS

El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente

que permita al auditor emitir su juicio en las conclusiones acerca de cuándo

pueden ocurrir pérdidas materiales durante el procesamiento de la información. El
auditor externo expresará este juicio en forma de opinión sobre cuándo puede
existir un proceso equivocado o falta de control de la información. Se pueden
identificar ocho diferentes pruebas sustantivas:

•Pruebas para identificar errores en el procesamiento o de falta de seguridad o

confidencialidad.

•Pruebas para asegurar la calidad de los datos.

•Pruebas para identificar la inconsistencia de los datos.

•Pruebas para comparar con los datos o contadores físicos.

•Confirmación de datos con fuentes externas.

Páá giná 20
•Pruebas para confirmar la adecuada comunicación.

•Pruebas para determinar falta de seguridad.

•Pruebas para determinar problemas de legalidad

2.2 EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO

Son aquellos objetos, dispositivos, medidas, etc. que contribuyen a hacer mas
seguro el funcionamiento o el uso.

CONSIDERACIONES INMEDIATAS PARA LA AUDITORÍA DE LA SEGURIDAD

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede

ser susceptible a:

 copia de programas de la organización para fines de comercialización

(copia pirata).

 acceso directo o telefónico a bases de datos con fines fraudulentos

Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma clara los
accesos a las computadoras de acuerdo a:

Páá giná 21
  nivel de seguridad de acceso
 empleo de las claves de acceso
 evaluar la seguridad contemplando la relación costo, ya que a mayor
tecnología de acceso mayor costo.

CANTIDAD Y TIPO DE INFORMACIÓN

El tipo y la cantidad de información que se introduce en las computadoras debe

considerarse como un factor de alto riesgo ya que podrían producir que:

 la información este en manos de algunas personas

 la alta dependencia en caso de perdida de datos

PERSONAL

Páá giná 22
Se debe observar este punto con mucho cuidado, ya que hablamos de las
personas que están ligadas al sistema de información de forma directa y se
deberá contemplar principalmente:

*contemplar la cantidad de personas con acceso operativo y administrativo

*conocer la capacitación del personal en situaciones de emergencia

MEDIOS DE CONTROL

Se debe contemplar la existencia de medios de control para conocer cuando se

produce un cambio o un fraude en el sistema. También se debe observar con
detalle el sistema ya que podría generar indicadores que pueden actuar como
elementos de auditoría inmediata, aunque esta no sea una especificación del
sistema.

RASGOS DEL PERSONAL

Se debe ver muy cuidadosamente el carácter del personal relacionado con el

sistema, ya que pueden surgir:

 malos manejos de administración

 malos manejos por negligencia
 malos manejos por ataques deliberados

Páá giná 23
INSTALACIONES

Es muy importante no olvidar las instalaciones físicas y de servicios, que significan

un alto grado de riesgo. Para lo cual se debe verificar:

 la continuidad del flujo eléctrico

 efectos del flujo eléctrico sobre el software y hardware
 evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
 verificar si existen un diseño, especificación técnica, manual o algún tipo de
documentación sobre las instalaciones

ESTABLECER LAS ÁREAS Y GRADOS DE RIESGO

Es muy importante el crear una conciencia en los usuarios de la organización

sobre el riesgo que corre la información y hacerles comprender que la seguridad
es parte de su trabajo.

SISTEMA INTEGRAL DE SEGURIDAD

Un sistema integral debe contemplar:

 Definir elementos administrativos

 Definir políticas de seguridad
 A nivel departamental
 A nivel institucional
 Organizar y dividir las responsabilidades
 Contemplar la seguridad física contra catástrofes (incendios, terremotos,
inundaciones, etc.)

Páá giná 24
Definir prácticas de seguridad para el personal:

 Plan de emergencia (plan de evacuación, uso de recursos de emergencia

como extinguidores.
 Números telefónicos de emergencia
 Definir el tipo de pólizas de seguros
 Definir elementos técnicos de procedimientos

Definir las necesidades de sistemas de seguridad para:

 Hardware y software
 Flujo de energía
 Cableados locales y externos
 Aplicación de los sistemas de seguridad incluyendo datos y archivos
 Planificación de los papeles de los auditores internos y externos
 Planificación de programas de desastre y sus pruebas (simulación)
 Planificación de equipos de contingencia con carácter periódico
 Control de desechos de los nodos importantes del sistema:
 Política de destrucción de basura copias, fotocopias, etc.
 Consideración de las normas ISO 14000
 Etapas para Implementar un Sistema de Seguridad

PLAN DE SEGURIDAD IDEAL (O NORMATIVO)

Un plan de seguridad para un sistema de seguridad integral debe contemplar:

 El plan de seguridad debe asegurar la integridad y exactitud de los datos

 Debe permitir identificar la información que es confidencial
 Debe contemplar áreas de uso exclusivo
 Debe proteger y conservar los activos de desastres provocados por la
mano del hombre y los actos abiertamente hostiles

Páá giná 25
  Debe asegurar la capacidad de la organización para sobrevivir accidentes
 Debe proteger a los empleados contra tentaciones o sospechas
innecesarias
 Debe contemplar la administración contra acusaciones por imprudencia

BENEFICIOS DE UN SISTEMA DE SEGURIDAD

Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya

que el la organización trabajará sobre una plataforma confiable, que se refleja en
los siguientes puntos:
 Aumento de la productividad.
 Aumento de la motivación del personal.
 Compromiso con la misión de la compañía.
 Mejora de las relaciones laborales.
 Ayuda a formar equipos competentes.
 Mejora de los climas laborales para los RR.HH.
2.3 INVESTIGACION PRELIMINAR
Se deberá observar el estado general del área, su situación dentro de la
organización, si existe la información solicitada, si es o no necesaria y la fecha de
su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de
cada una de las áreas basándose en los siguientes puntos:

* Administración
* Sistemas

ADMINISTRACIÒN
Se recopila la información para obtener una visión general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.

Páá giná 26
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del
área de informática

 Objetivos a corto y largo plazo.

 Recursos materiales y técnicos
 Solicitar documentos sobre los equipos, número de ellos, localización y
características.
 Número de equipos, localización y las características (de los equipos
instalados y por instalar y programados)
 Fechas de instalación de los equipos y planes de instalación.
 Contratos vigentes de compra, renta y servicio de mantenimiento.
 Contratos de seguros.
 Convenios que se tienen con otras instalaciones.
 Configuración de los equipos y capacidades actuales y máximas.
 Planes de expansión.
 Ubicación general de los equipos.
 Políticas de operación.
 Políticas de uso de los equipos.

SISTEMAS
Descripción general de los sistemas instalados y de los que estén por instalarse
que contengan volúmenes de información.

* Manual de formas.

Páá giná 27
 * Manual de procedimientos de los sistemas.
* Descripción genérica.
* Diagramas de entrada, archivos, salida.
* Salidas.
* Fecha de instalación de los sistemas.
* Proyecto de instalación de nuevos sistemas.
* En el momento de hacer la planeación de la auditoría o bien su realización,
debemos evaluar que pueden presentarse las siguientes situaciones.

Se solicita la información y se ve que:

* No tiene y se necesita
* No se tiene y no se necesita.
* Se tiene la información pero:
* No se usa.
* Es incompleta.
* No esta actualizada.
* No es la adecuada.

Se usa, está actualizada, es la adecuada y está completa.

El éxito del análisis crítico depende de las consideraciones siguientes:

 Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la

información sin fundamento)
 Investigar las causas, no los efectos.
 Atender razones, no excusas.
 No confiar en la memoria, preguntar constantemente.
 Criticar objetivamente y a fondo todos los informes y los datos recabados.

Páá giná 28
2.4.-PERSONAL PARTICIPANTE

Una de las partes más importantes en la planeación de la auditoria en informática

es el personal que deberá participar, ya que se debe contar con un equipo
seleccionado y con ciertas características que puedan ayudar a llevar la auditoria
de manera correcta y en el tiempo estimado.

Aquí no se vera el número de persona que deberán participar, ya que esto

depende de las dimensiones de la organización, de los sistemas y de los equipos,
lo que se deberá considerar son exactamente las características que debe cumplir
cada uno del personal que habrá de participar en la auditoria.

Uno de los esquemas generalmente aceptados para tener un adecuado control es

que el personal que intervenga este debidamente capacitado, que tenga un alto
sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y
se le retribuya o compense justamente por su trabajo.

Con estas bases debemos considerar los conocimientos, la práctica profesional y

la capacitación que debe tener el personal que intervendrá en la auditoria.

Primeramente, debemos pensar que hay personal asignado por la organización,

que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria,
proporcionarnos toda la información que se solicite y programar las reuniones y
entrevistas requeridas.

Este es un punto muy importante ya que, de no tener el apoyo de la alta dirección,

ni contar con un grupo multidisciplinario en el cual estén presentes una o varias
personas del área a auditar, será casi imposible obtener información en el
momento y con las características deseadas.

También se deben contar con personas asignadas por los usuarios para que en el
momento que se solicite información, o bien se efectúe alguna entrevista de
comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y

Páá giná 29
complementen el grupo multidisciplinario, ya que debemos analizar no sólo el
punto de vista de la dirección de informática, sino también el del usuario del
sistema.

Para complementar el grupo, como colaboradores directos en la realización de la

auditoria, se deben tener personas con las siguientes características:

 Técnico en informática.  Conocimientos de Admón., contaduría y finanzas. 

Experiencia en el área de informática.  Experiencia en operación y análisis de
sistemas.  Conocimientos y experiencias en psicología industrial. 
Conocimientos de los sistemas operativos, bases de datos, redes y
comunicaciones, dependiendo del área y características a auditar. 
Conocimientos de los sistemas más importantes.

En el caso de sistemas complejos se deberá contar con personal con

conocimientos y experiencias en áreas específicas como base de datos, redes y
comunicaciones, etcétera.

Lo anterior no significa que una sola persona deba tener los conocimientos y
experiencias señaladas, pero si que deben intervenir una o varias personas con
las características apuntadas.

Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad

de presenta la carta (convenio de servicios profesionales – en el caso de auditores
externos -) y el plan de trabajo.

La carta convenio es un compromiso que el auditor dirige a su cliente para su

confirmación de aceptación. En ella se especifican el objetivo y el alcance de la
auditoria, las limitaciones y la colaboración necesaria, el grado de responsabilidad
y los informes que se han de entregar.

UNIDAD 3.- AUDITORIA DE LA FUNCIÓN INFORMÁTICA

Páá giná 30
3.1 RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL

 Una vez elaborada la planeación de la auditoría, la cual servirá como plan

maestro de los tiempos, costos y prioridades, y como medio de control de la
auditoría, se debe empezar la recolección de la información.

 Se procederá a efectuar la revisión sistematizada del área a través de

la observación y entrevistas de fondo en cuanto a:

 A) Estructura Orgánica
 B) Se deberá revisar la situación de los recursos humanos.
 C) Entrevistas con el personal de procesos electrónicos.
 D) Se deberá conocer la situación presupuestal y financiera.
 E) Se hará un levantamiento del censo de recursos humanos y análisis de
situación.
 F) Por último, se deberá revisar el grado de cumplimiento de los
documentos administrativos.

 A) Estructura Orgánica
 Jerarquías (Definición de la autoridad lineal, funcional y de asesoría)
 Estructura orgánica
 Funciones
 Objetivos

Páá giná 31
 B) Se deberá revisar la situación de los recursos humanos.

 C) Entrevistas con el personal de procesos electrónicos:

 a) Jefatura

Páá giná 32
 b) Análisis
 c) Programadores
 d) Operadores
 e) Capturistas
 f) Personal administrativo

 D) Se deberá conocer la situación presupuestal y financiera en cuanto

a:
 - Presupuesto

 - Recursos financieros
 - Recursos materiales
 - Mobiliario y equipo

 E) Se hará un levantamiento del censo de recursos humanos y análisis

de situación en cuanto a:

 · Número de personas y distribución por áreas

 · Denominación de puestos
 · Salario
 · Capacitación
 · Conocimientos
 · Escolaridad
 Experiencia profesional
 Antigüedad
 Historial de trabajo
 Salario y conformación
 Movimientos salariales
 Índice de rotación del personal
 Programa de capacitación (vigente y capacitación dada en el último año)

Páá giná 33
  F) Por último, se deberá revisar el grado de cumplimiento de los
documentos administrativos.
 Normas y políticas

 · Planes de trabajo
 · Controles
 · Estándares
· Procedimientos

 La información nos servirá para determinar:


· Si las responsabilidades en la organización están definidas adecuadamente
· Si la estructura organizacional está adecuada a las necesidades
· Si el control organizacional es el adecuado
· Si se tienen los objetivos y políticas adecuadas, se encuentran vigentes y están
bien definidas

Si existe la documentación de las actividades, funciones y responsabilidades

· Si los puestos se encuentran definidos y señaladas sus responsabilidades
· Si el análisis y descripción de puestos está de acuerdo con el personal que los
ocupa
· Si se cumplen los lineamientos organizacionales
Si el nivel de salarios comparado con el mercado de trabajo
· Si los planes de trabajo concuerdan con los objetivos de la empresa
· Si se cuenta con los recursos humanos necesarios que garanticen la continuidad
de la operación o se cuenta con "indispensables“
· Si se evalúan los planes y se determinan las desviaciones

 Se utilizan varios patrones, esto pueden ser:

Páá giná 34
1) Patrones de cantidad: son los que se expresan en números o en cantidades,
como número de empleados, porcentaje de rotación de empleados, numero de
admisiones, índice de accidentes, etc.

2) Patrones de calidad: son los que se relacionan con aspectos no cuantificables,

como métodos de selección de empleados, resultados de entrenamiento,
funcionamiento de la evaluación del desempeño. Etc.,

3) Patones de tiempo: consisten en la rapidez con que se integra e personal recién

admitido, la permanencia promedio del empleado en la empresa, el tiempo de
procesamiento de las requisiciones de personal, etc.

4) Patones de costo: son los costos, directos e indirectos, de la rotación de

personal

3.2.- EVALUACIÓN DE RECURSOS HUMANOS

La evaluación esta presente en todo momento de la ejecutoria de un empleado

dentro de una organización. Desde la entrevista inicial, la valoración del
desempeño, hasta la carta de recomendación cuando se desea mover a otro
empleo, las personas están siendo evaluadas.

Las organizaciones suelen realizar una valoración del rendimiento con fines
administrativos y de desarrollo. Según Gómez-Mejía, Balkin & Cardy la valoración
del rendimiento se utiliza administrativamente como punto de partida para tomar
decisiones sobre las condiciones laborales de un empleado, considerando las
promociones, los despidos y las recompensas.

La evaluación del desempeño o valoración del rendimiento, implica identificar,

medir, y gestionar el rendimiento de las personas dentro de una organización.

Páá giná 35
Ante este particular la evaluación se convierte en un proceso de mejora continua
debido a que permite proyectar acciones futuras para un mayor desarrollo del
individuo y de la organización.

Para poder identificar los puntos que van a ser evaluados dentro de una
organización, es necesario conocer cuál es la situación general de la empresa,
definir la política, establecer objetivos y obtener información sobre las
evaluaciones previas y sus resultados.

Por otro lado para obtener un diagnóstico de las situaciones de las empresas con
relación a su desempeño, se pueden hacer entrevistas, cuestionarios, informes,
documentación escrita y programas de acción.

La evaluación se hace por una razón. La enciclopedia mediana y pequeña

empresa enfatiza una serie de objetivos sobre la evaluación, como:

1. Mejorar el desarrollo y comunicación de los trabajadores.

2. Desarrollar y mejorar el conjunto de los sistemas de la organización.
3. Logra un mayor ajuste persona/puesto y en el conocimiento profesional del
propio evaluado.

Los criterios de evaluación son de importancia consideración para ser

aplicados en las diversas organizaciones:

Gómez-Mejía, Balkin & Cardy sugieren que se pueden establecer según dos
modelos:

1. En función de los objetivos: Consiste en la identificación por parte del jefe y

empleado de las áreas de responsabilidad y los indicadores para medir resultados.

Páá giná 36
2. En función de los factores de valor: Se trata de evaluar el desempeño según el
perfil socio profesional (habilidades, capacidades, actitudes, organización,
resolución de problemas, toma de decisiones, etc.) de cada puesto de trabajo.

Gómez-Mejía, Balkyn y Cardy sugieren varios métodos para evaluar, como:

1. Clasificación: Se trata de elaborar una lista de los evaluados en orden de

sucesión según su ámbito profesional.
2. Comparación: Una vez agrupados los empleados según puestos de trabajo o
áreas, se efectúa un análisis comparativo entre los individuos del mismo grupo.
3. Curva de rendimiento: Se ubica a los empleados según su rendimiento en la
parte correspondiente de una curva.

4. Listados de características: Se confecciona una lista con las características y

los objetivos de cada puesto de trabajo y grado de ejecución de los empleados.
5. Evaluación abierta: Consiste dejar abierto el campo de los aspectos que se
deben evaluar.
6. Evaluación del personal jerárquico: Puede hacerse de manera directa, a través
de un protocolo de preguntas que los empleados contestarán.
7. Autovaloración: Puede ser estructurada o abierta. En el primer caso se pasará
un protocolo que el empleado deberá cumplimentar, mientras que en el segundo
caso éste tendrá que exponer cuáles son a su parecer sus logros y cuáles son sus
puntos débiles.
8. Evaluación entre áreas: Cada miembro de los sectores dentro de una
organización evaluará a los empleados del otro departamento.

Obstáculos para medir eficazmente el rendimiento:

Páá giná 37
1. Los errores y el sesgo de la persona que realiza la evaluación.
2. La influencia de los gustos.
3. La política de la organización.
4. El enfoque hacia el individuo o hacia el grupo.
5. Las cuestiones legales

La enciclopedia práctica de la pequeña y mediana empresa presenta varias

claves para los directivos sobre como informar a los empleados de su
rendimiento, entre estas:

* Documentar el rendimiento del empleado.

*Solicite la participación del empleado.
*Céntrese en los comportamientos.
*Sea específico y de tiempo.
*Dirija su información sólo a facetas de la situación de rendimiento que el
empleado puede cambiar.

La enciclopedia práctica de la pequeña y mediana empresa presenta varias

claves que el empleado puede utilizar para obtener información sobre su
rendimiento personal, entre estas:

*En el momento oportuno pida a su director y a los demás que contribuyan a

valorar su rendimiento.
*Mantenga un registro de sus logros y de sus fallos.
*Invite a su director/evaluador a ofrecer sus sugerencias para mejorar.
*Si recibe comentarios críticos no discuta ni se ponga sensible. Analice como
puede mejorar.

Gestión del rendimiento:

Páá giná 38
Como punto final se puede mencionar la valoración de la gestión del rendimiento.
Enfatizan que el objetivo de la evaluación radica en gestionar y mejorar el
rendimiento de los empleados. Este hecho enfatiza el que los directivos tienen que
analizar las causas de los problemas relacionados al rendimiento, dirigir la
atención a esas causas, desarrollar planes de acción y facilitar el que los
empleados encuentren soluciones, así como utilizar una comunicación centrada
en el rendimiento.

Para mejorar el rendimiento se recomienda:

*Analizar las causas de los problemas de rendimiento.
*Atender directamente las causas de los problemas.
*Desarrollar un plan de acción para facilitar que los trabajadores alcancen una
solución.
*Comunicación directamente sobre el rendimiento e información eficaz.

3.3.- ENTREVISTA CON EL PERSONAL DE INFORMÁTICA

Puede entrevistarse a un grupo de personas elegidas, sus opiniones deben ser

debidamente fundamentadas.

Las opiniones determinan:

 Grado de cumplimiento de la estructura organizacional administrativa.
 Grado de cumplimiento de las políticas y los procesos administrativos
 Satisfacción e insatisfacción
 Capacitación
 Observaciones generales

Guía de entrevista
1.-Nombre del puesto
Ingeniero en sistemas

Páá giná 39
2.-Puesto del jefe inmediato
Directora
3.-puestos a que reporta
Directora del plantel
4.-Puestos de las personas que reportan al entrevistado
Docentes de la institución.
5.-Numero de personas que reportan al entrevistado
5 personas
6.-Describa brevemente las actividades diarias de su puesto
Atender a los alumnos en diversas actividades en el laboratorio como son :
impresiones, investigación, practicas , tres días de la semana clase a alumnos de
primeros semestre, un día de la semana exclusivo para mantenimiento de equipo
(hardware, software)
7.-Actividas periódicas
__Mantenimiento de equipo
__Limpieza y orden
__Revisión de inventario
8.-Actividades eventuales
Capacitación a docentes y alumnos (Inicio de semestre)
Exámenes en línea
Registro de calificaciones (Docentes)
Consulta de calificaciones (Alumnos)
9.-¿Con que manuales cuenta para el desempeño de su puesto?
__Manual de organización
__Manual de mantenimiento de hardware
__Instructivo de equipos
10.-¿Cuáles políticas se tienen establecidas para el puesto?
Tener el perfil para las actividades a realizar en el laboratorio.
Lic. en informática
Ing. En sistemas
11.-Señale las lagunas que considere que hay en la organización.

Páá giná 40
La insistencia en una gestión de equipo de computo para cubrir las necesidades
de la institución.
12.-En caso de que el entrevistado mencione cargas de trabajo ¿Como las
establece?
Cargas de trabajo se dan en periodos de examen y fin de semestre. (uso
frecuente de laboratorio para investigación y practica).
13.-¿Cómo las controla?
Haciendo horarios para cada grupo en los cuales se establece tiempo de
impresión, investigación y practica, pidiendo apoyo a alumnos de servicio social.
14.-¿Como se deciden las políticas que han que implementarse?
Estas políticas se deciden de acuerdo a la reforma y alas necesidades que se
presenten lo establece dirección general, dirección administrativa y dirección
académica de colegio de bachilleres del estado de Tlaxcala.
15.-¿como recibe las instrucciones de los trabajos recomendados?
En reunión de academia se toman acuerdos y posteriormente el jefe de
materia (área comunicaciones) gira un oficio anexando un cronograma de
actividades y tiempo limite. Estas reuniones se realizan en receso de semestre
con el fin de que la información sea actualizada.
16.-¿Con que frecuencia recibe capacitación y de que tipo?
La capacitación se realiza en receso de semestre tomando como base la
planeación para nuevo ingreso,. esta capacitación mas que nada es para
establecer forma de trabajo, actualizar información por medio de cursos o talleres,
de acuerdo a las asignaturas.
17.-¿Sobre que tema le gustaría recibir capacitación?
Sobre como administrar un laboratorio de informática.
18.-Mencione la capacitación obtenida y dada a su personal durante el último año.
En la actualidad lo que se pretende es apegarse a los lineamientos que
establece la RIEMS (Reforma integral del la educación media superior).
19.-¿Cómo considera el ambiente de trabajo?
Lo considero bueno y satisfactorio.
Aunque existen necesidades en esta área de trabajo pero se puede improvisar.

Páá giná 41
20.-Observaciones.
Al realizar la entrevista la relación fue de confianza y cordialidad esto nos
permitió obtener una información mas real.

3.4.- SITUACIÓN PRESUPUESTAL Y FINANCIERA.

La información financiera presupuestada está basada en diversos eventos e

hipótesis que se espera ocurran en un futuro.
Dicha información puede referirse a una cuenta, proyecto o estados financieros
futuros de una entidad

A su vez éste tipo de información financiera puede estar elaborada bajo

circunstancias que no necesariamente se espera que ocurran, con el propósito de
determinar diversos escenarios financieros (pesimista, esperado y optimista) para
ayudar a la toma de decisiones

La auditoría presupuestaria tiene como objetivo analizar la forma de cálculo de las

cifras, así como verificar que tengan relación con las circunstancias, supuestos o
hipótesis bajo las cuales fueron determinadas.

Lo anterior para otorgar una opinión profesional sobre la certeza de las cifras
presupuestadas en el caso de darse los supuestos bajo los cuales fueron
estimadas o proyectadas.

3.4.1.- PRESUPUESTOS.

Un presupuesto es una herramienta de gestión conformada por un documento en

donde se cuantifican pronósticos o previsiones de diferentes elementos de un
negocio.
Los presupuestos se suelen relacionar exclusivamente con los ingresos o egresos
que realizará una empresa, sin embargo, podemos hacer uso de estas
Páá giná 42
herramientas para cuantificar pronósticos o previsiones de cualquiera de los
elementos de un negocio, por ejemplo, podemos presupuestar los cobros que
realizaremos, los pagos de nuestras de deudas, los productos que fabricaremos,
los materiales que requeriremos para producir dichos productos, etc.
Los presupuestos son herramientas fundamentales para un negocio ya que nos
permiten planificar, coordinar y controlar nuestras operaciones:

 planeación: los presupuestos nos permiten planificar actividades, planificar

objetivos, recursos, estrategias, cursos a seguir; anticipándose a los hechos
y, por tanto, ayudándonos a reducir la incertidumbre y los cambios.
 coordinación: los presupuestos sirven como guía para coordinar
actividades, permitiéndonos armonizar e integrar todas las secciones o
áreas del negocio, tanto entre éstas, como con los objetivos de la empresa.
 control: los presupuestos sirven como instrumento de control y evaluación,
nos permiten comparar los resultados obtenidos con los presupuestados
para que, de ese modo, por ejemplo, saber en qué áreas o actividades
existen desviaciones o variaciones (diferencias entre lo obtenido y lo
presupuestado).

3.4.2.- RECURSOS FINANCIEROS Y MATERIALES

Recursos financieros

Estos resultan fundamentales para el éxito o fracaso de una gestión

administrativa, lo básico en su administración es lograr el equilibrio en su
utilización. Tan negativo es para la empresa en su escasez como su abundancia.
Cualquiera de las dos situaciones resulta antieconómica; de ahí que la
administración de recursos materiales haya cobrado tanta importancia
actualmente.

La administración de recursos materiales consiste en:

Páá giná 43
Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo,
y en la cantidad y calidad requerida, los bienes y servicios para cada unidad
orgánica de la empresa de que se trate, con el propósito de que se ejecuten las
tareas y de elevar la eficiencia en las operaciones.

Recursos Financieros

La administración de recursos financieros supone un control presupuestal y

significa llevar a cabo toda la función de tesorería (ingresos y egresos). Es decir,
todas las salidas o entradas de efectivo deben estar previamente controladas por
el presupuesto.

Para estar en condiciones de evitar fallas y de aplicar correcciones

oportunamente, corresponde al área financiera realizar los registros contables
necesarios. Estos registros contables deben corresponder al presupuesto
efectuándose por unidad organizacional.

La administración financiera consiste en:

Obtener oportunamente y en las mejores condiciones de costo, recursos

financieros para cada unidad orgánica de la empresa que se trate, con el propósito
de que se ejecuten las tareas, se eleve la eficiencia en las operaciones y se
satisfagan los intereses de quienes reciben los bienes o servicios.

4.- EVALUACIÓN DE LA SEGURIDAD.

4.1GENERALIDADES DE LA SEGURIDAD DEL ÁREA FÍSICA

Durante mucho tiempo se considero que los procedimientos de auditoría y

seguridad era responsabilidad de la persona que elabora los sistemas, sin
considerar que es responsabilidad del área de informática en cuanto a la
utilización que se le da a la información y a la forma de accesarla y del

Páá giná 44
departamento de auditoría interna en cuanto a la supervisión y diseño de los
controles necesarios. La seguridad del área de informática tiene como objetivos:

• Proteger la integridad, exactitud y confidencialidad de la información

•Proteger los activos ante desastres provocados por la mano del hombre y de
actos hostiles

•Proteger la organización contra situaciones externas como desastres naturales y

sabotajes

•En caso de desastre, contar con los planes y políticas de contingencias para
lograr una pronta recuperación

•Contar con los seguros necesarios que cubran las pérdidas económicas encaso
de desastre. Los motivos de los delitos por computadora normalmente son por:

•Beneficio personal

•Beneficios para la organización

•Síndrome de Robín Hood (por beneficiar a otra persona)

•Jugando a jugar Auditoria Informática

•Fácil de desfalcar

•El individuo tiene problemas financieros

•La computadora no tiene sentimientos

•El departamento es deshonesto odio a la organización

•Equivocación de ego

•Mentalidad turbada Se consideran que hay cinco factores que han permitido el
incremento de los crímenes por computadora

•El aumento del número de personas que se encuentran estudiando computación

Páá giná 45
•El aumento del número de empleados que tienen acceso a los equipos

•La facilidad en los equipos de cómputo

•El incremento en la concentración del número de aplicaciones y,

consecuentemente, de la información.

En la actualidad las compañías cuentan con grandes dispositivos para seguridad

física de las computadoras, y se tiene la idea que los sistemas no puedan ser
violados si no se entra en el centro de cómputo, olvidando que se pueden usar
terminales y sistemas de teleproceso.

4.2.- SEGURIDAD LÓGICA Y CONFIDENCIAL

.Se encarga de los controles de acceso que están diseñados para salvaguardar la
integridad de la información almacenada de una computadora, así como controlar
el mal uso de su información. Estos controles reducen el riesgo de caer en
situaciones adversas. seguridad lógica se encarga de controlar y salvaguardar la
información generada por los sistemas, por el software de desarrollo y por los
programas en aplicación; identifica individualmente a cada usuario y sus
actividades en el sistema, y restringe el acceso a datos, a los programas de uso
general, de uso especifico, e la redes y terminales. La falta de seguridad lógica o
su violación puede traer las siguientes consecuencias a la organización:

• Cambio de los datos antes o cuando se le da entrada a la computadora

• Copias de programas y/o información

• Código oculto en un programa

• Entrada de virus

El tipo de seguridad puede comenzar desde una simple llave de acceso

(contraseñas) hasta los sistemas más complicados, pero se debe evaluar que
cuanto más complicados sean los dispositivos de seguridad más costosos
resultan. Los sistemas de seguridad normalmente no se consideran la posibilidad

Páá giná 46
defraude cometida por los empleados en el desarrollo de sus funciones. Un
método eficaz para proteger los sistemas de computación el software de control de
acceso. Estos paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a
información confidencial. El sistema integral de seguridad debe comprender:

•Elementos administrativos

•Definición de una política de seguridad Auditoria

•Organización y división de responsabilidades

4.3.- SEGURIDAD PERSONAL

Uno de los punto más importantes a considerar para poder definir la seguridad de
un sistema es el grado de actuación que puede tener un usuario dentro de un
sistema, ya que la información se encuentra en un archivo normal o en una base
de datos, o bien que se posea una minicomputadora, o un sistema de red. Para
esto podemos definir los siguientes tipos de usuarios:

•Propietario.- Es el dueño de la información y responsable de ésta, y puede

realizar cualquier función:

•Administrador.- Solo puede actualizar o modificar el software con la debida

autorización

•Usuario principal.- Esta autorizado por el propietario para hacer modificaciones,

cambios, lecturas y utilización de los datos, pero no da autorización para que otros
usuarios entren

•Usuario de consulta.- Solo puede leer la información

•Usuario de explotación.- Puede leer la información y usarla para explotación de la

misma

Páá giná 47
•Usuario de auditoría.- Puede usar la información y rastrearla dentro del sistema
para fines de auditoría Se recomienda que solo exista un usuario propietario y que
el administrador sea una persona designada por la gerencia de informática.

4.4.- CLASIFICACIÓN DE LOS CONTROLES DE SEGURIDAD

El gran crecimiento de las redes, interconexiones y telecomunicaciones en

general, incluido el uso de Internet de forma casi corriente, ha demostrado que la
seguridad física no lo es todo. Es un punto que debe complementarse
necesariamente con la implementación de controles para la seguridad lógica delos
sistemas y computadoras. Es esa tendencia de interconexión de redes con otras
redes, o de una simple PC a Internet la que nos da la pauta de que aún si usamos
tarjetas electrónicas para acceder a nuestra oficina, hay otras puertas traseras
mucho menos evidentes que debemos controlar porque nuestros sistemas están
virtualmente a la espera de que alguien intente utilizarlos. Los controles:

•Identificación y autenticación de usuarios.- Identificación es el proceso de

distinguir una persona de otra; y autenticación es validar por algún medio que esa
persona es quien dice ser.

•Los controles biométricos:

○Huellas dactilares

○Patrones de la retina

○Geometría de la mano

○Dinámica de la firma

○Patrones de la voz

•Programas de control de acceso.- Programas diseñados para administrar los

permisos de acceso a los recursos del sistema de información.

•Controles para el software.- Sirven para asegurar la seguridad y confiabilidad del

software.
Páá giná 48
•Controles para el hardware.- Controles que aseguran la seguridad física y el
correcto funcionamiento del hardware de cómputo.

4.5.- SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIÓN

Ruta de acceso

El acceso a la computadora no significa tener una entrada sin restricciones. Limitar

el acceso sólo a los niveles apropiados puede proporcionar una mayor seguridad.

Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema. Como
se ha señalado, un usuario puede pasar por uno o múltiples niveles de seguridad
antes de obtener el acceso a los programas y datos. Los tipos derestricciones de
acceso son:

• Sólo de lectura

• Sólo de escritura

•Lectura y consulta

Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar El esquema de

las rutas de acceso sirve para identificar todos los puntos de control que pueden
ser usados para proteger los datos en el sistema.

Software de control de acceso

Este puede ser definido como el software diseñado para emitir el manejo de
control y acceso a los siguientes recursos.

•Programas de librerías

Páá giná 49
•Archivos de datos

•Jobs

•Programas de aplicación

•Módulos de funciones

•Utilerías

•Diccionario de datos

•Archivos

•Programas

•Comunicación

Controla el acceso a la información, grabando e investigando los eventos

realizados y el acceso a los recursos, por medio de identificación del usuario. El
software de control de acceso tiene las siguientes funciones:

•Definición de usuarios

•Definición de las funciones del usuario después de accesar el sistema

El software de seguridad protege los recursos mediante la identificación de los

usuarios autorizados con llaves de acceso, que son archivadas y guardadas por
este software. Algunos paquetes de seguridad pueden ser usados para restringir el
acceso a programas, librerías y archivo de datos; otros pueden limitar el uso de
terminales o restringir el acceso a base de datos. La mayor ventaja del software de
seguridad es la capacidad de proteger los recursos de acceso no autorizados,
incluyendo los siguientes:

•Proceso en espera de modificación por un programa de aplicación

•Acceso por los editores en línea

•Acceso por utilerías de software

Páá giná 50
•Acceso a archivos de las base de datos

•Acceso a terminales o estaciones no autorizadas

Existen otros tipos de software de control de acceso como son los siguientes:

•Sistemas operativos

•Manejadores de base de datos

•Software de consolas o terminales maestras

•Software de librerías software de utilerías

•Telecomunicaciones

4.6.- CONTROLES PARA EVALUAR SOFTWARE DE APLICACIÓN

Controles del software de seguridad general

Aplican para todos los tipos de software y recursos relacionados y sirven para:

•El control de acceso a programas y a la instalación

•Vigilar los cambios realizados

•Controles de acceso a programas y datos

•Cambios realizados

○Diseño y código de modificaciones

○Coordinación de otros cambios

○Asignación de responsabilidades

○Revisión de estándares y aprobación

○Requerimientos mínimos de prueba

○Procedimientos del respaldo en el evento de interrupción

Páá giná 51
Controles de software especifico

Se presentan algunos de los controles usados por los diferentes tipos de software
específico:

•El acceso al sistema debe de ser restringido para individuos no autorizados

•Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los
usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas
no autorizadas logren el acceso.

Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo

especifico de acceso de datos.

•Para asegurar las rutas de acceso deberá restringirse el acceso a secciones o

tablas de seguridad, mismas que deberán ser encriptados. Deberán restringirse
las modificaciones o cambios al software de control de acceso, y éstos deberán
ser realizados de acuerdo y a procedimientos no autorizados:

Software de sistemas operativos.

Controles que incluye:

○Los password e identificadores deberán ser confidenciales

○El acceso al software de sistema operativo deberá ser restringido

○Los administradores de seguridad deberán ser los únicos con autoridad para
modificar funciones del sistema

•Software manejador de base de datos.

Controles que incluye:

○El acceso a los archivos de datos deberá ser restringido en una vista de datos
lógica

○Deberá controlar el acceso al diccionario de datos

Páá giná 52
○La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software DBMS

•Software de consolas o terminales maestras.

Controles que incluye:

○Los cambios realizados al software de consolas o terminales maestras deberán

ser protegidas y controlados

•Software de librerías.

Controles que incluye:

○Tiene la facilidad de compara dos versiones de programas en código fuente y

reportar las diferencias

○Deben limitarse el acceso a programas o datos almacenados por el software de

librerías

○Las versiones correctas de los programas de producción deben corresponder a

los programas objetos

•Software de utilerías.

Controles que incluye:

○Deberán restringirse el acceso a archivos de utilerías

Software de sistemas operativos.

Controles que incluye:
○Los password e identificadores deberán ser confidenciales
○El acceso al software de sistema operativo deberá ser restringido
○Los administradores de seguridad deberán ser los únicos con autoridad para
modificar funciones del sistema
•Software manejador de base de datos.
Controles que incluye:

Páá giná 53
 ○El acceso a los archivos de datos deberá ser restringido en una vista de datos
lógica
○ Deberá controlar el acceso al diccionario de datos
○La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software DBMS
• Software de consolas o terminales maestras.
Controles que incluye:
○Los cambios realizados al software de consolas o terminales maestras
deberán ser protegidas y controlados
• Software de librerías.
Controles que incluye:
○ Tiene la facilidad de compara dos versiones de programas en código fuente y
reportar las diferencias
○ Deben limitarse el acceso a programas o datos almacenados por el software
de librerías
○ Las versiones correctas de los programas de producción deben corresponder
a los programas objetos
• Software de utilerías.
Controles que incluye:
○ Deberán restringirse el acceso a archivos de utilerías
Asegurar que únicamente personal autorizado tenga acceso a corre
aplicaciones
•Software de telecomunicaciones.
Controles que incluye:
○ Controles de acceso a datos sensibles y recursos de la red
○ El acceso diario al sistema debe ser monitoreado y protegido

4.7.-CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES INFORMÁTICOS

Como hablamos de realizar la evaluación de la seguridad es importante también

conocer cómo desarrollar y ejecutar el implantar un sistema de seguridad.
Páá giná 54
Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y
controlar las actividades relacionadas a mantener y garantizar la integridad física
de los recursos implicados en la función informática, así como el resguardo de los
activos de la empresa."Por lo cual podemos ver las consideraciones de un sistema
de integral de seguridad.
Sistema Integral de Seguridad
• Definir elementos administrativos
• Definir políticas de seguridad
• A nivel departamental
• A nivel institucional
• Organizar y dividir las responsabilidades
•Contemplar la seguridad física contra catástrofes (incendios, terremotos,
inundaciones, etc.)
•Definir prácticas de seguridad para el personal:
•Plan de emergencia (plan de evacuación, uso de recursos de emergencia como
extinguidores.
•Números telefónicos de emergencia
•Definir el tipo de pólizas de seguros
Definir elementos técnicos de procedimientos
•Definir las necesidades de sistemas de seguridad para:
•Hardware y software
•Flujo de energía
•Cableados locales y externos
•Aplicación de los sistemas de seguridad incluyendo datos y archivos
• Planificación de los papeles de los auditores internos y externos
•Planificación de programas de desastre y sus pruebas(simulación)
•Planificación de equipos de contingencia con carácter periódico
•Control de desechos de los nodos importantes del sistema:
•Política de destrucción de basura copias, fotocopias, etc.
Etapas para Implementar un Sistema de Seguridad

Páá giná 55
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe
considerar los siguientes puntos:

•Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.

• Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la
información en la organización a nivel software, hardware, recursos humanos, y
ambientales.

•Elaborar un plan para un programa de seguridad. El plan debe elaborarse

contemplando:

Plan de Seguridad Ideal (o Normativo)

Un plan de seguridad para un sistema de seguridad integral debe contemplar:
•El plan de seguridad debe asegurar la integridad y exactitud de los datos
•Debe permitir identificar la información que es confidencial
•Debe contemplar áreas de uso exclusivo .
Debe proteger y conservar los activos de desastres provocados por la mano del
hombre y los actos abiertamente hostiles
•Debe asegurar la capacidad de la organización para sobrevivir accidentes
•Debe proteger a los empleados contra tentaciones o sospechas innecesarias
•Debe contemplar la administración contra acusaciones por imprudencia

4.8.- PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTO DE

RECUPERACIÓN DE DESASTRES

PLAN DE CONTINGENCIAS
El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la
organización de requerimientos para su recuperación ante desastres. La
metodología tiene como finalidad conducir de la manera más efectiva un plan de
recuperación ante una contingencia sufrida por la organización. El plan de
contingencia es definido como: la identificación y protección de los procesos
Páá giná 56
críticos de la organización y los recursos requeridos para mantener un aceptable
nivel de transacciones y de ejecución, protegiendo estos recursos y preparando
procedimientos para asegurar la sobrevivencia de la organización encaso de
desastre.

Entre los objetivos del plan de contingencia se encuentran:

•Minimizar el impacto del desastre en la organización.

•Establecer tareas para evaluar los procesos indispensables de la organización.
•Evaluar los procesos de la organización, con el apoyo y autorización respectivos
a través de una buena metodología.

Determinar el costo del plan de recuperación, incluyendo la capacitación y la

organización para restablecer los procesos críticos de la organización cuando
ocurra una interrupción de las operaciones.

Seguridad contara desastres provocada por agua

Los centros de cómputo no deben colocarse en sótanos o en áreas de planta baja,
sino de preferencia en las partes altas de una estructura de varios pisos aunque
hay que cuidar que en zonas sísmicas no queden en lugares donde o peso
ocasionado por equipos o papel pueda provocar problemas. Se debe evaluar la
mejor opción, dependiendo de la seguridad de acceso al centro de cómputo,
cuando en la zona existen problemas de inundaciones o son sísmicas. En caso de
ser zona de inundaciones o con problemas de drenaje la mejor opción es colocar
el centro de cómputo en áreas donde el riesgo de inundación no sea evidente.
Algunas causas de esto pueden ser la ruptura de cañerías o el bloqueo del
drenaje, por lo tanto, la ubicación de las cañerías en un centro de cómputo es una
decisión importante, así como considerar el nivel del manto freático. Debe
considerarse el riesgo que representa el drenaje cuando el centro de cómputo se
localiza en un sótano. Deben instalarse, si es el caso, detectores de agua o
inundación, así como bombas de emergencia para resolver inundaciones
Páá giná 57
inesperadas. Otro de los cuidados que se deben tener para evitar daños por agua
es poseer aspersores contra incendio especiales que no sean de agua.

Seguridad de autorización de acceso

Es importante asegurarse que los controles de acceso sean estrictos durante todo
el día, y que éstos incluyan a todo el personal de la organización, en especial
durante los descansos y cambios de turno. El personal de informática, así como
cualquier otro ajeno a la instalación, se debe identificar antes de entrar a ésta. El
riesgo que proviene de alguien de la organización es tan grande como el de
cualquier otro visitante. Solamente el personal autorizado por medio de una llave
de acceso o por la gerencia debe ingresar a dichas instalaciones.
En los centros de cómputo se pueden utilizar los siguientes recursos:
•Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe ser
difícil de duplicar.
• Puerta de combinación. En este sistema se usa una combinación de números
para permitir el acceso.
•Puerta electrónica. El sistema más común es el que usa una tarjeta de plástico
magnética como llave de entrada.
• Puertas sensoriales. Son activadas por los propios individuos con alguna parte
de su cuerpo, como puede ser la huella dactilar, voz, retina, geometría de la mano
o bien por la firma.
•Registros de entrada. Todos los visitantes deben firmar el registro de visitantes
indicando su nombre, su compañía, la razón para la visita, la persona a la que
visita.
•Videocámaras. Éstas deben ser colocadas en puntos estratégicos para que se
pueda monitorear el centro
•Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser
acompañados por un empleado responsable.
•Puertas dobles. Este equipo es recomendable para lugares de alta seguridad: se
trata de dos puertas, donde la segunda sólo se pueda abrir cuando la primera está
cerrada.
Páá giná 58
• Alarmas. Todas las áreas deben estar protegidas contra robo o accesos físicos
no autorizados. Las alarmas contra robo deben ser usadas hasta donde sea
posible en forma discreta, de manera que no se atraiga la atención hacia este
dispositivo de alta seguridad
Seguros
Los seguros de los equipos en algunas ocasiones se dejan en segundo término,
aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que
entraña la computación, ya que en ocasiones el riesgo no es claro para las
compañías de seguros, debido a lo nuevo de la herramienta, a la poca experiencia
existente sobre desastres y al rápido avance de la tecnología. Como ejemplo de lo
anterior tenemos las pólizas de seguros contra desastres, ya que algunos
conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual
hace que se duplique el seguro, o bien que sobrevengan desastres que no son
normales en cualquier otro tipo de ambiente. El seguro debe cubrir todo el equipo
y su instalación, por lo que es probable que una sola póliza no pueda cubrir todo el
equipo con las diferentes características (existe equipo que puede ser
transportado, como computadoras personales, y otras que no se pueden mover,
como unidades de disco duro), por lo que tal vez convenga tener dos o más
pólizas por separado, cada una con las especificaciones necesarias. Como
ejemplo y en forma genérica, por lo común un seguro de equipo de cómputo
considera lo siguiente:

•Bienes que se pueden amparar.

•Riesgos cubiertos.
•Riesgos excluidos
•Exclusiones
•Suma asegurada.
•Primas, cuotas y deducibles.
•Indemnización en caso de siniestro

Páá giná 59
4.9.-TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD
FÍSICA Y DEL PERSONAL

Protección a los procedimientos de procesamiento y los equipos contra las

intervenciones exteriores:

•Sólo se debe permitir al personal autorizado que maneje los equipos de

procesamiento.
•Sólo se permitirá la entrada al personal autorizado y competente
•Seleccionar al personal mediante la aplicación de exámenes integrales: médico,
psicológico, aptitudes, etc.
•Contratar personal que viva en zonas cercanas a la empresa.
•Acondicionar los locales, de acuerdo con las normas de seguridad.
•Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la
manera de evitarlos.
•Practicar con periodicidad exámenes médicos al personal
•Sostener pláticas informales, directas e individuales con el personal.
•Instalar carteles y propaganda mural referentes a la seguridad.
•Elaborar estadísticas sobre riesgos ocurridos y derivar de ellas las medidas
concretas adoptables para evitar su repetición.
•Enterar al personal sobre dichas estadísticas y las medidas adoptadas.
•Proponer otras actividades que se consideren necesarias.

4.10.-TECNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD

DE LOS DATOS Y SOFTWARE DE APLICACION

 Protección de los registros y de los archivos.

 Formas en que se puede perder los archivos:

Páá giná 60
  Su presencia en ambiente distribuido.
 Manejo indebido por parte del operador.
 Mal funcionamiento por parte de la maquina.
 Plan de preservación:
 documentos fuente: los documentos fuentes en los que se basa un archivo
de entrada deben ser retenidos intactos hasta el momento de que el archivo
sea comprobado.
 Archivos de disco: una característica sea del archivo de disco es que el
registro anterior es destruido, no produce una copia automáticamente una
copia en duplicado.
 Vacio a otros medios: esto puede ser vaciado a otros discos, o a papel de
impresión.

 Objetivo de la auditoria de software de aplicación:

 Verificar la presencia de procedimientos y controles Para satisfacer :
 La instalación del software.
 La operación y seguridad del software.
 La administración del software.
 Detectar el grado de confiabilidad:
 Grado de confianza, satisfacción y desempeño.
 Investigar si existen políticas con relación al software.
 Detectar si existen controles de seguridad.

Actualización del software de aplicación

 Tipos de controles:
 Control de distribución.
 Validación de datos.
 Totales de control.
 Control de secuencia.

Páá giná 61
  Pruebas de consistencia y verosimilitud.
 Digito d control.
 Control de distribución.

UNIDAD 5 AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMÁTICA.

5.1 GENERALIDADES DE LA SEGURIDAD EN EL ÁREA DE LA

TELEINFORMÁTICA

Introducción

Una de las principales características de la sociedad actual es la gran importancia

que ha adquirido la posesión y el uso de la informática. Se ha acuñado el termino
de sociedad de la información para describir este fenómeno. El almacenismo, el
manejo y la difusión de grandes cantidades de información es algo habitual en
nuestros días, favorecido por el desarrollo de las denominadas nuevas tecnologías
de la información.

La informática ha facilitado este hecho, pero sucede, cada vez más, que la
información que se obtiene o produce en un lugar, se precisa en otro lugar distinto,
a veces muy lejano.

Es normal que los datos implicados en un determinado proceso haya que

obtenerlos de distintos orígenes, físicamente dispersos. La sociedad actual exige,
además, disponer de estos datos con rapidez y fiabilidad.

Ante este problema de distancia entre el lugar de producción de datos y el lugar de

tratamiento, la obtención de información distante o la compartición de datos y el
lugar de tratamiento.

La obtención de información distante o la compartición de datos por sujetos

ubicados en distintos lugares, ha surgido una nueva técnica que utiliza u aúna la
Informática y las Telecomunicaciones, a la cual se denomina Teleinformática

Páá giná 62
En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se
denomina teleinformática: la unión de la informática y las telecomunicaciones.
Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso
de expresiones y conceptos relacionados con la teleinformática.

Mediante esta técnica se pueden interconectar a distancia computadoras,

terminales y otros equipos, usando para ello algún medio adecuado de
comunicación, como por ejemplo líneas telefónicas, cables coaxiales, microondas,
etcétera.

Los requerimientos en la seguridad de la información de la organización han

sufrido dos cambios importantes en las últimas décadas.

Previo a la difusión en el uso de equipo de información la seguridad de la misma

era considerada como valiosa para la organización en las áreas administrativas,
por ejemplo el uso de gabinetes con candado para el almacenamiento de
documentos importantes.

Con la introducción de las computadoras la necesidad de herramientas

automatizadas para la protección de archivos y otra información almacenada fue
evidente, especialmente en el caso de sistemas compartidos por ejemplo sistemas
que pueden ser accesados vía telefónica o redes de información.

El nombre genérico de las herramientas para proteger la información así como la

invasión de hackers es la seguridad computacional.

El segundo cambio que afectó la seguridad fue la introducción de sistemas

distribuidos así como el uso de redes e instalaciones de comunicación para enviar
información entre un servidor y una computadora o entre dos computadoras.

Las medidas de seguridad de redes son necesarias para proteger la información

durante su transmisión así como para garantizar que dicha información sea
auténtica.

Páá giná 63
La tecnología utilizada para la seguridad de las computadoras y de las redes
automatizadas es la inscripción y fundamentalmente se utilizan la encripción
convencional o también conocida como encripción simétrica, que es usada para la
privacidad mediante la autentificación y la encripción public key.

También conocida como asimétrica utilizada para evitar la falsificación de

información y transacciones por medio de algoritmos basados en funciones
matemáticas, que a diferencia de la encripción simétrica utiliza dos claves para la
protección de áreas como la confidencialidad, distribución de claves e
identificación.

Propiedades de la información que protegen la seguridad informática

La Seguridad Informática debe vigilar principalmente por las siguientes

propiedades:

Privacidad − La información debe ser vista y manipulada únicamente por quienes

tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a la Privacidad
es la Divulgación de Información Confidencial.

Integridad − La información debe ser consistente, fiable y no propensa a

alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificación
no autorizada de saldos en un sistema bancario o de calificaciones en un sistema
escolar.

Disponibilidad − La información debe estar en el momento que el usuario requiera

de ella. Un ataque a la disponibilidad es la negación de servicio (En Inglés Denial
of Service o DoS) o tirar el servidor

5.2 OBJETIVOS Y CRITERIOS DE LA AUDITORIA EN EL ÁREA DE LA

TELEINFORMÁTICA

Cada vez más las comunicaciones están tomando un papel determinante en el

tratamiento de

Páá giná 64
datos, cumpliéndose el lema “el computador es la red”. Mientras que comúnmente
el directivo informático tiene amplios conocimientos de comunicaciones están a la
misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de
comunicaciones en el esquema organizativo existe.

Por su parte, los informáticos a cargo de las comunicaciones suelen auto

considerarse exclusivamente técnicos, obviando considerar las aplicaciones
organizativas de su tarea. Todos estos factores convergen en que la auditoría de
comunicaciones no siempre se practique con la frecuencia y profundidad
equivalentes a las de otras áreas del proceso de datos.

Por tanto, el primer punto de una auditoría es determinar que la función de gestión
de redes y comunicaciones esté claramente definida, debiendo ser responsable,
en general, de las siguientes áreas

 Gestión de la red, inventario de equipamiento y normativa de conectividad.

 Monitorización de las comunicaciones, registro y resolución de problemas.

 Revisión de costos y su asignación de proveedores y servicios de

transporte, balanceo de tráfico entre rutas y selección de equipamiento.

Como objetivos del control, se debe marcar la existencia de:

Una gerencia de comunicaciones con autoridad para establecer procedimientos y

normativa.

Procedimientos y registros de inventarios y cambios.

Funciones de vigilancia del uso de la red de comunicaciones, ajustes de

rendimiento, registro de incidencias y resolución de problemas.

Procedimientos para el seguimiento del costo de las comunicaciones y su

reparto a las personas o unidades apropiadas.

Auditando la red física

Páá giná 65
En una primera división, se establecen distintos riesgos para los datos que
circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de
auditarse hasta qué punto las instalaciones físicas del edificio ofrecen garantías y
han o estudiadas las vulnerabilidades existentes.

En general, muchas veces se parte del supuesto de que si no existe acceso físico
desde el exterior ala red interna de una empresa las comunicaciones internas
quedan a salvo.

 El equipo de comunicaciones se mantiene en habitaciones cerradas con

acceso limitado apersonas autorizadas.

 La seguridad física de los equipos de comunicaciones, tales como

controladores de comunicaciones, dentro de las salas de computadores sea
adecuada.

 Sólo personas con responsabilidad y conocimientos están incluidas en la

lista de personas permanentemente autorizadas para entrar en las salas
de equipos de comunicaciones.

 Se toman medidas para separar las actividades de electricistas y personal

de tendido y mantenimiento de tendido de líneas telefónicas, así como sus
autorizaciones de acceso, de aquéllas del personal bajo control de
la gerencia de comunicaciones.

 Facilidades de traza y registro del tráfico de datos que posean los equipos
de monitorización.

 Procedimientos de aprobación y registro ante las conexiones a líneas de

comunicaciones en la detección y corrección de problemas.

 En el plan general de recuperación de desastres para servicios de

información presta adecuada atención a la recuperación y vuelta al servicio
de los sistemas de comunicación de datos.

Páá giná 66
  Existen planes de contingencia para desastres que sólo afecten a las
comunicaciones, como el fallo de una sala completa de comunicaciones.

 Las alternativas de respaldo de comunicaciones, bien sea con las mismas

salas o con salas de respaldo, consideran la seguridad física de
estos lugares.

 Las líneas telefónicas usadas para datos, cuyos números no deben ser
públicos, tienen dispositivos/procedimientos de seguridad tales como retro-
llamada, códigos de conexión o interruptores para impedir accesos no
autorizados al sistema informático.

 Auditando la red lógica

Cada vez más se tiende a que un equipo pueda comunicarse con cualquier otro
equipo, de manera que sea la red de comunicaciones el substrato común que les
une. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar
indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y
por tanto, al resto de los equipos de la instalación.

Es necesario monitorizar la red, revisar los errores o situaciones anómalas que se

producen y tener establecidos los procedimientos para detectar y aislar equipos en
situación anómala. En general, si se quiere que la información que viaja por la red
no pueda ser espiada, la única solución totalmente efectiva es la encriptación.

Como objetivos de control, se debe marcar la existencia de:

Contraseñas y otros procedimientos para limitar y detectar cualquier intento de

acceso no autorizado a la red de comunicaciones.

Facilidades de control de errores para detectar errores de transmisión y establecer

las retransmisiones apropiadas

Controles para asegurar que las transmisiones van solamente a usuarios

autorizados y que los mensajes no tienen por qué seguir siempre la misma ruta.

Páá giná 67
5.3 SÌNTOMAS DE RIESGO
Introducción

Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que
se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones
confrontan.

Las fusiones, la competencia global y los avances tecnológicos, las

desregulaciones, y las nuevas regulaciones, el incremento en la demanda de los
consumidores y de los habitantes, la responsabilidad social y ambiental de las
organizaciones.

PREVISIÓN DE RIESGOS

Tener en cuenta lo siguiente:

· La evaluación de los riesgos inherentes a los diferentes subprocesos de la
Auditoría.

· La evaluación de las amenazas o causas de los riesgos.

· Los controles utilizados para minimizar las amenazas o riesgos.

La evaluación de los elementos del análisis de riesgos.

EJECUCIÓN DE AUDITORÍAS

TIPOS DE RIESGO:

Riesgo de Control: Es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control
Interno.

Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el Sistema de Control Interno.

Riesgo Inherente: Son aquellos que se presentan inherentes a las características

del Sistema de Control Interno.

Páá giná 68
EXISTENCIA DE ERRORES O IRREGULARIDADES.

a) Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la

empresa.

b) Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotación.

c) El desorden del departamento de contabilidad de una entidad implica informes

con retraso, registros de operaciones inadecuados, archivos incompletos, cuentas
no conciliadas, etc.

VERIFICAR FUNCIONES

Aspectos:

· existencia de un método para cerciorarse que los datos recibidos para su

valoración sean completos, exactos y autorizados

· emplear procedimientos normalizados para todas las operaciones y examinarlos

para asegurarse que tales procedimientos son acatados;

· existencia de un método para asegurar una pronta detección de errores y mal

funcionamiento del Sistema de Cómputo;

· deben existir procedimientos normalizados para impedir o advertir errores

accidentales, provocados por fallas de operadores o mal funcionamiento de
máquinas y programas .

SISTEMAS DE CONTROL DE RIESGOS

o Sistemas Comunes de Gestión

o Servicios de Auditoría Interna

Páá giná 69
Sistemas Comunes de Gestión

Desarrollan las normas internas y su método para la evaluación y el control

de los riesgos y representan una cultura común en la gestión de los negocios,
compartiendo el conocimiento acumulado y fijando criterios y pautas de actuación.

OBJETIVOS

1. Identificar posibles riesgos

2. Optimizar la gestión diaria
3. Fomentar la sinergia y creación de valor de los distintos grupos de negocio
trabajando en un entorno colaborador.
4. Reforzar la identidad corporativa
5. Alcanzar el crecimiento a través del desarrollo estratégico que busque la
innovación y nuevas opciones a medio y largo plazo.
NIVELES
a) todas las Unidades de Negocio y áreas de actividad.
b) todos los niveles de responsabilidad
c) todos los tipos de operaciones.

GESTIÓN DE RIESGOS

Servicios de Auditoría.

Auditores internos con las demás áreas de la organización en los procesos de

mejora continua relacionados con:

· la identificación de los riesgos relevantes a partir de la definición de los dominios

o puntos clave de la organización.

· La estimación de la frecuencia con que se presentan los riesgos identificados.

· La determinación de los objetivos específicos de control más convenientes.

¿Qué evalúan los auditores internos?

Páá giná 70
 La cantidad y calidad de las exposiciones al riesgo referidas a la
administración, custodia y protección de los recursos disponibles, operaciones y
sistemas de información de la organización, teniendo en cuenta la necesidad de
garantizar a un nivel razonable.

OBJETIVOS

· Confiabilidad e integridad de la información financiera y operacional.

· Eficacia y eficiencia de las operaciones.
· Control de los recursos de todo tipo a disposición de la entidad.
· Cumplimiento de las leyes, reglamentos, políticas y contratos.

GESTIÓN DE RIESGOS

Servicios de Consultoría.

Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de
los trabajos de Consultoría en los procesos de identificación, análisis y evaluación
de las exposiciones de riesgo significativa en la organización.

Los riesgos pueden provenir de:

Deficiencias en actividades generales del sistema de información automatizado

· Desarrollo y mantenimiento de programa

· Soporte tecnológico de los software de sistemas
· Operaciones
· Seguridad física
· Control sobre el acceso a programas.

La naturaleza de los riesgos y las características del Control Interno

 Falta de rastro de las transacciones.

 Falta de segregación de funciones.

Páá giná 71
5.4.- TÉCNICAS Y HERRAMIENTAS AUDITORIA
RELACIONADAS CON SEGURIDAD TELEINFORMÁTICA

Teleinformática
“La ciencia que estudia el conjunto de técnicas que es necesario usar para
poder transmitir datos dentro de un sistema informático o entre puntos de él
situados en lugares remotos o usando redes de telecomunicaciones”

Objetivos
• Reducir tiempo y esfuerzo.
• Capturar datos en su propia fuente.
• Centralizar el control.
• Aumentar la velocidad de entrega de la información.
• Reducir costos de operación y de captura de datos.
• Aumentar la capacidad de las organizaciones, a un costo incremental
razonable.
• Aumentar la calidad y la cantidad de la información.
• Mejorar el sistema administrativo

Las técnicas de comunicación se estructuran en:

 Niveles: físico
 Enlace de datos
 Red
 Transporte
 Sesión
 Presentación
 Aplicación.
 Redes de área local
 Red Internet y su protocolo TCP/IP
Programas de Comunicación y Gestión de Red.
Utilizando Técnicas teleinformáticas:

• Cuando se desea reducir un elevado volumen de correo, de llamadas

telefónicas o de servicios de mensajería.
• En los casos en que se efectúen muy a menudo operaciones repetitivas
• Cuando sea necesario aumentar la velocidad de envío de la información
• En la ejecución de operaciones descentralizadas.

Páá giná 72
 • Para mejorar el control, descentralizando la captura de datos y
centralizando su procesamiento.
• En los casos en que es necesario disminuir riesgos en el procesamiento
de la información
• Cuando sea menester mejorar la actividad de planificación en la
organización.

SINTOMAS DE RIESGO TELEINFORMATICA

 Los controles directivos

 El desarrollo de las políticas.
• Amenazas físicas externas.
• Control de accesos adecuado
• Protección de datos
• Comunicaciones y redes
• El entorno de producción.
• El desarrollo de aplicaciones en un entorno seguro
• La continuidad de las operaciones

EVALUACIÓN DE RIESGOS

Se trata de identificar riesgos, cuantificar su probabilidad e impacto y

analizar medidas que los eliminen o que disminuyan la probabilidad de que
ocurran los hechos o mitiguen el impacto.

UNIDAD.- 6 INFORME DE LA AUDITORIA INFORMÁTICA.

6.1 GENERALIDADES DE LA SEGURIDAD DEL ÁREA FÍSICA.

Cuando se habla de seguridad informática existe una clara tendencia a hacer el

siguiente razónamiento de forma más o menos inconsciente:
1. Queremos proteger bienes de carácter informático (por ejemplo, datos
confidenciales)

Páá giná 73
2. Las amenazas que dichos bienes pueden sufrir proceden del medio informático
(por ejemplo, copia no autorizada de esos datos)
3. Por tanto, los mecanismos de protección también deben ser informáticos (por
ejemplo, restricciones de acceso a dichos datos).
Así, asociamos el concepto de seguridad exclusivamente a mecanismos
relativamente sofisticados de control informático, como pueden ser entrada
restringida al sistema, denegación de privilegios de lectura y modificación de
ficheros, cifrado de las comunicaciones, o protección de las redes mediante
cortafuegos.

Las medidas de seguridad física servirán para proteger nuestros equipos e

información frente a usos inadecuados, fallos de instalación eléctrica, accidentes,
robos, atentados, desastres naturales, y cualesquiera otros agentes que atenten
directamente contra su integridad física.

Las amenazas a la seguridad física

Son muchos los agentes que pueden acabar con la buena salud de nuestro
hardware (una sobrecarga de tensión, un pequeño accidente) o incluso hacerlo
desaparecer (un robo, un incendio).

Agentes naturales, acciones del entorno y desastres

Los ordenadores son extraordinariamente vulnerables a agentes naturales que

ordinariamente se consideran de importancia menor o nula para la seguridad de
un inmueble típico, como pueden ser el humo, el polvo, la sequedad, la
humedad, las temperaturas extremas, las tormentas eléctricas, las
vibraciones o incluso los insectos, pues deterioran progresiva pero eficazmente
algunos componentes del hardware, como conectores, soldaduras, cabezas
lectoras, circuitos impresos e integrados o tubos catódicos.

Páá giná 74
Además existe otra serie de agentes que pueden tener origen humano y que
también tienen la capacidad deteriorar seriamente o destruir la funcionalidad de
nuestros equipos, como las sobrecargas de tensión, los campos
electromagnéticos fuertes o los movimientos bruscos.
Por último, los desastres como el fuego, las inundaciones, las explosiones o los
terremotos tienen para los ordenadores las mismas consecuencias devastadoras
que para la generalidad de los equipos eléctricos y electrónicos. En el caso del
agua, a los daños que pueden sufrir los equipos hay que añadir el riesgo de
electrocución para el personal que los manipula.

El plan de seguridad física

Hay dos cuestiones esenciales que se han de tener en cuenta al concebir la
seguridad física de una instalación.
La primera es que debe pensarse para cada lugar concreto, adecuándose a sus
características físicas y a los agentes circundantes que pueden suponer una
amenaza para los sistemas.
La segunda es que existe una cantidad muy grande de variables a considerar, por
el gran número de posibles amenazas. La especificidad y multiplicidad de la
seguridad física determinan una mayor dificultad en la resolución de los problemas
que en su ámbito se plantean.

Páá giná 75
Por ello es absolutamente necesario que el primer paso a dar para asegurar
físicamente nuestras instalaciones sea formular un plan escrito de las
necesidades de seguridad física y de las medidas destinadas a cubrirlas en el
futuro.
Este plan debe incluir los siguientes elementos:
• Descripción de los dispositivos físicos a proteger, incluyendo
ordenadores,
periféricos, cables, conexiones, soportes de datos, etc.
• Descripción del área física en el que están localizados esos dispositivos.
• Descripción del perímetro de seguridad y de sus posibles agujeros.
• Descripción de las amenazas contra las que nos queremos proteger, incluyendo
una
estimación de su probabilidad.
• Descripción de nuestras defensas.
• Enumeración de los medios para mejorarlas.
• Estimación del coste de las mejoras.

6.2 CARACTERÍSTICAS DEL INFORME

El Informe se inicia con la fecha de comienzo de la auditoría y la fecha de

redacción del mismo. Se incluyen asimismo los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicación de la Jefatura,
responsabilidad o puesto de trabajo que ostente.

Tras estos prolegómenos, se expondrán, a saber:

1. Definición de objetivos y alcance de la auditoría( ya estudiados).

2. Enumeración de temas considerados. Antes de tratarlos en profundidad , se

enumerarán lo más exhaustivamente posible todos los temas objeto de la
auditoría.

Páá giná 76
3. Cuerpo expositivo

Para cada tema objeto de auditoría, se seguirá el siguiente orden, a saber:

a) Situación actual. Cuando se trate de una Revisión periódica, en la que se

analiza no solamente una situación sino además su evolución en el tiempo, se
expondrá la situación prevista y la situación real.

b) Tendencias. Se tratarán de hallar parámetros de correlación que permitan

establecer tendencias de situación futura. No siempre es posible tal pretensión.

c) Puntos débiles y amenazas. Deberán explicarse por sí mismos, sin referencias

a otros lugrares del informe.

d) Recomendaciones y Planes de Acción. Constituyen, junto con la exposición de

puntos débiles, el verdadero objeto de la auditoría informática.

e) Redacción posterior de la Carta de Introducción o Presentación.

Modelo conceptual de exposición del informe final

El modelo de Informe final de auditoría informática por el que hemos optado es

utilizado por Compañías y auditores independientes prestigiosos. Se basa en los
dos principios fundamentales siguientes:

A) El Informe debe incluir solamente hechos importantes.

La inclusión de hechos poco relevantes o accesorios desvía la atención del que lo

lee y desvirtúa el informe en su conjunto.

B) El Informe debe consolidar los hechos que se describen en el mismo.

En auditoría, el término de "hechos consolidados" adquiere un especial significado

de verificación objetiva y de estar documentalmente probados y soportados.

Páá giná 77
La consolidación de los hechos debe satisfacer, al menos, los siguientes criterios
básicos:

1. El hecho que se incluya debe poder ser sometido a cambio.

2. Las ventajas del cambio deben superar los incovenientes derivados de
mantener la situción.

3. No deben existir alternativas viables que superen, por más beneficiosos y

por mejor ratio prestación/ costo, al cambio propuesto.

4. La recomendación del auditor sobre el hecho en cuestión ha de mantener o

mejorar las Normas y estándares existentes en la instalación.

Cumplidos los dos principios y los criterios de consolidación expuestos, el hecho

pasa al Informe.

La aparición de un hecho en un informe de auditoría implica necesariamente la

existencia de una debilidad qu ha de ser corregida. Veamos el modelo de flujo del
hecho o debilidad, y el orden, desde su aparición hasta la recomendación del
auditor para eliminarla:

1.Hecho encontrado

 Ha de ser relevante para el auditor y para el cliente.

 Ha de ser exacto, y además convincente.

 No deben existir hechos repetidos. Deben procurarse evitar incluso las

referencias y alusiones a otros hechos.

2. Consecuencias del hecho

 Las consecuencias deben redactarse de modo que sean directamente

deducibles del hecho.

Páá giná 78
3. Repercusión del hecho

 Se redactará, si existe, las influencias directas que el hecho pueda tener

sobre otros aspectos informáticos u otros ámbitos de la empresa auditada.

4. Conclusión del hecho

 No deben redactarse conclusiones más que en los casos en la exposición

haya sido muy extensa y compleja.

5. Recomendación del auditor informático

 Siempre se explicitará la palabra "Recomendación", y ninguna otra.

 Deberá entenderse por sí sola, por su simple lectura.

 Deberá estar suficientemente soportada en el propio texto.

 Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y
verificada su implementación.

 La Recomendación se redactará de forma que vaya dirigida expresamente

a la persona o personas que puedan implementarla.

 Deberán evitarse las Recomendaciones demasiado generales. No deberán

redactarse expresiones como "... se den las órdenes oportunas para que...
".Se deberá decir: "... se elabore un programa para que en 60 días...".

7.CARTA DE INTRODUCCION O PRESENTACION DEL INFORME FINAL

La Carta de Introducción tiene especial importancia porque en un máximo de 3 ó 4

folios ha de resumirse la auditoría realizada.

Es de naturaleza sumamente restrictiva:

Páá giná 79
Se destina exclusivamente al responsable máximo de la empresa, o a la persona
concreta que encargó o contrató la misma, o a la persona en quién ella hubiese
delegado expresamente.

Así como pueden existir tantas copias del Informe Final como solicite el cliente,
siempre que éste especifique los nombres de los destinatarios, la Auditoría no
hará copias de la citada Carta de Introducción.

Se entiende que la Carta de Presentación o Carta de Introducción del Informe

debe sintetizar al máximo el contenido de aquél. El máximo responsable del
cliente debe poder formarse una idea aproximada dela situación con la lectura de
esta sucinta Carta.

La misma, poseerá los siguientes atributos:

- Tendrá una longitud máxima de 4 folios, aunque la auditoría tenga centenares de

ellos.

- Incluirá fecha, naturaleza, objetivos y alcance.

- Cuantificará la importancia de las áreas analizadas.

- Proporcionará una conclusión general, concretando las áreas de gran debilidad.

- Presentará las debilidades en orden de importancia y gravedad, de mayor a

menor. (Obsérvese cómo el orden del Informe y de la Carta no tienen por qué
coincidir).

- En la Carta de Introducción no se escribirán nunca Recomendaciones. (Las

Recomendaciones se expresan siempre en los Informes).

7.1. Pautas de Lenguaje y redacción del informe

Títulos: Han de ser expresivos, pero breves.

Páá giná 80
Párrafos: En cada párrafo debe tratarse un solo asunto. Cada párrafo debe tener 8
ó 10 líneas como máximo. Cuando exceda de esta cantidad, se dividirá en dos.

Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por
el verbo. Por ello, cada frase contendrá un verbo, dos como máximo.

La frase no debe superar las tres líneas.

No deben cambiarse verbos por nombres. No se debe escribir "... hemos realizado
un examen..."; hay que escribir "... hemos examinado...".

Otros:

- Utilizar lenguaje sobrio normal, no excesivamente culto. Se permiten anglicismos

y palabras técnicas muy conocidas.

- Utilizar la voz activa o reflexiva, pero nunca la pasiva.

- Omitir palabras innecesarias. No deben usarse expresiones como "Con

referencia a", "Consecuentemente con", "en nuestra opinión", "creemos que",
"consideramos que", etc.

- Evitar redundancias de lenguaje. No podrá redactarse, por ejemplo, "hemos

revisado y analizado".

-No expresarse por medio de adverbios y adjetivos simultáneamente. Ejemplo: No

debe redactarse "es estrictamente necesario que ...".

6.3 ESTRUCTURA DEL INFORME

INFORME DE AUDITORÍA
El informe es el documento escrito mediante el cual la comisión de auditoría
expone el resultado final de su trabajo, a través de juicios fundamentados en las
evidencias obtenidas durante la fase de ejecución, con la finalidad de brindar

Páá giná 81
suficiente información a los funcionarios de la entidad auditada y estamentos
pertinentes, sobre las deficiencias o desviaciones más significativas, e incluir las
recomendaciones que permitan promover mejoras en la conducción de las
actividades ú operaciones del área o áreas examinadas.

NORMAS RELACIONADAS AL INFORME DE AUDITORÍA

NAGU 4.20 OPORTUNIDAD DEL INFORME
La comisión auditora deberá adecuarse a los plazos estipulados en el programa
correspondiente, a fin que el informe pueda emitirse en el tiempo previsto,
permitiendo que la información en él revelada sea utilizada oportunamente por el
Titular de la entidad y/o autoridades de los niveles apropiados del Estado.
El informe debe ser oportuno a fin de que sea útil por la entidad, siendo necesario
el estricto cumplimiento de las fechas programadas para las distintas fases de la
acción de control.

El Informe será denominado teniendo en consideración, la naturaleza o tipo de

acción de control efectuado, indicando los datos correspondientes a su
numeración e incluyendo un título, el cual deberá ser breve, específico y redactado
en tono constructivo.

ESTRUCTURA DEL INFORME

I. INTRODUCCIÓN.
1. Origen del examen.
2. Naturaleza y objetivos del examen.
Páá giná 82
 3. Alcance del examen.
4. Antecedentes y base legal de la entidad.
5. Comunicación de hallazgos.
6. Memorándum de Control Interno.
7. Otros aspectos de importancia.
II. OBSERVACIONES.
III. CONCLUSIONES.
IV. RECOMENDACIONES.
V. ANEXOS.
FIRMA

. INTRODUCCIÓN.
Comprenderá información general concerniente a la acción de control y a la
entidad examinada.
1. Origen del Examen
Referido a los antecedentes o razones que motivaron la acción de control,
es el caso de: planes anuales de control, denuncias, solicitudes (del titular de la
entidad, de la CGR, del Congreso, etc.), entre otros; debiendo hacerse mención al
documento y fecha de acreditación.

2. Naturaleza y Objetivos del examen

En este rubro se señalará la naturaleza o tipo de la acción de control, así
como los objetivos previstos; exponiéndose ellos según su grado de significancia o
importancia para la entidad, incluyendo precisiones que correspondan en cuanto al
nivel de cumplimiento alcanzado en cada caso.
Páá giná 83
3. Alcance del examen

Se indicará claramente la cobertura y profundidad del trabajo realizado para

el logro de los objetivos de la acción de control, precisando el periodo y áreas de
la entidad examinadas, ámbito geográfico donde se realizó el examen, dejándose
constancia que se llevó de acuerdo a las NAGU; para el caso de auditoría
financiera se mencionará que se llevó a cabo de acuerdo a las NAGA’s, Normas
Internacionales de Auditoría y demás disposiciones aplicables al efecto.
Asimismo, de considerarlo pertinente la comisión auditora revelará las
limitaciones de información u otras relativas al alcance del examen que se
hubieran presentado y afectado el proceso de la acción de control, así como las
modificaciones efectuadas al enfoque o curso de la misma como consecuencia de
dichas limitaciones.

4. Antecedentes y base legal de la entidad

Se hará referencia de manera breve y concisa, a los aspectos relevantes

que guarden vinculación directa con la acción de control realizada, sobre la misión,
naturaleza legal, ubicación orgánica y funciones realizadas de la entidad y/o áreas
examinadas, así como las principales normas legales que le(s) sean de aplicación,
con el objeto de situar y mostrar apropiadamente el ámbito técnico y jurídico que
es materia de control; evitándose, insertar simples o tediosas transcripciones
literales de textos y/o relaciones de actividades o disposiciones normativas.

5. Comunicación de hallazgos
Se deberá indicar haberse dado cumplimiento a la comunicación oportuna
de los hallazgos efectuada al personal que labora o haya laborado en la entidad
comprendido en ellos. Asimismo, se indicará la inclusión de un Anexo en el
Informe con la relación del personal al servicio de la entidad examinada,
finalmente considerado en las observaciones contenidas en el mismo,

Páá giná 84
consignándose en dicha nómina los nombres y apellidos, documento de identidad,
cargo(s) desempeñado(s), periodo(s) de gestión, condición laboral y domicilio
correspondientes, con indicación de aquellas en que estuvieren incursos en cada
caso.
6. Memorándum de Control Interno

Se indicará que durante la acción de control se ha emitido el Memorándum

de Control Interno, en el cual se informó al titular respecto a la efectividad de los
controles internos implantados en la entidad. Dicho documento así como el reporte
de las acciones correctivas que en virtud del mismo se hayan adoptado, se deberá
adjuntar como Anexo del Informe.
. Otros aspectos de importancia
Se revelará aquella información que la comisión auditora basada en su opinión
profesional competente, considere de importancia o significación, para fines del
Informe, dar a conocer hechos, acciones o circunstancias que por su naturaleza e
implicancias, tengan relación con la situación evidenciada en la entidad o los
objetivos de la acción de control y, cuya revelación permita mostrar la objetividad e
imparcialidad del trabajo desarrollado por la comisión, tales como:
a) El reconocimiento de las dificultades o limitaciones, de carácter
excepcional, en las que se desenvolvió la gestión realizada por los responsables
de la entidad o área examinada.
b) El reconocimiento de logros significativos alcanzados durante la gestión
examinada.
c) La adopción de correctivos por la propia administración, durante la
ejecución de la acción de control, que hayan permitido superar hechos
observables.
d) Informar de aquellos asuntos importantes que requieran un trabajo
adicional, siempre que no se encuentren directamente comprendidos en los
objetivos de la acción de control.

Páá giná 85
e) Eventos posteriores a la ejecución del trabajo de campo que hayan sido de
conocimiento de la comisión auditora y que afecten o modifiquen el
funcionamiento de la entidad o de las áreas examinadas.
Si algunos de los aspectos considerados en este punto por la comisión auditora
demandara una exposición o desarrollo extenso, será incluido como anexo del
Informe. Dichos aspectos, podrán lugar a la formulación de conclusiones y
recomendaciones, si hubiera mérito para ello.

II. OBSERVACIONES
III. La Comisión Auditora desarrollará las observaciones que, como
consecuencia del trabajo de campo y la aplicación de procedimientos,
hayan sido determinadas como tales, una vez concluido el proceso de
evaluación y contrastación de los hallazgos comunicados con los
comentarios y/o aclaraciones formulados por el personal comprendido en
los mismos, así como la documentación y evidencia sustentatoria
respectiva.
IV. Las observaciones se deberán referir a hechos o situaciones de carácter
significativo y de interés para la entidad examinada, cuya naturaleza
deficiente permita oportunidades de mejora y/o corrección, incluyendo
información suficiente y competente relacionada con los resultados de la
evaluación efectuada a la gestión de la entidad examinada.
V. Se presentarán de forma ordenada, lógica y numerada correlativamente,
evitando el uso de calificativos innecesarios y describiendo apropiadamente
sus elementos o atributos característicos. Se debe considerar aspectos
esenciales: Sumilla, Elementos de la observación, comentarios y/o
aclaraciones y su evaluación.

Sumilla
Es el título o encabezamiento que identifica el asunto materia de
observación.
2. Elementos de la observación

Páá giná 86
 Condición: Hecho o situación deficiente detectada.
Criterio: Norma, disposición o parámetro de medición aplicable al hecho
observado.
Efecto: Consecuencia real o potencial, cuantitativa o cualitativa,
ocasionada por el hecho o situación observada, indispensable para establecer su
importancia y recomendar a la entidad que adopte las acciones correctivas
requeridas.
Causa: Motivo que dio lugar el hecho o situación observada, cuya
identificación requiere de la habilidad y juicio profesional de la comisión auditora y
es necesaria para la formulación de una recomendación constructiva que
prevenga la recurrencia de la condición.
3. Comentarios y/o aclaraciones del personal comprendido en las
observaciones
Son las respuestas brindadas a la comunicación de los hallazgos
respectivos, por el personal comprendido en la observación, las cuales deben ser
expuestas brevemente, indicándose si se acompañó documentación sustentatoria.
De no haber respuesta a la comunicación de hallazgos o de ser extemporánea, se
referenciará dicha circunstancia.
4. Evaluación de los comentarios y/o aclaraciones
Es el resultado del análisis realizado por la comisión auditora sobre los
comentarios y/o aclaraciones y documentación presentada por el personal
comprendido en la observación, debiendo sustentarse los argumentos invocados y
consignarse la opinión resultante de dicha evaluación.
Dicha opinión incluirá al término del desarrollo de cada observación, la
determinación de responsabilidades administrativas a que hubiera lugar, de haber
mérito para ello.
En caso de considerarse la existencia de indicios razonables de la comisión
de delito o de perjuicio económico, se dejará constancia expresa que tal aspecto
es tratado en el Informe Especial correspondiente.

III. CONCLUSIONES

Páá giná 87
 Se indicarán los juicios de carácter profesional, basados en las
observaciones establecidas, que se formulan como consecuencia del examen
realizado a la entidad auditada. Al final de cada conclusión se identificará el
número de la(s) observacione(s) correspondiente(s) a cuyos hechos se refiere.
La comisión auditora, en casos debidamente justificados, podrá formular
conclusiones sobre aspectos distintos a las observaciones, verificados en el curso
del trabajo, siempre que éstos hayan sido expuestos en el Informe.

IV. RECOMENDACIONES
Constituyen medidas específicas y posibles que, con el propósito de mostrar los
beneficios que reportará la acción de control, se sugieren a la administración de la
entidad para promover la superación de las causas y las deficiencias evidenciadas
durante el examen. Estarán dirigidas al Titular o en su caso a los funcionarios que
tengan competencia para disponer su aplicación.
Las recomendaciones se formularán con orientación constructiva para propiciar el
mejoramiento de la gestión de la entidad y el desempeño de los funcionarios y
servidores públicos a su servicio, con énfasis en contribuir al logro de los objetivos
institucionales dentro de parámetros de economía, eficiencia y eficacia; aplicando
criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de
costo proporcional a los beneficios esperados.
Para efecto de su presentación, las recomendaciones se realizarán siguiendo el
orden jerárquico de los funcionarios responsables a quienes va dirigida,

Páá giná 88
referenciándolas en su caso a las conclusiones, o aspectos distintos a éstas, que
las han originado.

También se incluirá como recomendación, cuando existiera mérito de acuerdo a

los hechos revelados en las observaciones, el procesamiento de las
responsabilidades administrativas que se hubiesen determinado en el Informe,
conforme a lo previsto en el régimen laboral pertinente.

V. ANEXOS

A fin de lograr el máximo de concisión y claridad en el Informe, sólo se incluirá

como Anexos, además de los expresamente considerados en la presente norma,
aquella documentación indispensable que contenga importante información
complementaria o ampliatoria de los datos contenidos en el Informe y que no obre
en la entidad examinada.

FIRMA
El Informe una vez efectuado el control de calidad correspondiente previo a su
aprobación, deberá ser firmado por el Jefe de Comisión, el Supervisor y el nivel
gerencial competente de la CGR. En el caso de los Órganos de Auditoría Interna
del SNC, por el Jefe de Comisión, el Supervisor y el Jefe del respectivo órgano.
Los Informes emitidos por las SOA’s serán suscritos por el socio participante y
auditor responsable de la auditoría.

De ameritarlo por la naturaleza y contenido del Informe, también será suscrito por
el abogado u otro profesional y/o especialista participante en la acción de control.

Páá giná 89
Excepciones del alcance
a) En la formulación de los Informes de Auditoría Financiera (Informe Corto o
Dictamen), se tendrán en cuenta las NAGA’s, las NIA’s y las disposiciones
emitidas por los organismos oficiales competentes sobre la materia.
b) Para la formulación de los informes de auditoría de los préstamos y
donaciones de Organismos Internacionales (BID, BIRF, AID, USAID, Banco
Mundial, etc.) o similares, serán aplicables las normas y requisitos legales
pertinentes para el efecto.
Síntesis Gerencial
Adicionalmente al Informe de la acción de control, podrá emitirse una “Síntesis
Gerencial del Informe”, de contenido necesariamente breve y preciso.
La Alta Dirección de la CGR y el Titular del Órgano de Auditoría Interna, según el
caso y dentro de su ámbito de competencia, podrán eximir a la comisión auditora
de la emisión de dicha síntesis.
Conforme a los alcances de la NAGU 4.50
Cuando en la ejecución de la acción de control se evidencien indicios razonables
de la comisión de delito, la comisión auditora, en cautela de los intereses del
Estado, sin perjuicio de la continuidad de la respectiva acción de control, y previa
evaluación de las aclaraciones y comentarios a que se refiere la NAGU 3.60,
emitirá con la celeridad del caso, un informe especial con el debido sustento
técnico y legal.
El objetivo de la presente norma es garantizar y facilitar la oportuna, efectiva y
adecuada implementación de las acciones correctivas legales pertinentes en los
casos que, durante el desarrollo de la acción de control, se evidencien indicios
razonables de comisión de delito así como, excepcionalmente, la existencia de
perjuicio económico no sujeto a recupero administrativo.

Páá giná 90
Su aplicación permitirá a la comisión auditora, a través de su personal responsable
y especializado competente, realizar apropiada y oportunamente su labor a en los
casos indicados, basada en su opinión profesional debidamente sustentada en los
respectivos fundamentos técnicos y legales aplicables. En ejercicio de las
atribuciones establecidas en la Ley del SNC, la comisión auditora formulará el
Informe Especial para revelar específicamente, con orden y claridad, los hechos y
circunstancias que configuran la presunta responsabilidad penal o civil, las
consideraciones jurídicas que los califican y las pruebas sustentatorias
correspondientes, recomendando la adopción de las acciones legales respectivas
por la instancia competente.

DENOMINACIÓN
El Informe será denominado “Informe Especial”, con indicación de los datos
correspondientes a su numeración e incluyendo adicionalmente un título, el cual
deberá ser breve, específico y estar referido a la materia abordada en el informe.
En ningún caso, incluirá información confidencial o nombres de personas.
ESTRUCTURA
I. INTRODUCCIÓN
II. FUNDAMENTOS DE HECHO
III. FUNDAMENTOS DE DERECHO
IV. IDENTIFICACIÓN DE PARTÍCIPES EN LOS HECHOS
V. PRUEBAS
VI. RECOMENDACIÓN
ANEXOS

Páá giná 91
I. INTRODUCCIÓN
Origen, motivo y alcance de la acción de control, con indicación del Oficio de
acreditación o, en su caso, de la Resolución de Contraloría de designación,
entidad, periodo, áreas y ámbito geográfico materia de examen, haciendo
referencia a las disposiciones que sustentan la emisión del Informe Especial (Ley
del SNC y NAGU 4.50), así como su carácter de prueba preconstituida para el
inicio de acciones legales.
II. FUNDAMENTOS DE HECHO
Breve sumilla y relato ordenado y objetivo de los hechos y circunstancias que
constituyen indicios de la comisión de delito o responsabilidad civil, en su caso,
con indicación de los atributos: condición, criterio, efecto y causa, cuando esta
última sea determinable, incluyéndose las aclaraciones o comentarios que
hubieran presentado las personas comprendidas, así como el resultado de la
evaluación de los mismos; salvo los casos de excepción previstos en la NAGU
3.60, debiendo incidirse en la materialidad y/o importancia relativa, así como el
carácter doloso de su comisión, de ser el caso. En los casos de responsabilidad
penal, los hechos serán necesariamente revelados en términos de indicios.
Tratándose responsabilidad civil, el perjuicio económico deberá ser cuantificado,
señalándose que el mismo no es materialmente posible de recupero por la entidad
en la vía administrativa.
III. FUNDAMENTOS DE DERECHO
Análisis del tipo de responsabilidad que se determina, sustentando la tipificación
y/o elementos antijurídicos de los hechos materia de la presunta responsabilidad
penal y/o responsabilidad civil incurrida, con indicación de los artículos pertinentes

Páá giná 92
del Código Penal y/o civil u otra normativa adicional considerada, según
corresponda, por cada uno de los hechos, con la respectiva exposición de los
fundamentos jurídicos aplicables. De haber sido identificado, se señalará el plazo
de prescripción para el inicio de la acción penal o civil.

IV. IDENTIFICACIÓN DE PARTÍCIPES EN LOS HECHOS

Individualización de las personas que prestan o prestaron servicios en la entidad,
con participación y/o competencia funcional en cada uno de los hechos calificados
como indicios en los casos de responsabilidad penal, o constitutivos del perjuicio
económico determinado en los casos de responsabilidad civil. Incluye, asimismo, a
los terceros identificados que hayan participado en dichos hechos. Se indicará los
nombres y apellidos completos, documento de identidad, el cargo o función
desempeñada, el área y/o dependencia de actuación, así como el periodo o
fechas de ésta.

V. PRUEBAS
Identificación de las pruebas en forma ordenada y detallada por cada hecho,
refiriendo el anexo correspondiente en que se adjuntan, debidamente autenticadas
en su caso.

Páá giná 93
Adicionalmente, de ser pertinente, se incluirá el Informe Técnico de los
profesionales especializados que hubieren participado en apoyo a la Comisión
Auditora, el cual deberá ser elaborado con observancia de las formalidades
exigibles para cada profesión (Ejemplos: tasación, informe de ingeniería, informe
bromatológico, informe grafotécnico, etc.).

VI. RECOMENDACIÓN
Este rubro consigna la recomendación para que se interponga la acción legal
respectiva, según el tipo de responsabilidad determinada, penal o civil, la cual
deberá estar dirigida a los funcionarios que, en razón a su cargo o función, serán
responsables de la correspondiente autorización e implementación para su
ejecución.
Si la acción de control es realizada por la CGR o por las SOA’s designadas o
autorizadas, el Informe Especial recomendará al nivel correspondiente, el inicio de
los órganos que ejerzan la representación legal para la defensa judicial de los
intereses del Estado en dicha entidad.
Cuando se considere que existan razones justificadas para ello, podrá
recomendarse alternativamente, se autorice al Procurador Público encargado de
los asuntos judiciales de la CGR, el inicio de las acciones legales que
corresponda. En este último caso, el Informe Especial será puesto en
conocimiento del Titular de la entidad auditada, en la misma fecha de iniciada la
acción legal, siempre que el titular no se encuentre comprendido en los indicios de
la comisión de delito o en la responsabilidad civil establecida. De encontrarse
comprendido el Titular de la entidad el Informe se remitirá al Titular del Sector, u

Páá giná 94
otro estamento que resulte competente de no pertenecer la entidad a ningún
Sector.

VII. ANEXOS
Contienen las pruebas que sustentan los hechos que son materia del Informe
Especial. Necesariamente deben ser precedidos de una relación que indique su
numeración y asunto a que se refiere cada anexo, guardando un debido
ordenamiento a la exposición de los hechos contenidos en el Informe.
En tales casos, se deberá incluir como Anexo N° 01, la nómina de las personas
identificadas como partícipes en los hechos revelados, con indicación de su cargo,
documento de identidad, periodo de desempeño de la función y domicilio
NIVELES DE APROBACIÓN DEL INFORME ESPECIAL
1. El Informe Especial formulado por la comisión auditora de la CGR, será
suscrito por el auditor y/o abogado interviniente(s), el Jefe de Comisión, el
Supervisor y los niveles gerenciales competentes.
2. El Informe Especial formulado por el OAI del SNC será suscrito por el
auditor y/o abogado, Jefe de Comisión y Supervisor interviniente(s), según sea el
caso, así como por el Titular del respectivo órgano. Cuando por razones de
capacidad operativa, alguna de dichas funciones haya recaído en una misma
persona, se referirá el cargo de mayor nivel de responsabilidad.
3. Tratándose de SOA’s designadas o autorizadas por la CGR, el Informe
Especial que pudiera formularse será suscrito por el abogado y socio participante.

Páá giná 95
SITUACIONES ESPECIALES
- Cuando se determine la existencia de perjuicio económico que a juicio de la
comisión auditora sea susceptible de ser recuperado en la vía
administrativa, los hechos relativos a dicho perjuicio económico seguirán
siendo tratados por la comisión auditora y revelados en el correspondiente
informe de la acción de control, recomendándose en el mismo las medidas
inmediatas para materializar dicho recupero.
- Cuando se determine que en los hechos que constituyen los indicios
razonables de comisión de delito y/o responsabilidad civil, los partícipes son
únicamente terceros y no funcionarios o servidores que presten o hayan
prestado servicios en la entidad, tales hechos serán revelados en el informe
de la acción de control, recomendando en éste las acciones
correspondientes.
- De ser necesario se podrá formular más de un Informe Especial emergente
de la misma acción de control, siempre que resulte justificado por la
conveniencia procesal de tratar por separado los hechos de connotación
penal y los relativos a responsabilidad civil, así como en razón de la
oportunidad de la acción legal respectiva o no ser posible la acumulación.
En todos los casos que se produzca la emisión de un Informe Especial, la
Comisión Auditora será responsable que el correspondiente informe de la acción
de control contenga las referencias necesarias sobre dicha emisión y las
recomendaciones orientadas a corregir las causas que dieron lugar a los hechos
contenidos en el Informe Especial.
QUE LOS INFORMES DE AUDITORÍA CONTENGAN LA REALIDAD DE LOS
HECHOS INSTAR A LAS AUTORIDADES, FUNCIONARIOS, SERVIDORES Y
USUARIOS UN USO TRANSPARENTE DE LOS RECURSOS.

Páá giná 96
VI.4 FORMATO DEL INFORME

¿ Que es el informe de auditoria?

• Es el medio formal para comunicar los objetivos de la auditoria, las normas
utilizadas, alance y resultados, conclusiones y recomendaciones de la
auditoria.
• El reporte debe ser objetivo, claro, conciso, consistente constructivo y
oportuno
• Existen esquemas recomendados con los requisitos mínimos aconsejables
respecto a estructura y contenido

Páá giná 97
Páá giná 98
Páá giná 99
Carta de introducción o presentación del informe final
Páá giná 100
 • La carta de introducción tiene especial importancia porque en ella ha de
resumirse la auditoría realizada.
• Así como pueden existir tantas copias del informe Final como solicite el
cliente, la auditoría no hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
 Tendrá como máximo 4 folios.
 Incluirá fecha, naturaleza, objetivos y alcance.
 Cuantificará la importancia de las áreas analizadas.
 Proporcionará una conclusión general, concretando las áreas de gran
debilidad.
 Presentará las debilidades en orden de importancia y gravedad.
 En la carta de Introducción no se escribirán nunca recomendaciones.

CONCLUSIONES

Páá giná 101

 En el proceso de promover la auditoría informática se necesita de un buen
planeamiento, mantenimiento de la ejecución y estar preparados para
cualquier cambio que pueda traer con el pasar del tiempo, el entrenamiento
de l personal para nuevos enfrentamientos también es un labor de suma
prioridad. En la oficina de la Auditoria con los esfuerzos que se ha puesto
se han obtenido muy buenos resultados, como meta para el futuro es el de
poner mas esfuerzo en el entrenamiento del personal de la auditoria
informática, crear secciones especialmente encargadas de la auditoria
informática, también a la vez crear un Sistema de Soporte a la Tecnología
de la Información ( Information Technology Support ) y reglamentos para el
progreso de la auditoria informática, todo esto son metas para entrar al año
2000, elevar y brindar un mejor servicio de calidad poner los esfuerzos que
se debe en el trabajo de la Auditoria.
 Se profundizo sobre cual es la información que el auditor requiere para
realizar este tipo de trabajo y con que técnicas y herramientas la
organización protege su información, que controles se realiza al evaluar la
seguridad del software de aplicación, y los generales.

• El informe de auditoría tiene que estar basado en una metodología, misma

que debe estar soportada por mejores prácticas administrativas y
tecnologías.
• La información y observaciones vertidos en el informe deben contener un
sustento y no pueden ser en ningún caso subjetivos.

BIBLIOGRAFIA

Páá giná 102

• ECHENIQUE, García José Antonio. Auditoria en Informática. Edit. Mc Graw-
Hill. 2001.2ª Edición
• http:// www.buenastareas.com/ensayo/Informe-Final
• http://es.scribd.com/doc/19505290/Auditoria-Informatica
• Auditoria Informática
• Un enfoque practico
• 2ª edición amplia y revisada
• Mario Gerardo Piattini Velthuis
• Emilio del ]peso Navarro
• Auditoria en Informática
• Segunda Edición
• Pagina 20
• José Antonio Echenique García
• Universidad Nacional autónoma de México
• Universidad autónoma Metropolitana
• Editorial McGraw-Hill
• Auditoria en sistemas computacionales, Segunda edición, Editorial
Pearson, Pág. 18 a 25.
• Libro: Auditoria informática
• Autor: José Antonio Echenique García
• Editorial: Mcmagrafi
• 2da Edición
• http://www.slideboom.com/presentations/299541/PRESENTACION-
AUDITORIA-INFORMATICA
• http://muziek-film-kunst.blogspot.com/2010/12/22-evaluacion-
sistemas-de-acuerdo-al.html
• http://muziek-film-kunst.blogspot.com/2010/12/23-investigacion-
preliminar-auditoria.html
• Enciclopedia práctica de la pequeña y mediana empresa. (S.F.)

Páá giná 103