Documente Academic
Documente Profesional
Documente Cultură
Contabilidad
El principal objetivo de la contabilidad es proporcionar la
información financiera de una empresa o entidad, la cual
debe ser clara, completa y fiable sobre sus actividades
económicas, y la situación de sus activos y pasivos. Estas
informaciones se presentan en forma de informes
financieros, como el balance general, estado de resultados,
estado de cambios en el patrimonio neto (también llamado
estado patrimonio neto), y el estado de flujos de efectivo.
Los usuarios internos de los informes contables son
gerentes, propietarios y empleados. Los usuarios externos
de los informes contables son los inversionistas, acreedores
y el gobierno.
Contabilidad en el caso de la teneduría de libro, implica el
manejo de las transacciones financieras diarias de una
empresa. Esto incluye funciones muy diversas que van
desde los registros de las entradas de los ingresos, como
también los pagos salientes. Algunas de las funciones
incluyen las cuentas por cobrar, conciliación bancaria,
Preparación de los estados financieros, cuenta por pagar,
tesorería, entre otras
Auditoría
La auditoría es el proceso de examinar los estados
financieros y los registros subyacentes de la empresa con el
fin de emitir una opinión sobre si los estados financieros
están presentados razonablemente y han cumplido con las
normas contables (NIC/NIIF). Por lo general, las auditorías
financieras se realizan a petición de una empresa para
garantizarle la integralidad y objetividad de la información a
los diferentes usuarios (es decir, internos y externos). El
principal objetivo de una auditoría es llevar a cabo la
evaluación a fondo de los registros financieros de una
empresa y proporcionar los informes con recomendaciones
de mejora sobre la base de esa evaluación.
El proceso de auditoría es un examen en profundidad de
cada transacción financiera realizado por un contador o
firma de contabilidad, cumpliendo las normas de auditoría (
NIAS/NAGAS), y abarca el total de las cuentas contable al
cierre de año. Tras la finalización de la auditoría
independiente, el auditor culmina con la emisión de un
documento, denominado dictamen, en el cual se expresa su
opinión acerca del cumplimiento de la información
financiera que evalúa con las normas de contabilidad
aplicables a la misma, si éstos son razonablemente
presentados o no”.
A continuación algunos
tipos de auditorías:
Auditoría Financiera: es el examen que realiza el auditor
para ofrecer el máximo nivel de seguridad de que los
estados financieros se ajustan las normas de contabilidad
(NIC/NIIF).
Principios de Auditoría
Autor: O.Ray Whittington. Kurt Pany
NAGAS y NIAS
Contabilidad ( Undécima edición)
Irwin- McGraw-Hill
CIVILES por delitos e infracciones debidos a
negligencia, impericia, abuso de confianza o dolo, tanto
en los resultados encontrados como en la realización de
la auditoría misma
En el dictamen de auditoría, el auditor puede establecer las posibles
infracciones, delitos y transgresiones que llegara a detectar por parte de
ejecutivos o empleados en perjuicio de los bienes de la empresa o de
terceros. Por esta razón, las observaciones que reporte siempre deben
estar perfectamente asentadas y formalmente comprobadas, ya que puede
darse el caso de que tenga que presentar dichas observaciones como
evidencias de los hechos reportados. Incluso se pueden aprovechar los
resultados de este documento para corroborar la comisión y existencia de
algún ilícito.
Por otro lado, y derivado del resultado de la emisión del informe, también
se pue- den fundamentar acusaciones en contra del auditor que realizó la
auditoría, ya sean por supuestas o verdaderas acciones de negligencia
profesional, impericia en el desempeño de las actividades encomendadas,
abuso de confianza, actuación con dolo o cualquier otra infracción que el
auditor cometa en detrimento de la institución a la que está auditando
PENALES por delitos de fraude, robo, abuso de
confianza, encubrimiento, revelación del secreto y
responsabilidad profesionales por parte
del auditado y del propio auditor
La afectación a los bienes patrimoniales de una empresa puede ser alguno
de los resultados de un dictamen de auditoría, debido a que con la
aplicación de exámenes y métodos de revisión a los resultados, las
operaciones y actividades de dicha empresa, se pueden evidenciar
deficiencias en el manejo de los bienes institucionales, lo cual sería delito
penal en caso de que sean voluntarias, o negligencias en caso de ser
involuntarias; este caso puede tener como consecuencia responsabilidad
civil, pero también puede convertirse en penal.
Por eso el dictamen del auditor es tan importante, ya que con él se
pueden evidenciar delitos de carácter penal, tales como fraudes a los
bienes de la institución, robos en todos los sentidos, abuso de confianza,
encubrimiento de acciones fraudulentas, revelación de secretos
profesionales y otros delitos de similar afectación patrimonial, los cuales
son cometidos tanto por el personal auditado como por el propio auditor
al no reportarlos.
LABORALES Por las faltas detectadas al
reglamento interno de la institución
Además de que las situaciones determinadas por el auditor
pudieran ser consideradas como delitos de tipo penal, fiscal,
civil o judicial, según los resultados de su evaluación a las
actividades y operaciones que se realizan en la empresa,
también se pueden determinar otro tipo de deficiencias, no
tan graves, pero que pueden provocar algunas infracciones
que afectan a la Ley
Criterios y responsabilidades del auditor en
la presentación de resultados a terceros
Accionistas e inversionistas de la empresa auditada
• Auditoría externa
Auditoría administrativa
Auditoría operacional
Auditoría integral
Auditoría gubernamental
Auditoría de sistemas
Auditoría financiera
(contable)
Es la revisión sistemática, explorativa y crítica que realiza un
profesional de la contabilidad a los libros y documentos
contables, a los controles y registros de las operaciones
financieras y a la emisión de los estados financieros de una
empresa, con el fin de evaluar y opinar sobre la razonabilidad,
veracidad, con- fiabilidad y oportunidad en la emisión de los
resultados financieros obtenidos durante un periodo específico o
un ejercicio fiscal. El propósito final es emitir un dictamen
contable sobre la correcta presentación de los resultados finan-
cieros a los accionistas, clientes, autoridades fiscales y terceros
interesados, en relación con las utilidades, pago de impuestos
y situación financiera y econó- mica de la institución.
Auditoría administrativa
Es la revisión sistemática y exhaustiva que se realiza a la
actividad administritiva de una empresa, en cuanto a su
organización, las relaciones entre sus integrantes y el
cumplimiento de las funciones y actividades que regulan sus
operaciones. Su propósito es evaluar tanto el desempeño
administrativo de las áreas de la empresa, como la
planeación y control de los procedimientos de operación, y
los métodos y técnicas de trabajo establecidos en la institución,
incluyendo la observancia de las normas, políticas y reglamentos
que regulan el uso de todos sus recursos.
Auditoría operacional
Es la revisión exhaustiva, sistemática y específica que se realiza a
las actividades de una empresa, con el fin de evaluar su
existencia, suficiencia, eficacia, eficiencia y el correcto
desarrollo de sus operaciones, cualesquiera que éstas sean,
tanto en el establecimiento y cumplimiento de los métodos,
tecnicas y procedimientos de trabajo necesarios para el desarrollo
de sus operaciones, en coordinación con los recursos disponibles,
como en las normas, políticas, lineamientos y capacitación que
regulan el buen funcionamiento de la empresa.
Auditoría integral
Es la revisión exhaustiva, sistemática y global que realiza un
equipo multidisciplinario de profesionales a todas las
actividades y operaciones de una empresa, con el propósito
de evaluar, de manera integral, el correcto desarrollo de las
funciones en todas sus áreas administrativas, cualesquiera que
éstas sean, así como de evaluar sus resultados conjuntos y
relaciones de trabajo, comunicaciones y procedimientos
interrelacionados que regulan la realización de las actividades
compartidas para alcanzar el objetivo institucional; dicha revisión
se lleva a cabo también a las normas, políticas y lineamientos sobre
el uso de todos los recursos de la empresa.
Auditoría gubernamental
Es la revisión exhaustiva, sistemática y concreta que se realiza a
todas las actividades y operaciones de una entidad
gubernamental, cualquiera que sea la naturaleza de las
dependencias y entidades de la Administración Pública. Esta
revisión se ejecuta con el fin de evaluar el correcto desarrollo de las
funciones de todas las áreas y unidades administrativas de
dichas entidades, así como los métodos y procedimientos
que regulan las actividades necesarias para cumplir con los
objetivos gubernamentales, estatales o municipales; también
se lleva a cabo en la aplicación y cumplimiento de
presupuestos públicos, programas, normas, políticas y
lineamientos que regulan la participación de los recursos de la
entidad en la prestación de servicios a la sociedad.
Auditoría informática
Es la revisión técnica, especializada y exhaustiva que se realiza a
los sistemas computacionales, software e información utilizados
en una empresa, sean individuales, compartidos y/o de redes, así
como a sus instalaciones, telecomunicaciones, mobiliario, equipos
periféricos y demás componentes. Dicha revisión se realiza de
igual manera a la gestión informática, el aprovechamiento de sus
recursos, las medidas de seguridad y los bienes de consumo
necesarios para el funcionamiento del centro de cómputo. El
propósito fundamental es evaluar el uso adecuado de los sistemas
para el correcto ingreso de los datos, el procesamiento adecuado
de la información y la emisión oportuna de sus resultados en la
institución, incluyendo la evaluación en el cumplimiento de las
funciones, actividades y operaciones de funcionarios, empleados
y usuarios involucrados con los servicios que proporcionan los
sistemas computacionales a la empresa.
Auditorías especializadas
en áreas específicas
Auditoría al área médica(evaluación médico-sanitaria)
Auditoría fiscal
Auditoría laboral
Auditoría ambiental
Auditoría de sistemas
Unidad 1
1 Conocerá el concepto de Auditoría informática
Justificación
Objetivos
Ejemplos
Concepto de Informática
Es el tratamiento racional, automático y adecuado de la
información, por medio del computador, para lo cual se
diseñan y desarrollan estructuras y aplicaciones especiales
buscando seguridad e integridad. En el contexto de la
informática la información constituye un recurso de
gran valor y se busca mantenerla y utilizarla de la mejor
manera.
Conceptos de Auditoria
Es la revisión independiente de alguna o algunas
actividades, funciones especificas, resultados u operaciones
de una entidad administrativa, realizada por un profesional
de la auditoria, con el propósito de evaluar su correcta
realización y, con base a dicho análisis, poder emitir una
opinión sobre la razonabilidad de los Estados Financieros y
el cumplimiento de sus obligaciones.
Primero: ¿Que es la
auditoría?
Es la revisión independiente que
realiza un auditor profesional,
aplicando técnicas, métodos y
procedimientos especializados, a fin
de evaluar el cumplimiento de
funciones, actividades, tareas y
procedimientos de una organización,
así como dictaminar sobre el
resultado de dicha evaluación.
Muñoz (2002,34)
Administración de la
Configuración de
Bases de Datos
Justificación
Aumento de la
vulnerabilidad
Automatización
Beneficios para
de los procesos y
alcanzar los
prestación de
objetivos
servicios
Recursos
TIC´s
Información
Aumento de la
como recurso
productividad
estratégico
Magnitud de
los costos e
inversiones
TIC
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la
Gestión de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto específico, el cual
puede estar representado por
pérdidas y daños.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la
Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible: fallas,
ingresos no autorizados a las áreas de
computo, virus, uso inadecuado de
activos informáticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación.
Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Y...¿Qué es el control
interno?
Es un proceso, mediante el cual la
administración, los directivos y/o la alta
gerencia le proporcionan a sus
actividades, un grado razonable de
confianza, que le garantice la consecución
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la información financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organización medidas preventivas,
detección y corrección de errores, fallos y
fraudes o sabotajes
Controles internos para la
seguridad del área de sistemas
Seguridad física
Seguridad de las bases de datos
Identificación de los riesgos y amenazas para el sistema, con el fin de adoptar las
medidas preventivas necesarias
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
Confidencialidad
(Daños intencionales o no)
Integridad
Objetivos: Desafío, Disponibilidad
ganancia financiera/política,
daño Pérdida de
•Dinero
Causa Física (Natural o no)
•Clientes
•Imagen de la Empresa
Tratar de evitar el
Cuando fallan los
hecho
preventivos para
tratar de conocer
Disuasivos Preventivos cuanto antes el
evento
Amenaza o
Riesgo
Vuelta a la Tmin
normalidad cuando
se han producido Detectivo Correctivo
incidencias
Normas de Auditoría Informática
disponibles Guía de auditoria del
sistema de gestión de
COSO (Committee of Sponsoring
seguridad de la información
Organizations of the Treadway
para su protección.
Commission, EEUU 1992).
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
• Auditoria de computadora
•Auditoria de la seguridad de
Indicadores
de Indicadores Metas de Directrices Prácticas de
Desempeño Meta Actividades de Control
Auditoría
Modelo de Madurez
Traducción Implementación
Las mejores prácticas de TI se han vuelto
significativas debido a un número de factores:
Evaluación del
Procedimientos cumplimiento de los
objetivos de control basados Objetivos de
de Selección del
Software en la Norma COBIT Control
¿DOMINIO?
Establecimiento
inadecuado de los
(PO) Planear y (AI1) Identificar
requerimientos Organizar soluciones automatizadas
funcionales
•0 •1 •2 •3 •4 •5
Subutilización de instalaciones.
Trabajo no productivos.
FASES DE LA AUDITORÍA
Procedimientos que no justifican su costo.
Metas.
Programas de trabajo de auditoría.
Planes de contratación de personal y presupuesto
financiero.
Informes de actividades.
REVISIÓN PRELIMINAR
Cuestionarios iniciales
Entrevistas
Documentación narrativa
REVISIÓN PRELIMINAR
Los papeles de trabajo son registros que mantiene el auditor de los procedimientos aplicados,
pruebas desarrolladas, información obtenida y conclusiones pertinentes a que se llegó en el
trabajo. Algunos ejemplos de papeles de trabajo son los programas de auditoría, los análisis,
los memorandos, las cartas de confirmación y declaración, resúmenes de documentos de la
compañía y cédulas o comentarios preparados u obtenidos por el auditor. Los papeles de
trabajo también pueden obtener la forma de información almacenada en cintas, películas u
otros medios.
Caso para análisis:
El día anterior al cierre del mes, se presentó una incidencia en la
División de Informática: Uno de los equipos de comunicación E1,
instalado por el proveedor de acceso a internet, falló en forma
inesperada, por lo que se perdió la conectividad de los clientes al sitio
Web de la empresa, durante 4 horas, hasta que se pudo obtener el
soporte del mismo. Al revisar el equipo, se encontró que los
componentes electrónicos se dañaron por la falla del fusible de un UPS
que había sido reportado como dañado 15 días antes. Al revisar en
bodega, se tenía existencia de dicho fusible. Al consultar al personal
técnico, informaron que por tratarse de equipos externos, no tenían
autorización para acceder o manipular el mismo, por lo que se
limitaron a reportarlo. Adicionalmente, por norma de la empresa, si un
equipo no está registrado en el inventario, no puede comprársele
ningún tipo de repuesto o aplicarle servicio. Se le solicita:
Guía de la auditoria.
Índices
Asientos de Ajustes
Reclasificación
Consideraciones
Control
Confidencialidad
Propiedad
Procesamientos Electrónico
de Datos
Conocimiento
Utilización
Apoyo
Complejidad
CEDULA DE ANÁLISIS DE NOMBRE DE LA EMPRESA
Fecha de Realización Hora de Inicio Nombre del Evaluador
Area Evaluada:
Documento Evaluado: ¥
Preguntas abiertas.
Preguntas cerradas.
Preguntas dicotómicas.
Preguntas tricotómicas.
De opción múltiple
Preguntas testigo.
Preguntas Matriz.
Instrumentos de recopilación de Información aplicables en
la A.S.
Entrevistas
¿Están en funcionamiento?
¿Se actualizan?
Características de fondo
Características de forma
Características de la presentación
del informe
Claridad Oportunidad
Confiabilidad Precisión
Propiedad Exactitud
Concisión Imparcialidad
Sencillez Objetividad
Acertividad Congruencia
Ilación Familiaridad
Tono y fuerza Veracidad
Sintaxis Efectividad
Estructura del informe de auditoria
de sistemas computacionales
Oficio de Presentación
Introducción
Dictamen de la Auditoria
Situaciones Encontradas
Situaciones Relevantes
Anexos
DICTAMEN
SITUACIONES ENCONTRADAS
SITUACIONES RELEVANTES
CONCLUSIONES
El auditor informático ha de velar por la correcta
utilización de los recursos de T.I.
Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como
a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los
valores y expectativas del negocio.
Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el
proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.
Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no
estructurados, gráficos, sonido, etc.
Niveles de Cobit:
La estructura del estándar Cobit se divide en dominios que
son agrupaciones de procesos que corresponden a una
responsabilidad personal, procesos que son una serie de
actividades unidas con delimitación o cortes de control y
objetivos de control o actividades requeridas para lograr un
resultado medible.
Organigrama COBIT
Dominios
DS5 Garantizar la
PO5 Administrar la AI5 Adquirir
Seguridad de los
Inversión en TI Recursos de TI
Sistemas
AI7 Instalar y
PO7 Administrar DS7 Educar y
Acreditar
Recursos Humanos Entrenar a los
Soluciones y
de TI Usuarios
Cambios
DS8 Administrar la
PO8 Administrar la
Mesa de Servicio y
Calidad
los Incidentes
PO9 Evaluar y
DS9 Administrar la
Administrar los
Configuración
Riesgos de TI
DS10
PO10 Administrar
Administración de
Proyectos
Problemas
DS11
Administración de
Datos
DS12
Administración del
Ambiente Físico
DS13
Administración de
Operaciones
Se definen 34 objetivos de control generales, uno
para cada uno de los procesos de las TI.
PO2 Definición de la arquitectura de Información: El objetivo es satisfacer los requerimientos de la organización, en cuanto al manejo y gestión de los sistemas de
información, a través de la creación y mantenimiento de un modelo de información de la organización
PO3 Determinación de la dirección tecnológica: El objetivo es aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los
requerimientos de la organización, a través de la creación y mantenimiento de un plan de infraestructura tecnológica.
PO4 Definición de la organización y de las relaciones de TI: El objetivo es la prestación de servicios de TI, por medio de una organización conveniente en número y
habilidades, con tareas y responsabilidades definidas y comunicadas.
PO5 Manejo de la inversión: El objetivo es la satisfacción de los requerimientos de la organización, asegurando el financiamiento y el control de desembolsos de
recursos financieros.
PO6 Comunicación de la dirección y aspiraciones de la gerencia: El objetivo es asegurar el conocimiento y comprensión de los usuarios sobre las aspiraciones de la
gerencia, a través de políticas establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto estándares para traducir las opciones estratégicas en
reglas de usuario prácticas y utilizables.
PO7 Administración de recursos humanos: El objetivo es maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de
negocio, a través de técnicas sólidas para administración de personal.
PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo es cumplir con obligaciones legales, regulatorias y contractuales, para ello se realiza una
identificación y análisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos.
PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI, mediante la
participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos
PO10 Administración de proyectos: El objetivo es establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión, para ello se
realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. Además, la organización deberá adoptar y
aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido
PO11 Administración de calidad: El objetivo es satisfacer los requerimientos del cliente. Mediante una planeación, implementación y mantenimiento de estándares y
sistemas de administración de calidad por parte de la organización.
Dominio: Adquisición e
implementación
Para llevar a cabo la estrategia de TI, las soluciones de Ti
deben ser identificadas, desarrolladas o adquiridas, así
como implementadas e integradas dentro del proceso del
negocio. Además, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes.
AI1 Identificación de Soluciones Automatizadas: El objetivo es asegurar el mejor enfoque para cumplir con
los requerimientos del usuario, mediante un análisis claro de las oportunidades alternativas comparadas
contra los requerimientos de los usuarios.
AI5 Instalación y aceptación de los sistemas: El objetivo es verificar y confirmar que la solución sea adecuada
para el propósito deseado mediante la realización de una migración de instalación, conversión y plan de
aceptaciones adecuadamente formalizadas.
DS2 Administración de servicios prestados por terceros: El objetivo es asegurar que las tareas y
responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen
satisfaciendo los requerimientos, mediante el establecimiento de medidas de control dirigidas a la
revisión y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y
suficiencia, con respecto a las políticas de la organización.
DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio disponible de acuerdo con
los requerimientos y continuar su provisión en caso de interrupciones, mediante un plan de
continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio.
DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén
haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades
involucrados realizando un plan completo de entrenamiento y desarrollo.
DS7 Identificación y asignación de costos: El objetivo es asegurar un conocimiento correcto
atribuido a los servicios de TI realizando un sistema de contabilidad de costos asegure que éstos
sean registrados, calculados y asignados a los niveles de detalle requeridos.
DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que cualquier problema
experimentado por los usuarios sea atendido apropiadamente realizando una mesa de ayuda
que proporcione soporte y asesoría de primera línea.
DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una
combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.
Dominio: Monitoreo
Todos los procesos de una organización necesitan ser
evaluados regularmente a través del tiempo para verificar
su calidad y suficiencia en cuanto a los requerimientos de
control, integridad y confidencialidad.
M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos establecidos para
los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores
de desempeño gerenciales y la implementación de sistemas de soporte así como la atención
regular a los reportes emitidos.
M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de los objetivos
de control interno establecidos para los procesos de TI.
E.2 Aplicar los instrumentos y herramientas para la auditoría
E.3 Identificar y elaborar los documentos de desviaciones
encontradas
E.5 Integrar el legajo de papeles de trabajo de la auditoría
3a etapa: Dictamen de la auditoría
de sistemas computacionales
D.1 Analizar la información y elaborar un informe de situaciones
detectadas
De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta las etapas de la
auditoría, por ejemplo:
Objetivo 1: Conocer las redes de datos y la infraestructura tecnológica que soportan los sistemas de
información con el fin de analizar los riesgos que puedan presentarse en la funcionalidad de los
sistemas de información y servicios que se prestan mediante visitas a la empresa y entrevistas con
empleados y usuarios.
Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teniendo en cuenta los estándares
que serán aplicados para hacer el diseño de los instrumentos de recolección y plan de pruebas que
serán aplicados en el proceso de auditoría con el fin de obtener una información confiable para
realizar el dictamen.
Objetivo 3: Aplicar los instrumentos de recolección de información y pruebas que se han diseñado
para determinar los riesgos existentes en la red de datos y la infraestructura tecnológica de acuerdo a
las vulnerabilidades y amenazas que se han evidenciado preliminarmente con el fin de hacer la
valoración de los riesgos que permitan medir la probabilidad de ocurrencia y el impacto que causa en
la organización.
Recursos económicos:
Computador 2 2.000.000
Otros
Total 0000000000
PLAN DE A.I
Antecedentes: En las Aulas de informática de una Institución educativa se realiza anualmente un plan de seguimiento a todos los
procesos técnicos y académicos de la institución, esto debido a que las instituciones requieren la acreditación de calidad en el
manejo de sus procesos y para ello se hace necesario realizar auditorías internas permanentes y de tipo externo periódicamente
para lograrlo.
Uno de los recursos tecnológicos disponibles en las instituciones educativas es el de la red de datos que opera en las diferentes
sedes y que generalmente se encuentra certificada bajo la normas de la IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.
Objetivos
· Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante una auditoría a la infraestructura
física de la red de datos en una de las instituciones educativas.
· Objetivos específicos:
· Planificar la auditoría que permita identificar las condiciones actuales de la red de datos de la institución educativa.
· Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT como herramienta de apoyo en el
proceso inspección de la red de datos de la institución educativa.
· Identificar las soluciones para la construcción de los planes de mejoramiento a la red de la institución educativa de acuerdo a los
resultados obtenidos en la etapa de aplicación del modelo de auditoría.
PAI
Alcance y delimitación: La presente auditoria pretende identificar las condiciones actuales del hardware, la red de datos y eléctrica
de la institución educativa, con el fin de verificar el cumplimiento de normas y la prestación del servicio de internet para optimizar el
uso de los recursos existentes para mejorar el servicio a los usuarios.
· Instalaciones eléctricas
. Obsolescencia de la tecnología
Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se realizaran las siguientes
actividades:
2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos para listas de chequeo, diseño
de formatos para cuestionarios, diseño del plan de pruebas, selección del estándar a aplicar, elaboración del
programa de auditoría, distribución de actividades para los integrantes del grupo de trabajo.
3. Aplicación de instrumentos: Aplicar entrevistas al adminsitrador y usuarios, aplicar listas de chequeo para
verificar controles, aplicar cuestionarios para descubrir nuevos riesgos y conformar los que han sido
detectados anteriormente.
4. Ejecucción de las pruebas: ejecutar las pruebas para determinar la obsolecencia del hardware, ejecutar
pruebas sobre la red, ejecutar pruebas para comprobar la correspondencia de los inventarios con la realidad.
6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de acuerdo a la matriz de riesgos, proponer
controles de acuerdo a la norma de buenas práctica aplicada, definir las posibles soluciones
7. Dictamen de la auditoría: Determinar el grado de madurez de la empresa en el manejo de cada uno de los
procesos evaluados, medir el grado de madurez de acuerdo a los hallazgos detectados en cada proceso.
8. Informe final de auditoría: elaboración del borredor del informe técnico de auditoría para confrontarlo con
los auditados, elaboración del informe técnico final, elaboración del informe ejecutivo, organización de papeles
de trabajo para su entrega.
Ítem Valor
Útiles y Papelería $ 20.000.oo
Equipos de Oficina como calculadoras. $ 80.000.oo
Medios de almacenamiento magnético como: 1 caja de CD, 1 caja Diskettes. $ 20.000.oo
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000.oo
Pago de Honorarios (1 millon mensual x c/au) $4.000.000
Total presupuesto $4.420.000
Cronograma
Estudio Preliminar
Planificar la auditoría
Determinación de
Áreas Críticas de
Auditoria
Elaboración de
Programa de Auditoria
Aplicar el modelo de
auditoria
Evaluación de Riesgos
Ejecución de Pruebas y
Obtención de
Evidencias
✔
PAPELES DE TRABAJO - DISEÑO DE FORMATOS PARA
AUDITORÍA
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por las
acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de riesgo tiene el
proceso de salir perjudicado.
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado
de poca importancia y cinco el máximo considerado de mucha importancia.
AMENAZA:
2. Equipos con bajo rendimiento para las operaciones que se deben desarrollar
MATRIZ DE PROBABILIDAD DE IMPACTO
Matriz de Riesgos
PLAN DE PRUEBAS
El plan de pruebas debe prepararse y ejecutarse con
anticipación para poder hacer la solicitudes de permiso al
área informática o al administrador del sistema que será
evaluado. Las pruebas deben llevarse a cabo en el tiempo
que demore la auditoría y habrá algunas pruebas que
requieran más tiempo, por lo tanto esas pruebas quedarán
dentro de las recomendaciones para que sean ejecutadas
posterior a la auditoría.
Aulas de informática Institución Educativa R/PT: Aulas de informática Institución Educativa R/PT:
C2
C1 Guía de Pruebas P2
Guía de Pruebas P1 Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura
Dominio Adquisición e Implementación tecnológica
Proceso AI3: Adquirir y mantener la Objetivo de Mantenimiento Preventivo para Hardware
arquitectura tecnológica Control
Riesgos R15, R16, R18, R19
Objetivo de Evaluación de Hardware Asociados
Control N Evidencia Descripción
o
Riesgos R15, R16, R18, R19 1 No se La Institución educativa no tiene
Asociados programan programados jornadas de mantenimiento
N Evidencia Descripción mantenimie estas están sujetas a las programaciones
ntos a nivel nacional
o 2 No se La Institución educativa solamente da de
1 No hay En las aulas de informática no se sugieren baja equipos no funcionales, pero no
cambios de hace solicitudes de cambio de nuevos
bitácoras lleva un registro de mantenimiento y equipos o equipos ya que el nuevo hardware está
de de cambios de hardware solicitudes supeditado a los envíos que realiza la
de nuevos sede central
mantenimi equipos
ento
GUÍA DE PRUEBA P3.
Aulas de informática Institución R/PT: GUÍA DE PRUEBA P4.
Educativa C3
Aulas de informática Institución R/PT:
Guía de Pruebas P3 Educativa C4
Dominio Entrega de Servicios y Guía de Pruebas P4
Soportes Dominio Entrega de Servicios
Proceso DS12: Administración de y Soportes
Instalaciones Proceso Protección contra
Factores
Objetivo de Escolta de Visitantes Ambientales
Control Objetivo de Control Controles
Riesgos R20,R21,R2 Ambientales
Asociados Riesgos Asociados R17
No Evidencia Descripción No Evidencia Descripción
1 Img-02: Solo una de las
1 Img-01: Aula No hay una buena Ventilación salas de informática
de informática identificación de las aulas tiene ventilación, la
1 de informática de la cual presenta ruido
Institución educativa alto en su
funcionamiento y
2 Img-04: Área No existen identificación de balanceo
no Restringida áreas restringidas dentro de
las salas de informática
3 Img-05: No No existen ningún tipo de
existen ningún detectores de humo,
tipo de temperatura dentro de las
detectores aulas de informática
4 Img-06: No Las señalización para
hay salidas de emergencia no
señalización están instaladas o no
existen
5 Img-11: Los interruptores de
Interruptores emergencia no están
de debidamente identificados
Emergencia 1
6 Img-12: Los interruptores de
Interruptores emergencia no están
de debidamente identificados
Emergencia 2
GUÍA DE PRUEBA P5.
Guía de Pruebas P5
No Evidencia Descripción
3 Img-10: Existen conexiones de 220 voltios sin sellar junto a las fuentes
Instalaciones reguladas
Eléctricas 3
GUÍA DE PRUEBA P6
Aulas de informática Institución Educativa R/PT:
C6
Guía de Pruebas P6
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones
Causa
Causa
La falta de recursos económicos y la falta de planeación por parte del El rector y el Encargado de la administración de las aulas de informática deben realizar
encargado de la administración de las aulas de informática en la planes de actualización de equipos y de mantenimiento preventivo, asignando los recursos
institución. económicos necesarios para vigencias futuras.
Aulas de informática Institución Educativa R/PT: P4 Aulas de informática Institución Educativa R/PT: P3
Hallazgos de la Auditoría H3
Hallazgos de la Auditoría H4 Dominio Entrega de Servicios y Soportes
Dominio Entrega de Servicios y Soportes Proceso DS12: Administración de Instalaciones
Recomendación
El Administrador de las aulas de informática debe realizar mantenimiento
al ventilador del aula y gestionar recursos para adquirir los sistemas de
ventilación para las aulas restantes Recomendación
El Administrador de las aulas de informática debe realizar identificación adecuada
de las aulas, debe solicitar los recursos económicos para la adecuación y el
Causa mejoramiento de las aulas y de su propia oficina
El Administrador de las aulas de informática no realiza adecuaciones Causa
locativas dentro de las funciones que le fueron asignadas La rectoría no ha asignado recursos propios para la operación y buen
funcionamiento de la tecnología de las aulas de informática.
Hallazgos de la Auditoría H5
Hallazgos de la Auditoría H6
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones
Objetivo de Control Suministro Ininterrumpido de Energía
Objetivo de Seguridad Física
Riesgos Asociados R1,R2,R3,R4,R5,R6 Control
Descripción
Riesgos R12, R13
Existen cables de energía en el suelo que pueden ocasionar daños en las instalaciones
Asociados
eléctricas afectando a uno o más equipos, Existen en el techo de las aulas cables Descripción
sueltos sin marcar, Existen conexiones de 220 voltios sin sellar junto a las tomas
reguladas, la UPS solo está disponible para el servidor, los equipos de la administración
Muchos cables de eléctricos y de red sobre el piso que obstaculizan el
y una de las salas de informática. paso a los usuarios, Existen puntos eléctricos de 220 voltios juntos a
tomas de 110 voltios sin identificación adecuada, Cables de electricidad
sueltos sin identificación, Canaletas plásticas sin protección, Cables de
red de datos aéreos sin protección
Recomendación
El Administrador de las aulas de informática debe realizar adecuaciones de instalaciones
eléctricas de acuerdo a las normas vigentes, y hacer la desinstalación de las tomas de Recomendación
corriente con voltaje de 220 voltios AC para disminuir el riesgo de falla ocasionado por
los usuarios. El Administrador de las aulas de informática debe realizar adecuar de
manera correcta de acuerdo a las normas el tendido de red datos, cubrir,
desinstalar las conexiones que generen riesgo a los usuarios
Causa
El Administrador de las aulas de informática no realiza adecuaciones locativas dentro de Causa
las funciones que le fueron asignadas El Administrador de las aulas de informática no realiza adecuaciones
locativas
Nivel del Riesgo
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en alto, en cuanto al impacto
es catastrófico En cuanto a la probabilidad de ocurrencia está clasificado en medio, en
cuanto al impacto es leve
RESULTADOS DE LA AUDITORIA
DICTAMEN DE LA AUDITORIA
PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA
EMPRESA.
Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre el personal, los recursos de hardware y software, los
documentos soporte, el centro de cómputo con el fin de establecer el grado de eficiencia de los procesos que ejecutan en el sistema.
Dictamen:Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos, organización y relaciones del área evaluada están
contenidos en un manual de procesos y los recursos de hardware y software son adecuados. Sin embargo, este manual no se ha
actualizado con respecto a la evolución que ha tenido el Sistema, lo que hace que no sea posible medirlo y redefinirlo. En procesos
clave de administración del sistema se observa excesiva dependencia en la capacidad y conocimiento que empleados clave tienen del
sistema.
El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del sistema, acorde con la estructura de cargos de la
empresa lo que dificulta ejecutar planes de contingencia y capacitación cruzada, en caso de necesidad de reemplazar o rotar personal
clave en las operaciones y administración del sistema.
Se encontró que la empresa contratista del sistema ejecuta labores de captura de la información, operación directa sobre tablas de la
base de datos. Igualmente, realiza labores de auditoría y también administra el sistema operativo, la aplicación y la base de datos. Se
considera un nivel de acceso amplio que dificulta establecer controles por parte de la empresa.
Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente el control de usuarios con niveles de seguridad
inmediatamente inferiores a él, pero nadie realiza auditoria a las entradas de los súper usuarios del sistema.
Recomendaciones:
Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre el aplicativo, personal, recursos,
procesos, soportes
Dictamen:Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y evaluación al
Sistema, pero no son permanentes, ni se ha documentado suficientemente. Además, falta capacitación del
personal encargado. La detección de riesgos y el establecimiento de controles se hacen, en gran parte, por
iniciativa propia de los empleados, y no en un procedimiento regular de auditoría.
Aunque existe documentación sobre auditorias anteriores y análisis y evaluación de riesgos sobre el sistema,
no se ha destinado personal para establecer un plan de controles sobre el mismo, lo que impide prevenir
posibles fraudes, inconsistencias o pérdidas de información y económicas. Los riesgos tampoco se han
clasificado por niveles de criticidad, no se han establecido riesgos residuales.
No se encontró una política claramente documentada para el manejo de riesgos que presentan nivel de
criticidad medio o moderada en el sistema, tales como: infección por virus, plan para enfrentar contingencias
en el sistema, plan para detectar y corregir debilidades o huecos en las operaciones, y errores de digitación de
datos por parte de los usuarios, generación de pistas de administración y auditoria de datos, actividades de
supervisión para detectar el nivel de confianza en los controles automatizados, difusión y adopción de las
políticas de seguridad en el procesamiento de datos, revisión metodológica del sistema para proponer mejoras
al diseño inadecuado o cuestionable de algunos módulos, corrección de las deficiencias u obsolescencias de los
mecanismos de control interno del sistema, determinación de especificaciones técnicas inapropiadas, detección
de deficiencias en el entrenamiento de los funcionarios que ejecutan los procesos, determinación de estándares
de control de calidad de la información de la base de datos, análisis de cumplimiento de la validación de las
reglas del negocio en el sistema, Cumplimiento normativo y de las políticas internas en el proceso del área
comercial a cargo del sistema.
Recomendaciones:
· Retomar las recomendaciones que han realizado en las auditorias anteriores para realizar el
análisis, evaluación y gestión de los riesgos encontrados; establecer un sistema de control
adecuado al sistema de información y trabajar en la documentación del proceso.
1-INICIAL: Los procesos son espontáneos y desorganizados. No se ha implementado procesos estándar para el procesamiento de información.
2-REPETIBLE: Los procesos siguen un patrón regular o estándar; pero no se ha documentado suficientemente. Falta capacitación del personal encargado. La eficiencia
y eficacia depende en gran parte del conocimiento y profesionalismo de los empleados y contratistas.
3-DEFINIDO: Los procesos están estandarizados, se documentan, se comunican y se capacita al personal encargado; pero no se miden o se hacen mediciones parciales
de las metas.
4-ADMINISTRADO: Los procesos están estandarizados, se documentan, se comunican, se capacita al personal, se monitorean y se miden: Se utiliza métricas de
rendimiento, se establecen metas de mejoramiento.
5-OPTIMIZADO: Las buenas prácticas se siguen y se automatizan. Los controles son permanentes y se utiliza software para implementarlos.