Documente Academic
Documente Profesional
Documente Cultură
Páá giná 1
La solución clara es entonces realizar evaluaciones oportunas y completas de la
función informática, a cargo de personal calificado, consultores externos, auditores
en informática o evaluaciones periódicas realizadas por el mismo personal de
informática
LA AUDITORÍA INTERNA
Páá giná 2
LA AUDITORÍA EXTERNA
Páá giná 4
Controles detectivos: Cuando fallan los preventivos para tratar de conocer
cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.
Los modelos de control interno COSO y COBIT son los dos modelos más
difundidos en la actualidad.
Páá giná 5
COSO está enfocado a toda la organización, contempla políticas, procedimientos y
estructuras organizativas además de procesos para definir el modelo de control
interno.
Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)
se centra en el entorno IT, contempla de forma específica la seguridad de la
información como uno de sus objetivos, cosa que COSO no hace. Además el
modelo de control interno que presenta COBIT es más completo, dentro de su
ámbito.
COBIT – DEFINICIÓN
Páá giná 6
Es un marco de control interno de TI.
Parte de la premisa de que la TI requiere proporcionar información para
lograr los objetivos de la organización.
Promueve el enfoque y la propiedad de los procesos.
Apoya a la organización al proveer un marco que asegura que:
La Tecnología de Información (TI) esté alineada con la misión y visión.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
COBIT – PRINCIPIOS
COBIT – ESTRUCTURA
Páá giná 7
COBIT – REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO
Páá giná 8
COBIT – REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO
Efectividad: Información relevante y pertinente, proporcionada en forma
oportuna, correcta, consistente y utilizable
Eficiencia: Empleo óptimo de los recursos.
Confidencialidad: Protección de la información sensitiva contra
divulgación no autorizada
Integridad: Información exacta y completa, así como válida de acuerdo
con las expectativas de la organización.
Disponibilidad: accesibilidad a la información y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y compromisos contractuales.
Confiabilidad: Apropiada para la toma de decisiones adecuadas y el
cumplimiento normativo
COBIT – PROCESOS DE TI – TRES NIVELES
Páá giná 9
1.6.- PRINCIPIOS APLICADOS A AUDITORES INFOMÁTICOS
PRINCIPIO DE CALIDAD
En el auditor deberá prestar sus servicios conforme las posibilidades de la
ciencia y medios a su alcance con absoluta libertad respecto a la utilización
de dichos medios y en unas condiciones técnicas adecuadas para el idóneo
cumplimiento de su labor.
PRINCIPIO DE CONFIANZA
El auditor deberá facilitar e incrementar la confianza del auditor en base a
una actuación de transparencia en su actividad profesional sin alardes
científicos-técnicos.
PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la realización de la auditoría
encomendada, maximice teniendo en cuenta que, a los auditados en algunos
Páá giná 10
casos les puede ser extremadamente difícil verificar sus recomendaciones y
evaluar correctamente la precisión de las mismas.
PRINCIPIO DE DISCRECIÓN
El auditor deberá en todo momento mantener una cierta discreción en la
divulgación de datos, aparentemente inocuos, que se le hayan puesto de
manifiesto durante la ejecución de la auditoria.
PRINCIPIO DE ECONOMÍA
Páá giná 11
Este principio impone a los auditores el deber y la responsabilidad de mantener
una permanente actualización de sus conocimientos y métodos a fin de
adecuarlos a las necesidades de la demanda y a las exigencias de la competencia
de la oferta.
PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN
PRINCIPIO DE INDEPENDENCIA
Esta relacionado con el principio de criterio propio, obliga al auditor, tanto si actúa
como profesional externo o con dependencia laboral respecto a la empresa en la
que deba realizar la auditoria informática, a exigir una total autonomía e
independencia en su trabajo.
PRINCIPIO DE LEGALIDAD
Páá giná 12
La primacía de esta obligación exige del auditor un comportamiento activo de
oposición a todo intento, por parte del auditado o de terceras personas,
tendente a infringir cualquier precepto integrado en el derecho positivo.
PRINCIPIO DE NO DISCRIMINACIÓN
PRINCIPIO DE NO INJERENCIA
PRINCIPIO DE PRECISIÓN
PRINCIPIO DE RESPONSABILIDAD
Páá giná 13
La confidencia y confianza entre el auditor y el auditado e imponen al primero la
obligación de guardar en secreto los hechos e informaciones que conozca en el
ejercicio de su actividad profesional.
PRINCIPIO DE VERACIDAD
El Auditor en sus comunicaciones con el auditado deberá tener siempre presente
la obligación de asegurar la veracidad de sus manifestaciones con los limites
impuestos por los deberes de respeto, corrección, y secreto profesional.
El auditor informático debe ser una persona con un alto grado de calificación
técnica y al mismo tiempo estar integrado a las corrientes organizativas
empresariales. Es responsable de realizar las siguientes actividades:
•Verificación del control interno tanto de las aplicaciones como de los SI,
periféricos, etc.
•Análisis de la administración de Sistemas de Información, desde un punto de
vista de riesgo de seguridad, administración y efectividad de la administración.
•Análisis de la integridad, fiabilidad y certeza de la información a través del
análisis de aplicaciones.
•Auditoría del riesgo operativo de los circuitos de información
•Análisis de la administración de los riesgos de la información y de la seguridad
implícita.
•Verificación del nivel de continuidad de las operaciones.
•Análisis del Estado del Arte tecnológico de la instalación revisada y las
consecuencias empresariales que un desfase tecnológico puede acarrear.
Páá giná 14
La función de la auditoría informática se hconvertido en una función que desarrolla
un trabajo más acorde con la importancia que para las organizaciones tienen los
SI, que son su objeto de estudio y análisis. El auditor informático pasa a ser
auditor y consultor de empresas en materias de:
•Seguridad
•Control interno operativo
•Eficiencia y eficacia
•Tecnologías de Información
•Continuidad de operaciones
•Administración de riesgos
Debe ser un grupo independiente del de auditoría interna, con acceso total a los
SI y demás tecnología, que depende de la misma persona que la auditoría
interna (Director General o Consejero).
La dependencia debe ser del máximo responsable de la organización, nunca del
departamento de sistemas o del financiero. Esto es para que no se pueda
sospechar que exista sesgo al momento de realizar el trabajo de auditoría y
ofrecer conclusiones y recomendaciones.
Los recursos humanos con los que debe contar el departamento debe ser una
mezcla equilibrada de personas con formación en auditoría y organización y con
perfil informático (especialidades).
Páá giná 15
LAS NORMAS DE LA AUDITORÍA INTERNA COMPRENDEN
Páá giná 16
•Que se cumplan los objetivos de la auditoría.
Para hacer una adecuada planeación de la auditoría en informática hay que seguir
una serie de pasos previos que permitirán dimensionar el tamaño y características
del área dentro del organismo a auditar, sus sistemas, organización y equipo. Con
ello podremos determinar el número y características del personal de auditoría, las
herramientas necesarias, el tiempo y costo, así como definir los alcances de la
auditoría para, en caso necesario, poder elaborar el contrato de servicios.
2.1.1. PLANEACIÓN
1. Planeación (Cont.)
Páá giná 17
La planeación deberá ser documentada e incluirá:
Realizar una revisión detallada de los controles internos de los sistemas con la
esperanza de que se deposite la confianza en los controles de los sistemas y de
que una serie de pruebas sustantivas puedan reducir las consecuencias.
Decidir el no confiar en los controles internos del sistema. Existen dos razones
posibles para esta decisión. Primero, puede ser más eficiente desde el punto de
vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los
controles del área de informática pueden duplicar los controles existentes en el
área del usuario.
Páá giná 18
instalación y los controles para reducir las pérdidas y los efectos causados por
éstas. Al terminar la revisión detallada el auditor debe evaluar en qué momento los
controles establecidos reduce las pérdidas esperadas a un nivel aceptable. Los
métodos de obtención de información al momento de la evaluación detallada son
los mismos usados en la investigación preliminar,
deben apoyar las bases de los hallazgos de auditoría y las recomendaciones que
se harán.
Páá giná 19
Los auditores deberán reportar los resultados del trabajo de auditoría: El auditor
deberá discutir las conclusiones y recomendaciones en los niveles apropiados de
la administración antes de emitir su informe final. Los informes deberán ser
objetivos, claros, concisos, constructivos y oportunos. Los informes presentarán el
propósito, alcance y resultados de la auditoría y, cuando se considere apropiado,
contendrán la opinión del auditor.
Páá giná 20
•Pruebas para confirmar la adecuada comunicación.
Uso de la Computadora
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los
accesos a las computadoras de acuerdo a:
Páá giná 21
nivel de seguridad de acceso
empleo de las claves de acceso
evaluar la seguridad contemplando la relación costo, ya que a mayor
tecnología de acceso mayor costo.
PERSONAL
Páá giná 22
Se debe observar este punto con mucho cuidado, ya que hablamos de las
personas que están ligadas al sistema de información de forma directa y se
deberá contemplar principalmente:
MEDIOS DE CONTROL
Páá giná 23
INSTALACIONES
Páá giná 24
Definir prácticas de seguridad para el personal:
Hardware y software
Flujo de energía
Cableados locales y externos
Aplicación de los sistemas de seguridad incluyendo datos y archivos
Planificación de los papeles de los auditores internos y externos
Planificación de programas de desastre y sus pruebas (simulación)
Planificación de equipos de contingencia con carácter periódico
Control de desechos de los nodos importantes del sistema:
Política de destrucción de basura copias, fotocopias, etc.
Consideración de las normas ISO 14000
Etapas para Implementar un Sistema de Seguridad
Páá giná 25
Debe asegurar la capacidad de la organización para sobrevivir accidentes
Debe proteger a los empleados contra tentaciones o sospechas
innecesarias
Debe contemplar la administración contra acusaciones por imprudencia
* Administración
* Sistemas
ADMINISTRACIÒN
Se recopila la información para obtener una visión general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.
Páá giná 26
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del
área de informática
SISTEMAS
Descripción general de los sistemas instalados y de los que estén por instalarse
que contengan volúmenes de información.
* Manual de formas.
Páá giná 27
* Manual de procedimientos de los sistemas.
* Descripción genérica.
* Diagramas de entrada, archivos, salida.
* Salidas.
* Fecha de instalación de los sistemas.
* Proyecto de instalación de nuevos sistemas.
* En el momento de hacer la planeación de la auditoría o bien su realización,
debemos evaluar que pueden presentarse las siguientes situaciones.
* No tiene y se necesita
* No se tiene y no se necesita.
* Se tiene la información pero:
* No se usa.
* Es incompleta.
* No esta actualizada.
* No es la adecuada.
Páá giná 28
2.4.-PERSONAL PARTICIPANTE
También se deben contar con personas asignadas por los usuarios para que en el
momento que se solicite información, o bien se efectúe alguna entrevista de
comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y
Páá giná 29
complementen el grupo multidisciplinario, ya que debemos analizar no sólo el
punto de vista de la dirección de informática, sino también el del usuario del
sistema.
Lo anterior no significa que una sola persona deba tener los conocimientos y
experiencias señaladas, pero si que deben intervenir una o varias personas con
las características apuntadas.
Páá giná 30
3.1 RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL
A) Estructura Orgánica
B) Se deberá revisar la situación de los recursos humanos.
C) Entrevistas con el personal de procesos electrónicos.
D) Se deberá conocer la situación presupuestal y financiera.
E) Se hará un levantamiento del censo de recursos humanos y análisis de
situación.
F) Por último, se deberá revisar el grado de cumplimiento de los
documentos administrativos.
A) Estructura Orgánica
Jerarquías (Definición de la autoridad lineal, funcional y de asesoría)
Estructura orgánica
Funciones
Objetivos
Páá giná 31
B) Se deberá revisar la situación de los recursos humanos.
Páá giná 32
b) Análisis
c) Programadores
d) Operadores
e) Capturistas
f) Personal administrativo
- Recursos financieros
- Recursos materiales
- Mobiliario y equipo
Páá giná 33
F) Por último, se deberá revisar el grado de cumplimiento de los
documentos administrativos.
Normas y políticas
· Planes de trabajo
· Controles
· Estándares
· Procedimientos
Páá giná 34
1) Patrones de cantidad: son los que se expresan en números o en cantidades,
como número de empleados, porcentaje de rotación de empleados, numero de
admisiones, índice de accidentes, etc.
Las organizaciones suelen realizar una valoración del rendimiento con fines
administrativos y de desarrollo. Según Gómez-Mejía, Balkin & Cardy la valoración
del rendimiento se utiliza administrativamente como punto de partida para tomar
decisiones sobre las condiciones laborales de un empleado, considerando las
promociones, los despidos y las recompensas.
Páá giná 35
Ante este particular la evaluación se convierte en un proceso de mejora continua
debido a que permite proyectar acciones futuras para un mayor desarrollo del
individuo y de la organización.
Para poder identificar los puntos que van a ser evaluados dentro de una
organización, es necesario conocer cuál es la situación general de la empresa,
definir la política, establecer objetivos y obtener información sobre las
evaluaciones previas y sus resultados.
Por otro lado para obtener un diagnóstico de las situaciones de las empresas con
relación a su desempeño, se pueden hacer entrevistas, cuestionarios, informes,
documentación escrita y programas de acción.
Gómez-Mejía, Balkin & Cardy sugieren que se pueden establecer según dos
modelos:
Páá giná 36
2. En función de los factores de valor: Se trata de evaluar el desempeño según el
perfil socio profesional (habilidades, capacidades, actitudes, organización,
resolución de problemas, toma de decisiones, etc.) de cada puesto de trabajo.
Páá giná 37
1. Los errores y el sesgo de la persona que realiza la evaluación.
2. La influencia de los gustos.
3. La política de la organización.
4. El enfoque hacia el individuo o hacia el grupo.
5. Las cuestiones legales
Páá giná 38
Como punto final se puede mencionar la valoración de la gestión del rendimiento.
Enfatizan que el objetivo de la evaluación radica en gestionar y mejorar el
rendimiento de los empleados. Este hecho enfatiza el que los directivos tienen que
analizar las causas de los problemas relacionados al rendimiento, dirigir la
atención a esas causas, desarrollar planes de acción y facilitar el que los
empleados encuentren soluciones, así como utilizar una comunicación centrada
en el rendimiento.
Guía de entrevista
1.-Nombre del puesto
Ingeniero en sistemas
Páá giná 39
2.-Puesto del jefe inmediato
Directora
3.-puestos a que reporta
Directora del plantel
4.-Puestos de las personas que reportan al entrevistado
Docentes de la institución.
5.-Numero de personas que reportan al entrevistado
5 personas
6.-Describa brevemente las actividades diarias de su puesto
Atender a los alumnos en diversas actividades en el laboratorio como son :
impresiones, investigación, practicas , tres días de la semana clase a alumnos de
primeros semestre, un día de la semana exclusivo para mantenimiento de equipo
(hardware, software)
7.-Actividas periódicas
__Mantenimiento de equipo
__Limpieza y orden
__Revisión de inventario
8.-Actividades eventuales
Capacitación a docentes y alumnos (Inicio de semestre)
Exámenes en línea
Registro de calificaciones (Docentes)
Consulta de calificaciones (Alumnos)
9.-¿Con que manuales cuenta para el desempeño de su puesto?
__Manual de organización
__Manual de mantenimiento de hardware
__Instructivo de equipos
10.-¿Cuáles políticas se tienen establecidas para el puesto?
Tener el perfil para las actividades a realizar en el laboratorio.
Lic. en informática
Ing. En sistemas
11.-Señale las lagunas que considere que hay en la organización.
Páá giná 40
La insistencia en una gestión de equipo de computo para cubrir las necesidades
de la institución.
12.-En caso de que el entrevistado mencione cargas de trabajo ¿Como las
establece?
Cargas de trabajo se dan en periodos de examen y fin de semestre. (uso
frecuente de laboratorio para investigación y practica).
13.-¿Cómo las controla?
Haciendo horarios para cada grupo en los cuales se establece tiempo de
impresión, investigación y practica, pidiendo apoyo a alumnos de servicio social.
14.-¿Como se deciden las políticas que han que implementarse?
Estas políticas se deciden de acuerdo a la reforma y alas necesidades que se
presenten lo establece dirección general, dirección administrativa y dirección
académica de colegio de bachilleres del estado de Tlaxcala.
15.-¿como recibe las instrucciones de los trabajos recomendados?
En reunión de academia se toman acuerdos y posteriormente el jefe de
materia (área comunicaciones) gira un oficio anexando un cronograma de
actividades y tiempo limite. Estas reuniones se realizan en receso de semestre
con el fin de que la información sea actualizada.
16.-¿Con que frecuencia recibe capacitación y de que tipo?
La capacitación se realiza en receso de semestre tomando como base la
planeación para nuevo ingreso,. esta capacitación mas que nada es para
establecer forma de trabajo, actualizar información por medio de cursos o talleres,
de acuerdo a las asignaturas.
17.-¿Sobre que tema le gustaría recibir capacitación?
Sobre como administrar un laboratorio de informática.
18.-Mencione la capacitación obtenida y dada a su personal durante el último año.
En la actualidad lo que se pretende es apegarse a los lineamientos que
establece la RIEMS (Reforma integral del la educación media superior).
19.-¿Cómo considera el ambiente de trabajo?
Lo considero bueno y satisfactorio.
Aunque existen necesidades en esta área de trabajo pero se puede improvisar.
Páá giná 41
20.-Observaciones.
Al realizar la entrevista la relación fue de confianza y cordialidad esto nos
permitió obtener una información mas real.
Lo anterior para otorgar una opinión profesional sobre la certeza de las cifras
presupuestadas en el caso de darse los supuestos bajo los cuales fueron
estimadas o proyectadas.
3.4.1.- PRESUPUESTOS.
Recursos financieros
Páá giná 43
Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo,
y en la cantidad y calidad requerida, los bienes y servicios para cada unidad
orgánica de la empresa de que se trate, con el propósito de que se ejecuten las
tareas y de elevar la eficiencia en las operaciones.
Recursos Financieros
Páá giná 44
departamento de auditoría interna en cuanto a la supervisión y diseño de los
controles necesarios. La seguridad del área de informática tiene como objetivos:
•Proteger los activos ante desastres provocados por la mano del hombre y de
actos hostiles
•En caso de desastre, contar con los planes y políticas de contingencias para
lograr una pronta recuperación
•Contar con los seguros necesarios que cubran las pérdidas económicas encaso
de desastre. Los motivos de los delitos por computadora normalmente son por:
•Beneficio personal
•Fácil de desfalcar
•Equivocación de ego
•Mentalidad turbada Se consideran que hay cinco factores que han permitido el
incremento de los crímenes por computadora
Páá giná 45
•El aumento del número de empleados que tienen acceso a los equipos
.Se encarga de los controles de acceso que están diseñados para salvaguardar la
integridad de la información almacenada de una computadora, así como controlar
el mal uso de su información. Estos controles reducen el riesgo de caer en
situaciones adversas. seguridad lógica se encarga de controlar y salvaguardar la
información generada por los sistemas, por el software de desarrollo y por los
programas en aplicación; identifica individualmente a cada usuario y sus
actividades en el sistema, y restringe el acceso a datos, a los programas de uso
general, de uso especifico, e la redes y terminales. La falta de seguridad lógica o
su violación puede traer las siguientes consecuencias a la organización:
• Entrada de virus
Páá giná 46
defraude cometida por los empleados en el desarrollo de sus funciones. Un
método eficaz para proteger los sistemas de computación el software de control de
acceso. Estos paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a
información confidencial. El sistema integral de seguridad debe comprender:
•Elementos administrativos
Uno de los punto más importantes a considerar para poder definir la seguridad de
un sistema es el grado de actuación que puede tener un usuario dentro de un
sistema, ya que la información se encuentra en un archivo normal o en una base
de datos, o bien que se posea una minicomputadora, o un sistema de red. Para
esto podemos definir los siguientes tipos de usuarios:
Páá giná 47
•Usuario de auditoría.- Puede usar la información y rastrearla dentro del sistema
para fines de auditoría Se recomienda que solo exista un usuario propietario y que
el administrador sea una persona designada por la gerencia de informática.
○Huellas dactilares
○Patrones de la retina
○Geometría de la mano
○Dinámica de la firma
○Patrones de la voz
Ruta de acceso
Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema. Como
se ha señalado, un usuario puede pasar por uno o múltiples niveles de seguridad
antes de obtener el acceso a los programas y datos. Los tipos derestricciones de
acceso son:
• Sólo de lectura
• Sólo de escritura
•Lectura y consulta
Este puede ser definido como el software diseñado para emitir el manejo de
control y acceso a los siguientes recursos.
•Programas de librerías
Páá giná 49
•Archivos de datos
•Jobs
•Programas de aplicación
•Módulos de funciones
•Utilerías
•Diccionario de datos
•Archivos
•Programas
•Comunicación
•Definición de usuarios
Existen otros tipos de software de control de acceso como son los siguientes:
•Sistemas operativos
•Telecomunicaciones
Aplican para todos los tipos de software y recursos relacionados y sirven para:
•Cambios realizados
○Asignación de responsabilidades
Páá giná 51
Controles de software especifico
Se presentan algunos de los controles usados por los diferentes tipos de software
específico:
•Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los
usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas
no autorizadas logren el acceso.
○Los administradores de seguridad deberán ser los únicos con autoridad para
modificar funciones del sistema
○El acceso a los archivos de datos deberá ser restringido en una vista de datos
lógica
Páá giná 52
○La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software DBMS
•Software de librerías.
•Software de utilerías.
Páá giná 53
○El acceso a los archivos de datos deberá ser restringido en una vista de datos
lógica
○ Deberá controlar el acceso al diccionario de datos
○La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software DBMS
• Software de consolas o terminales maestras.
Controles que incluye:
○Los cambios realizados al software de consolas o terminales maestras
deberán ser protegidas y controlados
• Software de librerías.
Controles que incluye:
○ Tiene la facilidad de compara dos versiones de programas en código fuente y
reportar las diferencias
○ Deben limitarse el acceso a programas o datos almacenados por el software
de librerías
○ Las versiones correctas de los programas de producción deben corresponder
a los programas objetos
• Software de utilerías.
Controles que incluye:
○ Deberán restringirse el acceso a archivos de utilerías
Asegurar que únicamente personal autorizado tenga acceso a corre
aplicaciones
•Software de telecomunicaciones.
Controles que incluye:
○ Controles de acceso a datos sensibles y recursos de la red
○ El acceso diario al sistema debe ser monitoreado y protegido
Páá giná 55
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe
considerar los siguientes puntos:
PLAN DE CONTINGENCIAS
El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la
organización de requerimientos para su recuperación ante desastres. La
metodología tiene como finalidad conducir de la manera más efectiva un plan de
recuperación ante una contingencia sufrida por la organización. El plan de
contingencia es definido como: la identificación y protección de los procesos
Páá giná 56
críticos de la organización y los recursos requeridos para mantener un aceptable
nivel de transacciones y de ejecución, protegiendo estos recursos y preparando
procedimientos para asegurar la sobrevivencia de la organización encaso de
desastre.
Páá giná 59
4.9.-TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD
FÍSICA Y DEL PERSONAL
Páá giná 60
Su presencia en ambiente distribuido.
Manejo indebido por parte del operador.
Mal funcionamiento por parte de la maquina.
Plan de preservación:
documentos fuente: los documentos fuentes en los que se basa un archivo
de entrada deben ser retenidos intactos hasta el momento de que el archivo
sea comprobado.
Archivos de disco: una característica sea del archivo de disco es que el
registro anterior es destruido, no produce una copia automáticamente una
copia en duplicado.
Vacio a otros medios: esto puede ser vaciado a otros discos, o a papel de
impresión.
Páá giná 61
Pruebas de consistencia y verosimilitud.
Digito d control.
Control de distribución.
Introducción
La informática ha facilitado este hecho, pero sucede, cada vez más, que la
información que se obtiene o produce en un lugar, se precisa en otro lugar distinto,
a veces muy lejano.
Páá giná 62
En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se
denomina teleinformática: la unión de la informática y las telecomunicaciones.
Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso
de expresiones y conceptos relacionados con la teleinformática.
Páá giná 63
La tecnología utilizada para la seguridad de las computadoras y de las redes
automatizadas es la inscripción y fundamentalmente se utilizan la encripción
convencional o también conocida como encripción simétrica, que es usada para la
privacidad mediante la autentificación y la encripción public key.
Páá giná 64
datos, cumpliéndose el lema “el computador es la red”. Mientras que comúnmente
el directivo informático tiene amplios conocimientos de comunicaciones están a la
misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de
comunicaciones en el esquema organizativo existe.
Por tanto, el primer punto de una auditoría es determinar que la función de gestión
de redes y comunicaciones esté claramente definida, debiendo ser responsable,
en general, de las siguientes áreas
Páá giná 65
En una primera división, se establecen distintos riesgos para los datos que
circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de
auditarse hasta qué punto las instalaciones físicas del edificio ofrecen garantías y
han o estudiadas las vulnerabilidades existentes.
En general, muchas veces se parte del supuesto de que si no existe acceso físico
desde el exterior ala red interna de una empresa las comunicaciones internas
quedan a salvo.
Facilidades de traza y registro del tráfico de datos que posean los equipos
de monitorización.
Páá giná 66
Existen planes de contingencia para desastres que sólo afecten a las
comunicaciones, como el fallo de una sala completa de comunicaciones.
Las líneas telefónicas usadas para datos, cuyos números no deben ser
públicos, tienen dispositivos/procedimientos de seguridad tales como retro-
llamada, códigos de conexión o interruptores para impedir accesos no
autorizados al sistema informático.
Cada vez más se tiende a que un equipo pueda comunicarse con cualquier otro
equipo, de manera que sea la red de comunicaciones el substrato común que les
une. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar
indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y
por tanto, al resto de los equipos de la instalación.
Páá giná 67
5.3 SÌNTOMAS DE RIESGO
Introducción
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que
se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones
confrontan.
PREVISIÓN DE RIESGOS
EJECUCIÓN DE AUDITORÍAS
TIPOS DE RIESGO:
Riesgo de Control: Es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control
Interno.
Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el Sistema de Control Interno.
Páá giná 68
EXISTENCIA DE ERRORES O IRREGULARIDADES.
b) Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotación.
VERIFICAR FUNCIONES
Aspectos:
Páá giná 69
Sistemas Comunes de Gestión
OBJETIVOS
GESTIÓN DE RIESGOS
Servicios de Auditoría.
Páá giná 70
La cantidad y calidad de las exposiciones al riesgo referidas a la
administración, custodia y protección de los recursos disponibles, operaciones y
sistemas de información de la organización, teniendo en cuenta la necesidad de
garantizar a un nivel razonable.
OBJETIVOS
GESTIÓN DE RIESGOS
Servicios de Consultoría.
Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de
los trabajos de Consultoría en los procesos de identificación, análisis y evaluación
de las exposiciones de riesgo significativa en la organización.
Páá giná 71
5.4.- TÉCNICAS Y HERRAMIENTAS AUDITORIA
RELACIONADAS CON SEGURIDAD TELEINFORMÁTICA
Teleinformática
“La ciencia que estudia el conjunto de técnicas que es necesario usar para
poder transmitir datos dentro de un sistema informático o entre puntos de él
situados en lugares remotos o usando redes de telecomunicaciones”
Objetivos
• Reducir tiempo y esfuerzo.
• Capturar datos en su propia fuente.
• Centralizar el control.
• Aumentar la velocidad de entrega de la información.
• Reducir costos de operación y de captura de datos.
• Aumentar la capacidad de las organizaciones, a un costo incremental
razonable.
• Aumentar la calidad y la cantidad de la información.
• Mejorar el sistema administrativo
Niveles: físico
Enlace de datos
Red
Transporte
Sesión
Presentación
Aplicación.
Redes de área local
Red Internet y su protocolo TCP/IP
Programas de Comunicación y Gestión de Red.
Utilizando Técnicas teleinformáticas:
Páá giná 72
• Para mejorar el control, descentralizando la captura de datos y
centralizando su procesamiento.
• En los casos en que es necesario disminuir riesgos en el procesamiento
de la información
• Cuando sea menester mejorar la actividad de planificación en la
organización.
EVALUACIÓN DE RIESGOS
Páá giná 73
2. Las amenazas que dichos bienes pueden sufrir proceden del medio informático
(por ejemplo, copia no autorizada de esos datos)
3. Por tanto, los mecanismos de protección también deben ser informáticos (por
ejemplo, restricciones de acceso a dichos datos).
Así, asociamos el concepto de seguridad exclusivamente a mecanismos
relativamente sofisticados de control informático, como pueden ser entrada
restringida al sistema, denegación de privilegios de lectura y modificación de
ficheros, cifrado de las comunicaciones, o protección de las redes mediante
cortafuegos.
Son muchos los agentes que pueden acabar con la buena salud de nuestro
hardware (una sobrecarga de tensión, un pequeño accidente) o incluso hacerlo
desaparecer (un robo, un incendio).
Páá giná 74
Además existe otra serie de agentes que pueden tener origen humano y que
también tienen la capacidad deteriorar seriamente o destruir la funcionalidad de
nuestros equipos, como las sobrecargas de tensión, los campos
electromagnéticos fuertes o los movimientos bruscos.
Por último, los desastres como el fuego, las inundaciones, las explosiones o los
terremotos tienen para los ordenadores las mismas consecuencias devastadoras
que para la generalidad de los equipos eléctricos y electrónicos. En el caso del
agua, a los daños que pueden sufrir los equipos hay que añadir el riesgo de
electrocución para el personal que los manipula.
Páá giná 75
Por ello es absolutamente necesario que el primer paso a dar para asegurar
físicamente nuestras instalaciones sea formular un plan escrito de las
necesidades de seguridad física y de las medidas destinadas a cubrirlas en el
futuro.
Este plan debe incluir los siguientes elementos:
• Descripción de los dispositivos físicos a proteger, incluyendo
ordenadores,
periféricos, cables, conexiones, soportes de datos, etc.
• Descripción del área física en el que están localizados esos dispositivos.
• Descripción del perímetro de seguridad y de sus posibles agujeros.
• Descripción de las amenazas contra las que nos queremos proteger, incluyendo
una
estimación de su probabilidad.
• Descripción de nuestras defensas.
• Enumeración de los medios para mejorarlas.
• Estimación del coste de las mejoras.
Páá giná 76
3. Cuerpo expositivo
Páá giná 77
La consolidación de los hechos debe satisfacer, al menos, los siguientes criterios
básicos:
1.Hecho encontrado
Páá giná 78
3. Repercusión del hecho
Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y
verificada su implementación.
Páá giná 79
Se destina exclusivamente al responsable máximo de la empresa, o a la persona
concreta que encargó o contrató la misma, o a la persona en quién ella hubiese
delegado expresamente.
Así como pueden existir tantas copias del Informe Final como solicite el cliente,
siempre que éste especifique los nombres de los destinatarios, la Auditoría no
hará copias de la citada Carta de Introducción.
Páá giná 80
Párrafos: En cada párrafo debe tratarse un solo asunto. Cada párrafo debe tener 8
ó 10 líneas como máximo. Cuando exceda de esta cantidad, se dividirá en dos.
Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por
el verbo. Por ello, cada frase contendrá un verbo, dos como máximo.
No deben cambiarse verbos por nombres. No se debe escribir "... hemos realizado
un examen..."; hay que escribir "... hemos examinado...".
Otros:
INFORME DE AUDITORÍA
El informe es el documento escrito mediante el cual la comisión de auditoría
expone el resultado final de su trabajo, a través de juicios fundamentados en las
evidencias obtenidas durante la fase de ejecución, con la finalidad de brindar
Páá giná 81
suficiente información a los funcionarios de la entidad auditada y estamentos
pertinentes, sobre las deficiencias o desviaciones más significativas, e incluir las
recomendaciones que permitan promover mejoras en la conducción de las
actividades ú operaciones del área o áreas examinadas.
. INTRODUCCIÓN.
Comprenderá información general concerniente a la acción de control y a la
entidad examinada.
1. Origen del Examen
Referido a los antecedentes o razones que motivaron la acción de control,
es el caso de: planes anuales de control, denuncias, solicitudes (del titular de la
entidad, de la CGR, del Congreso, etc.), entre otros; debiendo hacerse mención al
documento y fecha de acreditación.
5. Comunicación de hallazgos
Se deberá indicar haberse dado cumplimiento a la comunicación oportuna
de los hallazgos efectuada al personal que labora o haya laborado en la entidad
comprendido en ellos. Asimismo, se indicará la inclusión de un Anexo en el
Informe con la relación del personal al servicio de la entidad examinada,
finalmente considerado en las observaciones contenidas en el mismo,
Páá giná 84
consignándose en dicha nómina los nombres y apellidos, documento de identidad,
cargo(s) desempeñado(s), periodo(s) de gestión, condición laboral y domicilio
correspondientes, con indicación de aquellas en que estuvieren incursos en cada
caso.
6. Memorándum de Control Interno
Páá giná 85
e) Eventos posteriores a la ejecución del trabajo de campo que hayan sido de
conocimiento de la comisión auditora y que afecten o modifiquen el
funcionamiento de la entidad o de las áreas examinadas.
Si algunos de los aspectos considerados en este punto por la comisión auditora
demandara una exposición o desarrollo extenso, será incluido como anexo del
Informe. Dichos aspectos, podrán lugar a la formulación de conclusiones y
recomendaciones, si hubiera mérito para ello.
II. OBSERVACIONES
III. La Comisión Auditora desarrollará las observaciones que, como
consecuencia del trabajo de campo y la aplicación de procedimientos,
hayan sido determinadas como tales, una vez concluido el proceso de
evaluación y contrastación de los hallazgos comunicados con los
comentarios y/o aclaraciones formulados por el personal comprendido en
los mismos, así como la documentación y evidencia sustentatoria
respectiva.
IV. Las observaciones se deberán referir a hechos o situaciones de carácter
significativo y de interés para la entidad examinada, cuya naturaleza
deficiente permita oportunidades de mejora y/o corrección, incluyendo
información suficiente y competente relacionada con los resultados de la
evaluación efectuada a la gestión de la entidad examinada.
V. Se presentarán de forma ordenada, lógica y numerada correlativamente,
evitando el uso de calificativos innecesarios y describiendo apropiadamente
sus elementos o atributos característicos. Se debe considerar aspectos
esenciales: Sumilla, Elementos de la observación, comentarios y/o
aclaraciones y su evaluación.
Sumilla
Es el título o encabezamiento que identifica el asunto materia de
observación.
2. Elementos de la observación
Páá giná 86
Condición: Hecho o situación deficiente detectada.
Criterio: Norma, disposición o parámetro de medición aplicable al hecho
observado.
Efecto: Consecuencia real o potencial, cuantitativa o cualitativa,
ocasionada por el hecho o situación observada, indispensable para establecer su
importancia y recomendar a la entidad que adopte las acciones correctivas
requeridas.
Causa: Motivo que dio lugar el hecho o situación observada, cuya
identificación requiere de la habilidad y juicio profesional de la comisión auditora y
es necesaria para la formulación de una recomendación constructiva que
prevenga la recurrencia de la condición.
3. Comentarios y/o aclaraciones del personal comprendido en las
observaciones
Son las respuestas brindadas a la comunicación de los hallazgos
respectivos, por el personal comprendido en la observación, las cuales deben ser
expuestas brevemente, indicándose si se acompañó documentación sustentatoria.
De no haber respuesta a la comunicación de hallazgos o de ser extemporánea, se
referenciará dicha circunstancia.
4. Evaluación de los comentarios y/o aclaraciones
Es el resultado del análisis realizado por la comisión auditora sobre los
comentarios y/o aclaraciones y documentación presentada por el personal
comprendido en la observación, debiendo sustentarse los argumentos invocados y
consignarse la opinión resultante de dicha evaluación.
Dicha opinión incluirá al término del desarrollo de cada observación, la
determinación de responsabilidades administrativas a que hubiera lugar, de haber
mérito para ello.
En caso de considerarse la existencia de indicios razonables de la comisión
de delito o de perjuicio económico, se dejará constancia expresa que tal aspecto
es tratado en el Informe Especial correspondiente.
III. CONCLUSIONES
Páá giná 87
Se indicarán los juicios de carácter profesional, basados en las
observaciones establecidas, que se formulan como consecuencia del examen
realizado a la entidad auditada. Al final de cada conclusión se identificará el
número de la(s) observacione(s) correspondiente(s) a cuyos hechos se refiere.
La comisión auditora, en casos debidamente justificados, podrá formular
conclusiones sobre aspectos distintos a las observaciones, verificados en el curso
del trabajo, siempre que éstos hayan sido expuestos en el Informe.
IV. RECOMENDACIONES
Constituyen medidas específicas y posibles que, con el propósito de mostrar los
beneficios que reportará la acción de control, se sugieren a la administración de la
entidad para promover la superación de las causas y las deficiencias evidenciadas
durante el examen. Estarán dirigidas al Titular o en su caso a los funcionarios que
tengan competencia para disponer su aplicación.
Las recomendaciones se formularán con orientación constructiva para propiciar el
mejoramiento de la gestión de la entidad y el desempeño de los funcionarios y
servidores públicos a su servicio, con énfasis en contribuir al logro de los objetivos
institucionales dentro de parámetros de economía, eficiencia y eficacia; aplicando
criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de
costo proporcional a los beneficios esperados.
Para efecto de su presentación, las recomendaciones se realizarán siguiendo el
orden jerárquico de los funcionarios responsables a quienes va dirigida,
Páá giná 88
referenciándolas en su caso a las conclusiones, o aspectos distintos a éstas, que
las han originado.
V. ANEXOS
FIRMA
El Informe una vez efectuado el control de calidad correspondiente previo a su
aprobación, deberá ser firmado por el Jefe de Comisión, el Supervisor y el nivel
gerencial competente de la CGR. En el caso de los Órganos de Auditoría Interna
del SNC, por el Jefe de Comisión, el Supervisor y el Jefe del respectivo órgano.
Los Informes emitidos por las SOA’s serán suscritos por el socio participante y
auditor responsable de la auditoría.
De ameritarlo por la naturaleza y contenido del Informe, también será suscrito por
el abogado u otro profesional y/o especialista participante en la acción de control.
Páá giná 89
Excepciones del alcance
a) En la formulación de los Informes de Auditoría Financiera (Informe Corto o
Dictamen), se tendrán en cuenta las NAGA’s, las NIA’s y las disposiciones
emitidas por los organismos oficiales competentes sobre la materia.
b) Para la formulación de los informes de auditoría de los préstamos y
donaciones de Organismos Internacionales (BID, BIRF, AID, USAID, Banco
Mundial, etc.) o similares, serán aplicables las normas y requisitos legales
pertinentes para el efecto.
Síntesis Gerencial
Adicionalmente al Informe de la acción de control, podrá emitirse una “Síntesis
Gerencial del Informe”, de contenido necesariamente breve y preciso.
La Alta Dirección de la CGR y el Titular del Órgano de Auditoría Interna, según el
caso y dentro de su ámbito de competencia, podrán eximir a la comisión auditora
de la emisión de dicha síntesis.
Conforme a los alcances de la NAGU 4.50
Cuando en la ejecución de la acción de control se evidencien indicios razonables
de la comisión de delito, la comisión auditora, en cautela de los intereses del
Estado, sin perjuicio de la continuidad de la respectiva acción de control, y previa
evaluación de las aclaraciones y comentarios a que se refiere la NAGU 3.60,
emitirá con la celeridad del caso, un informe especial con el debido sustento
técnico y legal.
El objetivo de la presente norma es garantizar y facilitar la oportuna, efectiva y
adecuada implementación de las acciones correctivas legales pertinentes en los
casos que, durante el desarrollo de la acción de control, se evidencien indicios
razonables de comisión de delito así como, excepcionalmente, la existencia de
perjuicio económico no sujeto a recupero administrativo.
Páá giná 90
Su aplicación permitirá a la comisión auditora, a través de su personal responsable
y especializado competente, realizar apropiada y oportunamente su labor a en los
casos indicados, basada en su opinión profesional debidamente sustentada en los
respectivos fundamentos técnicos y legales aplicables. En ejercicio de las
atribuciones establecidas en la Ley del SNC, la comisión auditora formulará el
Informe Especial para revelar específicamente, con orden y claridad, los hechos y
circunstancias que configuran la presunta responsabilidad penal o civil, las
consideraciones jurídicas que los califican y las pruebas sustentatorias
correspondientes, recomendando la adopción de las acciones legales respectivas
por la instancia competente.
DENOMINACIÓN
El Informe será denominado “Informe Especial”, con indicación de los datos
correspondientes a su numeración e incluyendo adicionalmente un título, el cual
deberá ser breve, específico y estar referido a la materia abordada en el informe.
En ningún caso, incluirá información confidencial o nombres de personas.
ESTRUCTURA
I. INTRODUCCIÓN
II. FUNDAMENTOS DE HECHO
III. FUNDAMENTOS DE DERECHO
IV. IDENTIFICACIÓN DE PARTÍCIPES EN LOS HECHOS
V. PRUEBAS
VI. RECOMENDACIÓN
ANEXOS
Páá giná 91
I. INTRODUCCIÓN
Origen, motivo y alcance de la acción de control, con indicación del Oficio de
acreditación o, en su caso, de la Resolución de Contraloría de designación,
entidad, periodo, áreas y ámbito geográfico materia de examen, haciendo
referencia a las disposiciones que sustentan la emisión del Informe Especial (Ley
del SNC y NAGU 4.50), así como su carácter de prueba preconstituida para el
inicio de acciones legales.
II. FUNDAMENTOS DE HECHO
Breve sumilla y relato ordenado y objetivo de los hechos y circunstancias que
constituyen indicios de la comisión de delito o responsabilidad civil, en su caso,
con indicación de los atributos: condición, criterio, efecto y causa, cuando esta
última sea determinable, incluyéndose las aclaraciones o comentarios que
hubieran presentado las personas comprendidas, así como el resultado de la
evaluación de los mismos; salvo los casos de excepción previstos en la NAGU
3.60, debiendo incidirse en la materialidad y/o importancia relativa, así como el
carácter doloso de su comisión, de ser el caso. En los casos de responsabilidad
penal, los hechos serán necesariamente revelados en términos de indicios.
Tratándose responsabilidad civil, el perjuicio económico deberá ser cuantificado,
señalándose que el mismo no es materialmente posible de recupero por la entidad
en la vía administrativa.
III. FUNDAMENTOS DE DERECHO
Análisis del tipo de responsabilidad que se determina, sustentando la tipificación
y/o elementos antijurídicos de los hechos materia de la presunta responsabilidad
penal y/o responsabilidad civil incurrida, con indicación de los artículos pertinentes
Páá giná 92
del Código Penal y/o civil u otra normativa adicional considerada, según
corresponda, por cada uno de los hechos, con la respectiva exposición de los
fundamentos jurídicos aplicables. De haber sido identificado, se señalará el plazo
de prescripción para el inicio de la acción penal o civil.
V. PRUEBAS
Identificación de las pruebas en forma ordenada y detallada por cada hecho,
refiriendo el anexo correspondiente en que se adjuntan, debidamente autenticadas
en su caso.
Páá giná 93
Adicionalmente, de ser pertinente, se incluirá el Informe Técnico de los
profesionales especializados que hubieren participado en apoyo a la Comisión
Auditora, el cual deberá ser elaborado con observancia de las formalidades
exigibles para cada profesión (Ejemplos: tasación, informe de ingeniería, informe
bromatológico, informe grafotécnico, etc.).
VI. RECOMENDACIÓN
Este rubro consigna la recomendación para que se interponga la acción legal
respectiva, según el tipo de responsabilidad determinada, penal o civil, la cual
deberá estar dirigida a los funcionarios que, en razón a su cargo o función, serán
responsables de la correspondiente autorización e implementación para su
ejecución.
Si la acción de control es realizada por la CGR o por las SOA’s designadas o
autorizadas, el Informe Especial recomendará al nivel correspondiente, el inicio de
los órganos que ejerzan la representación legal para la defensa judicial de los
intereses del Estado en dicha entidad.
Cuando se considere que existan razones justificadas para ello, podrá
recomendarse alternativamente, se autorice al Procurador Público encargado de
los asuntos judiciales de la CGR, el inicio de las acciones legales que
corresponda. En este último caso, el Informe Especial será puesto en
conocimiento del Titular de la entidad auditada, en la misma fecha de iniciada la
acción legal, siempre que el titular no se encuentre comprendido en los indicios de
la comisión de delito o en la responsabilidad civil establecida. De encontrarse
comprendido el Titular de la entidad el Informe se remitirá al Titular del Sector, u
Páá giná 94
otro estamento que resulte competente de no pertenecer la entidad a ningún
Sector.
VII. ANEXOS
Contienen las pruebas que sustentan los hechos que son materia del Informe
Especial. Necesariamente deben ser precedidos de una relación que indique su
numeración y asunto a que se refiere cada anexo, guardando un debido
ordenamiento a la exposición de los hechos contenidos en el Informe.
En tales casos, se deberá incluir como Anexo N° 01, la nómina de las personas
identificadas como partícipes en los hechos revelados, con indicación de su cargo,
documento de identidad, periodo de desempeño de la función y domicilio
NIVELES DE APROBACIÓN DEL INFORME ESPECIAL
1. El Informe Especial formulado por la comisión auditora de la CGR, será
suscrito por el auditor y/o abogado interviniente(s), el Jefe de Comisión, el
Supervisor y los niveles gerenciales competentes.
2. El Informe Especial formulado por el OAI del SNC será suscrito por el
auditor y/o abogado, Jefe de Comisión y Supervisor interviniente(s), según sea el
caso, así como por el Titular del respectivo órgano. Cuando por razones de
capacidad operativa, alguna de dichas funciones haya recaído en una misma
persona, se referirá el cargo de mayor nivel de responsabilidad.
3. Tratándose de SOA’s designadas o autorizadas por la CGR, el Informe
Especial que pudiera formularse será suscrito por el abogado y socio participante.
Páá giná 95
SITUACIONES ESPECIALES
- Cuando se determine la existencia de perjuicio económico que a juicio de la
comisión auditora sea susceptible de ser recuperado en la vía
administrativa, los hechos relativos a dicho perjuicio económico seguirán
siendo tratados por la comisión auditora y revelados en el correspondiente
informe de la acción de control, recomendándose en el mismo las medidas
inmediatas para materializar dicho recupero.
- Cuando se determine que en los hechos que constituyen los indicios
razonables de comisión de delito y/o responsabilidad civil, los partícipes son
únicamente terceros y no funcionarios o servidores que presten o hayan
prestado servicios en la entidad, tales hechos serán revelados en el informe
de la acción de control, recomendando en éste las acciones
correspondientes.
- De ser necesario se podrá formular más de un Informe Especial emergente
de la misma acción de control, siempre que resulte justificado por la
conveniencia procesal de tratar por separado los hechos de connotación
penal y los relativos a responsabilidad civil, así como en razón de la
oportunidad de la acción legal respectiva o no ser posible la acumulación.
En todos los casos que se produzca la emisión de un Informe Especial, la
Comisión Auditora será responsable que el correspondiente informe de la acción
de control contenga las referencias necesarias sobre dicha emisión y las
recomendaciones orientadas a corregir las causas que dieron lugar a los hechos
contenidos en el Informe Especial.
QUE LOS INFORMES DE AUDITORÍA CONTENGAN LA REALIDAD DE LOS
HECHOS INSTAR A LAS AUTORIDADES, FUNCIONARIOS, SERVIDORES Y
USUARIOS UN USO TRANSPARENTE DE LOS RECURSOS.
Páá giná 96
VI.4 FORMATO DEL INFORME
Páá giná 97
Páá giná 98
Páá giná 99
Carta de introducción o presentación del informe final
Páá giná 100
• La carta de introducción tiene especial importancia porque en ella ha de
resumirse la auditoría realizada.
• Así como pueden existir tantas copias del informe Final como solicite el
cliente, la auditoría no hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
Tendrá como máximo 4 folios.
Incluirá fecha, naturaleza, objetivos y alcance.
Cuantificará la importancia de las áreas analizadas.
Proporcionará una conclusión general, concretando las áreas de gran
debilidad.
Presentará las debilidades en orden de importancia y gravedad.
En la carta de Introducción no se escribirán nunca recomendaciones.
CONCLUSIONES
BIBLIOGRAFIA