Professional Documents
Culture Documents
1.2 Tipos de auditora. Auditora contable (de estados financieros) no es inters del curso. Auditora interna. La lleva a cabo un departamento dentro de la organizacin y existe una relacin laboral. Auditora externa. No existe relacin laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes. Auditoria administrativa. (William. P Leonard) es un examen completo y constructivo de la estructura organizativa de la empresa, institucin o departamento gubernamental o de
cualquier otra entidad y de sus mtodos de control, medios de operacin y empleo que d a sus recursos humanos y materiales. Auditoria gubernamental. Auditora Financiera: Consiste en una revisin exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador pblico. Auditoria de operaciones: Se define como una tcnica para evaluar sistemticamente de una funcin o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el rea de estudio. Auditora fiscal: Consiste en verificar el correcto y oportuno pago de los
diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista fsico (SHCP), direcciones o tesoreras de hacienda estatales o tesoreras municipales. Auditoria de resultados de programas: Esta auditora la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas establecidas. Auditoria de legalidad: Este tipo de auditora tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades. Auditora integral: Es un examen que proporciona una evaluacin objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales.
Practica
1.2.1 Auditora interna y externa. La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir. Auditora Externa del Sistema de Informacin Tributario, Auditora Externa del Sistema de Informacin Administrativo, Auditora Externa del Sistema de Informacin Automtico etc.
Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Instrumentacin y control: Instrumentacin electrnica, electro medicina, robots industriales, entre otros.
1.5 Modelos de control utilizados en auditoria informtica. El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.
Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objetives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association).
La estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la
La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Pblica.
1.4 Control interno. El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados.
tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin.
El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios. La adecuada implementacin de un modelo COBIT en una organizacin, provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los
1.3 Campo de la auditoria informtica. Algunos campos de aplicacin de la informtica son las siguientes: Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin de clculos matemticos, recuentos numricos, etc. irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
Practica
objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado, seal un informe de ETEK.
informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
marcas, productos o equipos compatibles con los de su cliente. La adaptacin del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de sus caractersticas
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnologa. Vinculando tecnologa informtica y prcticas de control, el modelo COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores.
confiabilidad.
Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnologa de informacin, tales como: datos, aplicaciones, plataformas tecnolgicas, instalaciones y recurso humano.
intrnsecas. nicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido, este podr proponer un cambio cualitativamente significativo de
Cualquier tipo de empresa puede adoptar una metodologa COBIT, como parte de un proceso de reingeniera en
determinados elementos o del propio sistema informtico globalmente contemplado. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la que ha sido diseado. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dainas o que generen riesgos
COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.
aras de reducir los ndices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnolgicos, finaliz el informe de ETEK.
1.6 Principios aplicados a los auditores informticos. El auditor deber ver cmo se puede
injustificados para el auditado. Una de las cuestiones ms controvertidas, respecto de la aplicacin de este principio, es la referente a facilitar el derecho de las organizaciones auditadas a la libre eleccin del auditor. Si el auditado decidiera encomendar posteriores auditoras a otros profesionales, stos deberas poder tener acceso a los informes de los trabajos profesionales, stos deberan poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado.
El conjunto de lineamientos y estndares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber: -Planificacin y organizacin -Adquisicin e implantacin -Soporte y Servicios - Monitoreo
conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico de esta ltima. En ningn caso est justificado que realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del
del grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la empresa.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la
auditado deber considerarse como no tica. Para garantizar el beneficio del auditado como la necesaria independencia del auditor, este ltimo deber evitar estar ligado en cualquier forma, a intereses de determinadas
Practica
Evaluacin del control interno Una Librera de reas y una Librera de Pruebas pueden tambin ser mantenida Realizados los cuestionarios y representado grficamente el sistema de acuerdo con los procedimientos vistos, hemos de conjugar ambos a fin de realizar un anlisis e identificar los puntos fuertes y dbiles del sistema. Las reas de Auditoria estructuran sus pruebas en programas de trabajo lgicos y pueden usarse para capturar informacin relacionada con los objetivos En esa labor de identificacin, influye primordialmente la habilidad para entender el sistema y comprender los puntos fuertes y dbiles de su control interno. 2.1.6 Pruebas sustantivas. El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las La conjugacin de ambas nos dar el nivel de confianza de los controles que operan en la empresa, y ser preciso determinar si los errores tienen una repercusin directa en los estados financieros, o si los puntos fuertes del control eliminaran el error. Se pueden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o 2.1.5 Pruebas de controles de usuario. En una auditoria existen los siguientes mdulos para ayudarle a planificar y ejecutar pruebas: confidencialidad. 2 prueba para asegurar la calidad de los datos. 3 pruebas para identificar la inconsistencia de datos. Areas de Auditoria Registro de Riesgos y Controles Plan de Pruebas Realizar pruebas Permite especificar la estructura bajo la cual se agruparan las pruebas. Permite planificar y ejecutar pruebas relacionadas con los riesgos y controles definidos para esta auditora. Permite agregar, editar y borrar pruebas con independencia del Registro de Riesgos y Controles. Permite registrar el resultado y el status de cada prueba (completadas, revisadas o aprobadas). 2.2 Evaluacin de los sistemas de acuerdo al riesgo. Riesgo 4 prueba para comparar con los datos o contadores fsicos. 5 confirmaciones de datos con fuentes externas 6 pruebas para confirmar la adecuada comunicacin. 7 prueba para determinar falta de seguridad. 8 pruebas para determinar problemas de legalidad. conclusiones acerca de cundo pueden ocurrir prdidas materiales durante el proceso de la informacin. de cada programa de trabajo. para proveer reas y Pruebas Standard para su seleccin en cada auditoria.
Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.
Seguridad
Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios.
Se dice tambin de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer ms seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturn de seguridad.
2.4 Personal participante. Una de las partes ms importantes en la planeacin de la auditora en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.
Practica
Aqu no se ver el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria.
est debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est
Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal
solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga
3.2 Evaluacin de los recursos humanos La auditora de recursos humanos puede definirse como el anlisis de las polticas y prcticas de personal de una empresa y la evaluacin de su funcionamiento actual, seguida de sugerencias para mejorar. El propsito principal de la auditoria de recursos humanos es mostrar cmo est funcionado el programa, localizando prcticas y condiciones que son perjudiciales para la empresa o que no estn justificando su costo, o prcticas y condiciones que deben incrementarse.
La auditora es un sistema de revisin y control para informar a la administracin sobre la eficiencia y la eficacia del programa que lleva a cabo.
evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione mejor.
El sistema de administracin de recursos humanos necesita patrones capaces de permitir una continua evaluacin y control sistemtico de su funcionamiento.
3.3 Entrevistas con el personal de informtica. La entrevista es uno de los eslabones finales para conseguir la posicin deseada. Desde el otro lado del
Patrn en in criterio o un modelo que se establece previamente para permitir la comparacin con los resultados o con los objetivos alcanzados. Por medio de la comparacin con el patrn pueden
mostrador y habiendo entrevistado a 5.000 profesionales en sistemas entre nuestro equipo de selectores, te dejamos valiosos consejos en esta nota.
Practica
Es un dilogo directo entre el entrevistador y entrevistado. El entrevistador dirige la conversacin e intenta obtener la mxima informacin posible del candidato. Es una combinacin de las dos anteriores. El entrevistador utilizar preguntas directas para conseguir informaciones Te preguntar por tu currculum, experiencias, habilidades, aficiones e intentar ponerte en situaciones reales para estudiar tus reacciones. En ocasiones puede haber ms de un entrevistador, con el fin de tener ms de un punto de vista a la hora de elegir el candidato final. 3.4 Situacin presupuestal y financiera. Modalidades de la Entrevista Personal El estudio y evaluacin del control interno Estructurada (dirigida) deber efectuarse conforme a lo dispuesto en el boletn 3050 Estudio y El entrevistador dirige la conversacin y hace las preguntas al candidato siguiendo un cuestionario o guin. El entrevistador formular las mismas preguntas a todos los candidatos. Evaluacin del Control Interno, emitido por la Comisin de Normas y Procedimientos de Auditora del Instituto Mexicano de Contadores Pblicos, A.C., ste servir de base para determinar el grado de confianza que se depositar en Se recomienda contestar a las preguntas aportando aquella informacin que se pide, con claridad y brevedad. l y le permita determinar la naturaleza, alcance y oportunidad, que va a dar a los procedimientos de auditora, por lo que el auditor para el cumplimiento de los No estructurada (libre) objetivos deber considerar lo siguiente: precisas sobre ti, y preguntas indirectas para sondearte respecto a tus motivaciones. Intenta seguir un orden discursivo, s conciso e intenta relacionar tus respuestas y comentarios con las exigencias del puesto al que optas. Semi-estructurada (mixta)
clasificacin de transacciones, salvaguarda fsica de documentacin soporte y de verificacin y evaluacin, incluyendo los aplicables a la actualizacin de cifras y a los controles relativos al procesamiento electrnico de datos. - Vigilancia sobre el establecimiento y mantenimiento de controles internos con objeto de identificar si estn operando efectivamente y si deben ser modificados cuando existan cambios importantes.
Para efectos de estudio y evaluacin del control interno en una revisin en una revisin de estados presupuestarios, el auditor deber considerar los siguientes aspectos:
a. Existencia de un presupuesto anual autorizado b. Existencia e polticas, bases y lineamientos presupuestarios c. Existencia de un sistema de registro presupuestario d. Existencia de un procedimiento de autorizaciones e. Procedimientos de registro, control y reporte presupuestario
El entrevistador te dar la iniciativa a ti, y debers desenvolverte por tu cuenta. El entrevistador podra empezar con la pregunta: Hblame de ti, y luego seguir con preguntas generales, que surgen en funcin del desarrollo de la conversacin.
- Existencia de factores que aseguren un ambiente de control - Existencia de riesgo en la informacin financiera
Obtener el estado analtico de recursos presupuestarios y el ejercicio presupuestario del gasto, tal como lo establecen los Trminos de Referencia para auditoras a rganos
Desconcentrados y Entidades Paraestatales de la SFP, as como el flujo de efectivo que detalle el origen y el destino de los egresos (Art.103 de la Ley Federal de Presupuesto y Responsabilidad Hacendaria)
Lo ms aconsejable es empezar siguiendo el guin de tu historial profesional. Tambin puedes preguntar si est interesado en conocer algo en particular. Aprovecha para llevar la conversacin a los puntos fuertes que deseas destacar en relacin con el puesto ofertado.
clasificar, registrar y producir informacin cuantitativa de las operaciones basadas en flujos de efectivo y partidas devengadas
Practica
4.2 Seguridad lgica y confidencial. La seguridad lgica se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como de controlar el mal uso de la informacin.
Entrada de virus
Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial. Sin embargo,
sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica.
La seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin.
los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computacin, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad
El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin
Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especfico, de las redes y terminales.
adecuada.
4.3 Seguridad personal. A finales del siglo XX, los Sistemas Informticos se han constituido en las
cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas.
La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin:
herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de
El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y
Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o informacin. Cdigo oculto en un programa
Informacin de la empresa.
Este apartado aborda los aspectos 4.4 Clasificacin de los controles de seguridad. Clasificacin general de los controles asociados al componente lgico del sistema: programas y datos. Para ello, se distingue entre las medidas para restringir y controlar el acceso a dichos recursos, Controles Preventivos los procedimientos para asegurar la fiabilidad del software (tanto operativo Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Control de acceso. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de identificacin, asignacin y cambio de derechos de acceso, control de Sistemas de claves de acceso accesos, restriccin de terminales, desconexin de la sesin, limitacin de Controles detectives reintento. como de gestin) y los criterios a considerar para garantizar la integridad de la informacin.
Metodologa, pruebas, condiciones, garantas, contratos, capacitacin, licencias, derechos, soporte tcnico.
Datos.
Los datos es decir, la informacin que se procesa y se obtiene son la parte ms importante de todo el sistema informtico y su razn de ser. Un sistema informtico existe como tal desde el momento en que es capaz de tratar y
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Software de base.
Control de cambios y versiones, control de uso de programas de utilidad, control de uso de recursos y medicin de 'performance'.
En la actualidad la inmensa mayora de sistemas tienen la informacin organizada en sendas Bases de Datos. Los criterios
Software de aplicacin.
En este apartado se trata todo lo Procedimientos de validacin concerniente al software de aplicacin, es decir, todo lo relativo a las aplicaciones de Controles Correctivos gestin, sean producto de desarrollo interno de la empresa o bien sean Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles defectivos sobre los controles correctivos, debido a que la correccin de errores es en s una actividad altamente propensa a errores. . Metodologa: existe, se aplica, es satisfactoria. Documentacin: existe, esta actualizada, es accesible. . Estndares: se aplican, como y quien lo 4.5 Seguridad en los datos y software de aplicacin. controla. Involucracin del usuario. . Participacin de personal externo. Desarrollo de software. paquetes estndar adquiridos en el mercado.
de Gestin de Bases de Datos (SGBD) que cumplan normas ANSI, si bien muchos de ellos pueden ser aplicables a los archivos de datos convencionales.
Es importante la utilizacin de metodologas de diseo de datos. El equipo de analistas y diseadores deben hacer uso de una misma metodologa de diseo, la cual debe estar en concordancia con la arquitectura de la Base de Datos elegida jerrquica, relacional, red, o bien orientada a objetos.
Practica
tipo, longitud y rango aceptable en cada Debe realizarse una estimacin previa del volumen necesario para el almacenamiento de datos basada en distintos aspectos tales como el nmero mnimo y mximo de registros de cada entidad del modelo de datos y las predicciones de crecimiento. Debe designarse un Administrador de Datos, ya que es importante centralizar en personas especializadas en el tema las tareas de redaccin de normas referentes A partir de distintos factores como el nmero de usuarios que acceder a la informacin, la necesidad de compartir informacin y las estimaciones de volumen se deber elegir el SGBD ms adecuado a las necesidades de la empresa o proyecto en cuestin. Creacin de bases de datos. En la fase de diseo de datos, deben definirse los procedimientos de seguridad, confidencialidad e integridad que se aplicarn a los datos: Debe crearse un entorno de desarrollo con datos de prueba, de modo que las actividades del desarrollo no interfieran el entorno de explotacin. Los datos de Procedimientos para recuperar los datos en casos de cada del sistema o de corrupcin de los archivos. prueba deben estar dimensionados de manera que permitan la realizacin de pruebas de integracin con otras aplicaciones, de rendimiento con Procedimientos para prohibir el acceso no autorizado a los datos. Para ello debern identificarlos. En la fase de creacin, deben desarrollarse los procedimientos de Procedimientos para restringir el acceso no autorizado a los datos. Debiendo identificar los distintos perfiles de usuario que accedern a los archivos de la aplicacin y los subconjuntos de informacin que podrn modificar o consultar. seguridad, confidencialidad e integridad definidos en la etapa de diseo: . Construccin de los procedimientos de copia y restauracin de datos. . Construccin de los procedimientos de restriccin y control de acceso. Existen dos enfoques para este tipo de procedimientos: Procedimientos para mantener la consistencia y correccin de la informacin en todo momento. Confidencialidad basada en roles, que consiste en la definicin de los perfiles de usuario y las acciones que les son Bsicamente existen dos niveles de integridad: la de datos, que se refiere al permitidas (lectura, actualizacin, alta, borrado, creacin/eliminacin de tablas, volmenes altos. al gestor de datos utilizado, definicin de estndares y nomenclatura, diseo de procedimientos de arranque, recuperacin de datos, asesoramiento al personal de desarrollo entre algunos otros aspectos. caso, y la lgica, que hace referencia a las relaciones que deben existir entre las tablas y reglas del negocio.
4.6 Controles para evaluar software de aplicacin. Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditora es la verificacin de la observancia de las normas tericamente existentes en el departamento de Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de revisarse sucesivamente y en este orden:
1. Las Normas Generales de la Instalacin Informtica. Se realizar una revisin inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las reas que carezcan de normativa, y sobre todo verificando que esta Normativa General . Informtica no est en contradiccin con alguna Norma General no informtica de la empresa.
2. Los Procedimientos Generales Informticos. Se verificar su existencia, al menos en los sectores ms importantes. Por ejemplo, la recepcin definitiva de las mquinas debera estar firmada por los responsables de Explotacin. Tampoco el alta de una nueva Aplicacin podra producirse si no existieran los Procedimientos de Backup y Recuperacin correspondientes.
3. Los Procedimientos Especficos Informticos. Igualmente, se revisara su existencia en las reas fundamentales. As, Explotacin no debera explotar una Aplicacin sin haber exigido a Desarrollo la pertinente documentacin. Del mismo modo, deber comprobarse que los Procedimientos Especficos no se
Practica
10
opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deber verificarse que no existe contradiccin alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informtica debe estar sometida.
Segn datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden unos 500 millones de dlares al ao debido a los piratas que les roban de las cuentas online sus nmeros de tarjeta de crdito y de llamadas. Dichos nmeros se pueden vender por jugosas sumas de dinero a
continuo de disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos informticos.
Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se puede perder la credibilidad del
4.7 Controles para prevenir crmenes y fraudes informticos. En los aos recientes las redes de computadoras han crecido de manera asombrosa. Hoy en da, el nmero de usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con sus mdicos online supera los 200 millones, comparado con 26 millones en 1995.
falsificadores que utilizan programas especiales para codificarlos en bandas magnticas de tarjetas bancarias y de crdito, seala el Manual de la ONU.
Otros delincuentes de la informtica pueden sabotear las computadoras para ganarle ventaja econmica a sus competidores o amenazar con daos a los sistemas con el fin de cometer extorsin. Los malhechores manipulan los datos o
pblico o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total.
En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldrn del negocio en dos o tres aos. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer.
A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorizacin o "piratera informtica", el fraude, el sabotaje informtico, la trata de nios con fines pornogrficos y el acecho.
las operaciones, ya sea directamente o mediante los llamados "gusanos" o "virus", que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. Algunos virus dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por medio de disquetes "infectados"; tambin se estn propagando ltimamente por las
Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratgico de
Los delincuentes de la informtica son tan diversos como sus delitos; puede tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos delincuentes pueden pasar desapercibidos a travs de las fronteras, ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningn documento de rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en "parasos informticos" - o sea, en pases que carecen de leyes o experiencia para seguirles la pista -.
4.8 Plan de contingencia, seguros, procedimientos de recuperacin de desastres. Medida que las empresas se han vuelto cada vez ms dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel
4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal. SEGURIDAD FISICA
Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa, tales como el hardware, perifricos, y equipos asociados, las instalaciones
Practica
11
construcciones, el mobiliario y equipo de oficina, as como la proteccin a los accesos al centro de sistematizacin.
En s, es todo lo relacionado con la seguridad, la prevencin de riesgos y proteccin de los recursos fsicos informticos de la empresa.
Practica
12
La primera tcnica utilizada surgi con la aparicin del telgrafo y el cdigo morse que permitieron comunicaciones a travs de cables a unas distancias considerables. Posteriormente se desarroll la tcnica que dio origen al telfono para la comunicacin directa de la voz a larga distancia. Ms tarde la radio y la transmisin de imgenes a travs de la televisin habilitaron un gran nmero de tcnicas y mtodos que luego fueron muy importantes a lo que respecta a la comunicacin. 5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica. As ante la continua aparicin de nuevas herramientas de gestin, la auditora interna se ve compelida a velar entre otras cosas por la aplicacin y buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso. Dijimos antes que la auditora deba velar no slo por los activos de la empresa sino adems por su capacidad competitiva. Cuidar de esto ltimo significa difundir, apoyar y controlar las nuevas y buenas prcticas. As, haciendo uso del benchmarking puede verificar y promover las mejores prcticas para el mantenimiento de la ms alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa. En la auditora de otras reas pueden tambin surgir revisiones solapadas con la seguridad; as a la hora de revisar el Como brillantemente lo expresa Fernando Gaziano (Deloitte Chile), "los auditores y los astrnomos compartimos plenamente una idea: el universo se expande. As como despus del "big bang" un universo de planetas y estrellas comenz y contina expandindose, de la misma forma el mundo del Auditor Interno es cada vez ms amplio. Como nunca, probablemente hoy se enfrenta a uno de los cambios ms importantes en su profesin, debiendo abordar aspectos relacionados con el Gobierno Corporativo y los nuevos riesgos a los que se enfrentan las organizaciones. 5.3 Sntomas de riesgo. La Auditora de la Seguridad desarrollo se ver si se realiza en un entorno seguro, etc. Para muchos la seguridad sigue siendo el rea principal a auditar, hasta el punto de que en algunas entidades se cre inicialmente la funcin de auditora informtica para revisar la seguridad, aunque despus se hayan ido ampliando los objetivos. Cada da es mayor la importancia de la informacin, especialmente relacionada con sistemas basados en el uso de tecnologa de informacin y comunicaciones, por lo que el impacto de las fallas, los accesos no autorizados, la revelacin de la informacin, entre otros problemas, tienen un impacto mucho mayor que hace algunos aos. construccin y distribucin de edificios; amenazas de fuego, riesgos por agua, por accidentes atmosfricos; contenido en paquetes}, bolsos o carteras que se introducen o salen de los edificios; visitas, clientes, proveedores, contratados; proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y transporte. Control de accesos adecuado. Tanto fsicos como lgicos, que se realicen slo las operaciones permitidas al usuario: lectura, variacin, ejecucin, borrado y copia, y quedando las pistas necesarias para el control y la auditora. Uso de contraseas, cifrado de las mismas, situaciones de bloqueo. Proteccin de datos. Origen del dato, proceso, salida de los datos. Comunicaciones y redes. Topologa y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus. Tipos de transacciones. Proteccin de Los controles directivos. Son los fundamentos de la seguridad: polticas, planes, funciones, objetivos de control, presupuesto, as como si existen sistemas y mtodos de evaluacin peridica de riesgos. El desarrollo de las polticas. Procedimientos, posibles estndares, normas y guas. Amenazas fsicas externas. Inundaciones, incendios, explosiones, corte de lneas o suministros, terremotos, terrorismo, huelgas, etc., se considera: la ubicacin del centro de procesos, de los servidores, PCs, computadoras porttiles (incluso fuera de las oficinas); estructura, diseo, conversaciones de voz en caso necesario, proteccin de transmisiones por fax para contenidos clasificados. Internet e Intranet, correo electrnico, control sobre pginas web, as como el comercio electrnico. El entorno de produccin. Cumplimiento de contratos, outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditables. Con el uso de licencias (de los programas utilizados). La continuidad de las operaciones. Planes de contingencia o de Continuidad.
Practica
13
No se trata de reas no relacionadas, sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos, cifrado con comunicaciones, etc.
. Ataques
Evaluacin de riesgos
teleinformtica.
Planeacin de la Seguridad
Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Para evaluarlos hay que considerar el tipo de informacin almacenada, procesada y transmitida, la criticidad de las operaciones, la tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento. Los riesgos pueden disminuirse
Introducir al estudiante en los aspectos tcnicos, funcionales y organizacionales que componen la problemtica de seguridad en las redes teleinformticas, ilustrando las operaciones, tcnicas y herramientas ms usuales para garantizar privacidad, autenticacin y seguridad.
. Anlisis del sistema actual . Anlisis de riesgos . Definicin de polticas de seguridad . Implantacin de la seguridad
Servicios de Seguridad
. Modelo OSI para arquitecturas de Introduccin General a la Seguridad en Redes Seguridad . Modelo TCP/IP
. Definiciones
UNIDAD VI Informe de la auditoria informtica. 6.1 Generalidades de la seguridad del rea fsica.
Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 6.2 Caractersticas del informe. Objetivos, caractersticas y afirmaciones que contiene el informe de auditora aspectos significativos o importantes, sobre si stas muestran la imagen fiel del patrimonio, de la situacin financiera y del resultado de sus operaciones, as como de los recursos obtenidos y El informe de auditora financiera tiene como objetivo expresar una opinin tcnica de las cuentas anuales en los Caractersticas del informe de auditora: 4. Se realiza conforme a un marco legal. aplicados durante el ejercicio. 3. Contiene la opinin del auditor. 2. Muestra el alcance del trabajo. 1. Es un documento mercantil o pblico.
Practica
14
Informe de Auditora como un producto Principales afirmaciones que contiene el informe: final de este trabajo. El informe contendr el mensaje del Auditor sobre lo que ha hecho y como lo ha realizado, as Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qu normas de auditora. Concepto Es el documento emitido por el Auditor Expresa si las cuentas anuales contienen la informacin necesaria y suficiente y han sido formuladas de acuerdo con la legislacin vigente y, tambin, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad. como resultado final de su examen y/o evaluacin, incluye informacin suficiente sobre Observaciones, Conclusiones de hechos significativos, as como Recomendaciones constructivos para superar las debilidades en cuanto a polticas, procedimientos, cumplimiento de actividades y otras. Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos significativos, la imagen fiel del patrimonio, de la situacin financiera, de los resultados y de los recursos obtenidos y aplicados. Importancia El Informe de Auditora, reviste gran Importancia, porque suministra a la administracin de la empresa, informacin sustancial sobre su proceso administrativo, como una forma de Se opina tambin sobre la concordancia de la informacin contable del informe de gestin con la contenida en las cuentas anuales. El Informe a travs de sus observaciones, conclusiones y recomendaciones, En su caso, explica las desviaciones que presentan los estados financieros con respecto a unos estndares preestablecidos. constituye el mejor medio para que las organizaciones puedan apreciar la forma como estn operando. En algunas oportunidades puede ocurrir que, debido a un descuido en su preparacin, se Podemos sintetizar que el informe es una presentacin pblica, resumida y por escrito del trabajo realizado por los auditores y de su opinin sobre las cuentas anuales. pierde la oportunidad de hacer conocer a la empresa lo que realmente desea o necesita conocer para optimizar su administracin, a pesar de que se haya emitido un voluminoso informe, pero inadvertidamente puede estar falto de 6.3 Estructura del informe. Concluido el Trabajo de Campo, el auditor tendr como responsabilidad la confeccin del sustentacin y fundamento adecuado; en consecuencia su contenido puede ser pobre; con esto queremos hacer resaltar el hecho de que, el Informe debe comunicar informacin til para contribuir al cumplimiento de sus metas y objetivos programados. como los resultados obtenidos.
promover la toma de decisiones. Lamentablemente esto no se lograr si el informe revela pobreza de expresin y no se aportan comentarios constructivos.
Redaccin del Informe La Redaccin se efectuar en forma corriente a fin de que su contenido sea comprensible al lector, evitando en lo posible el uso de terminologa muy especializada; evitando prrafos largos y complicados, as como expresiones grandilocuentes y confusas.
La Redaccin del Informe debe merecer mucha atencin cuidado de parte del auditor para que tenga la acogida y aceptacin que los empresarios esperan de l, en este sentido el Informe debe:
Claridad y simplicidad. La Claridad y Simplicidad, significan introducir sin mayor dificultad en la mente del lector del informe, lo que el Auditor ha escrito o pens escribir. A veces lo que ocasiona la deficiencia de claridad y simplicidad del informe es precisamente la falta de claridad en los conceptos que el Auditor tiene en mente, es decir, no hay una cabal comprensin de lo que realmente quiere comunicar, asimismo cuando el Informe est falto de claridad, puede dar lugar a una doble interpretacin, ocasionando de este modo que, se torne intil y pierda su utilidad. En consecuencia, para que el
Practica
15
El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada
proyecto y de las principales conclusiones (mximo cinco pginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realizacin del proyecto, los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones, patentes, registros, normas, certificaciones, memorias, formacin de recurso humano, capacitacin, organizacin y/o participacin en eventos
. Evitar el uso de un lenguaje tcnico, florido o vago. . Evitar ser muy breve. . Evitar incluir mucho detalle. . Utilizar palabras simples, familiares al lector, es decir, escribir en el idioma que el lector entiende.
Facultad, Centro o Instituto. El informe debe contener un ndice. Cada pgina del informe debe estar numerada. Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. El informe tcnico final deber presentarse en versin impresa y
6.4 Formato para el informe. El formato para informes finales est enfocado a apoyar y facilitar el proceso de evaluacin de los resultados de los proyectos financiados por la sede Bogot, con respecto a los compromisos adquiridos en el proyecto aprobado. Adems de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtencin de los resultados esperados y de las actividades de investigacin cientfica.
cientficos, etc., estos deben numerarse y adjuntarse como anexos del informe (ver
1. Ttulo y cdigo del proyecto 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece 3. Fecha de entrega del Informe 4. Sinopsis divulgativa: Con el propsito de promover la divulgacin de las actividades investigativas que adelanta la Sede Bogot y para dar mayor difusin a los proyectos, deben incluir un resumen de una cuartilla que servir de base para
cuadro No. 1). 7. Descripcin del impacto actual o potencial de los resultados: En trminos de generacin de nuevo conocimiento a nivel mundial, de aporte para el desarrollo del pas, de contribucin a la solucin de problemas especficos, de fortalecimiento de la capacidad cientfica, y de fortalecimiento de la investigacin y creacin en la Sede Bogot (mximo dos pginas). 8. Conclusiones .
Los informes finales tcnico y financiero, deben ser entregados a la Direccin de Investigacin de la sede, al finalizar el periodo de ejecucin del proyecto.
la elaboracin de notas acadmicas dirigidas a los medios de comunicacin de la Universidad. 5. Resumen tcnico de los resultados obtenidos durante la realizacin del
Practica
16