Contenido del Curso: Administracin de la funcin informtica

UNIDAD I Introduccin a la auditoria informtica.

Conceptos de auditora y auditoria Informtica. La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los objetivos de la auditora Informtica son: * El control de la funcin informtica * El anlisis de la eficiencia de los Sistemas Informticos * La verificacin del cumplimiento de la Normativa en este mbito * La revisin de la eficaz gestin de los recursos informticos. La auditora informtica sirve para Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas: - Gobierno corporativo - Administracin del Ciclo de vida de los sistemas - Servicios de Entrega y Soporte - Proteccin y Seguridad - Planes de continuidad y Recuperacin de desastres

mejorar ciertas caractersticas en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad

1.2 Tipos de auditora. Auditora contable (de estados financieros) no es inters del curso. Auditora interna. La lleva a cabo un departamento dentro de la organizacin y existe una relacin laboral. Auditora externa. No existe relacin laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes. Auditoria administrativa. (William. P Leonard) es un examen completo y constructivo de la estructura organizativa de la empresa, institucin o departamento gubernamental o de

cualquier otra entidad y de sus mtodos de control, medios de operacin y empleo que d a sus recursos humanos y materiales. Auditoria gubernamental. Auditora Financiera: Consiste en una revisin exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador pblico. Auditoria de operaciones: Se define como una tcnica para evaluar sistemticamente de una funcin o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el rea de estudio. Auditora fiscal: Consiste en verificar el correcto y oportuno pago de los

diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista fsico (SHCP), direcciones o tesoreras de hacienda estatales o tesoreras municipales. Auditoria de resultados de programas: Esta auditora la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas establecidas. Auditoria de legalidad: Este tipo de auditora tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades. Auditora integral: Es un examen que proporciona una evaluacin objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales.

Practica

 1.2.1 Auditora interna y externa. La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir. Auditora Externa del Sistema de Informacin Tributario, Auditora Externa del Sistema de Informacin Administrativo, Auditora Externa del Sistema de Informacin Automtico etc.

Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Instrumentacin y control: Instrumentacin electrnica, electro medicina, robots industriales, entre otros.

1.5 Modelos de control utilizados en auditoria informtica. El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objetives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association).

La estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la

La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Pblica.

1.4 Control interno. El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados.

tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin.

El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios. La adecuada implementacin de un modelo COBIT en una organizacin, provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los

1.3 Campo de la auditoria informtica. Algunos campos de aplicacin de la informtica son las siguientes: Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin de clculos matemticos, recuentos numricos, etc. irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

Practica

objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado, seal un informe de ETEK.

informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y

marcas, productos o equipos compatibles con los de su cliente. La adaptacin del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de sus caractersticas

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnologa. Vinculando tecnologa informtica y prcticas de control, el modelo COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores.

confiabilidad.

Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnologa de informacin, tales como: datos, aplicaciones, plataformas tecnolgicas, instalaciones y recurso humano.

intrnsecas. nicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido, este podr proponer un cambio cualitativamente significativo de

Cualquier tipo de empresa puede adoptar una metodologa COBIT, como parte de un proceso de reingeniera en

determinados elementos o del propio sistema informtico globalmente contemplado. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la que ha sido diseado. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dainas o que generen riesgos

COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.

aras de reducir los ndices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnolgicos, finaliz el informe de ETEK.

1.6 Principios aplicados a los auditores informticos. El auditor deber ver cmo se puede

injustificados para el auditado. Una de las cuestiones ms controvertidas, respecto de la aplicacin de este principio, es la referente a facilitar el derecho de las organizaciones auditadas a la libre eleccin del auditor. Si el auditado decidiera encomendar posteriores auditoras a otros profesionales, stos deberas poder tener acceso a los informes de los trabajos profesionales, stos deberan poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado.

El conjunto de lineamientos y estndares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber: -Planificacin y organizacin -Adquisicin e implantacin -Soporte y Servicios - Monitoreo

conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico de esta ltima. En ningn caso est justificado que realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del

del grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la empresa.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la

auditado deber considerarse como no tica. Para garantizar el beneficio del auditado como la necesaria independencia del auditor, este ltimo deber evitar estar ligado en cualquier forma, a intereses de determinadas

Practica

UNIDAD II Planeacin de la auditoria Informtica. 2.1 Fases de la auditoria.

Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones 2.1.1 Planeacin. Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa. Cuando ste sea el caso, la aplicacin de tales pruebas a todo el periodo restante puede no ser necesaria, dependiendo fundamentalmente del resultado de estas pruebas en el periodo preliminar as como de la evidencia del cumplimiento, dentro Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Los objetos de la fase detallada son los de obtener la informacin necesaria para 2.1.2 Revisin preliminar. En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera prdidas sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. 2.1.4 Examen y evaluacin de la informacin. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a revisin con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. Cuando se utilicen bases subjetivas se deber dejar constancia en los papeles de trabajo de las razones que han conducido a tal eleccin, justificando los criterios y bases de seleccin. que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. La determinacin de la extensin de las pruebas de cumplimento se realizar sobre bases estadsticas o sobre bases subjetivas. El muestreo estadstico es, en principio, el medio idneo para expresar en trminos cuantitativos el juicio del auditor respecto a la razonabilidad, determinando la extensin de las pruebas y evaluando su resultado. 2.1.3 Revisin detallada. del periodo restante, que puede obtenerse de las pruebas sustantivas realizadas por el auditor independiente. Los auditores independientes podrn realizar las pruebas de cumplimiento durante el periodo preliminar. Periodo en el que se desarrollan las pruebas y su extensin

Es de tomarse en cuenta que el propietario de dicha empresa, ordena una

 Evaluacin del control interno Una Librera de reas y una Librera de Pruebas pueden tambin ser mantenida Realizados los cuestionarios y representado grficamente el sistema de acuerdo con los procedimientos vistos, hemos de conjugar ambos a fin de realizar un anlisis e identificar los puntos fuertes y dbiles del sistema. Las reas de Auditoria estructuran sus pruebas en programas de trabajo lgicos y pueden usarse para capturar informacin relacionada con los objetivos En esa labor de identificacin, influye primordialmente la habilidad para entender el sistema y comprender los puntos fuertes y dbiles de su control interno. 2.1.6 Pruebas sustantivas. El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las La conjugacin de ambas nos dar el nivel de confianza de los controles que operan en la empresa, y ser preciso determinar si los errores tienen una repercusin directa en los estados financieros, o si los puntos fuertes del control eliminaran el error. Se pueden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o 2.1.5 Pruebas de controles de usuario. En una auditoria existen los siguientes mdulos para ayudarle a planificar y ejecutar pruebas: confidencialidad. 2 prueba para asegurar la calidad de los datos. 3 pruebas para identificar la inconsistencia de datos. Areas de Auditoria Registro de Riesgos y Controles Plan de Pruebas Realizar pruebas Permite especificar la estructura bajo la cual se agruparan las pruebas. Permite planificar y ejecutar pruebas relacionadas con los riesgos y controles definidos para esta auditora. Permite agregar, editar y borrar pruebas con independencia del Registro de Riesgos y Controles. Permite registrar el resultado y el status de cada prueba (completadas, revisadas o aprobadas). 2.2 Evaluacin de los sistemas de acuerdo al riesgo. Riesgo 4 prueba para comparar con los datos o contadores fsicos. 5 confirmaciones de datos con fuentes externas 6 pruebas para confirmar la adecuada comunicacin. 7 prueba para determinar falta de seguridad. 8 pruebas para determinar problemas de legalidad. conclusiones acerca de cundo pueden ocurrir prdidas materiales durante el proceso de la informacin. de cada programa de trabajo. para proveer reas y Pruebas Standard para su seleccin en cada auditoria.

Proximidad o posibilidad de un dao, peligro, etc.

Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.

Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro.

Seguridad

Cualidad o estado de seguro

Garanta o conjunto de garantas que se da a alguien sobre el cumplimiento de algo.

Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios.

Se dice tambin de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer ms seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturn de seguridad.

2.4 Personal participante. Una de las partes ms importantes en la planeacin de la auditora en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.

Practica

Aqu no se ver el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria.

est debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est

Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal

solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga

que intervendr en la auditoria.

UNIDAD III Auditoria de la funcin informtica. 3.1 Recopilacin de la informacin organizacional.

Para que un proceso de D.O. tenga xito debe comenzar por obtener un diagnostico con informacin verdadera y a tiempo de lo que sucede en la organizacin bajo anlisis, esta obtencin de la informacin debe ser planeada en forma estructurada para garantizar una generacin de datos que ayuden posteriormente su anlisis. Es un ciclo continuo en el cual se planea la recoleccin de datos, se analiza, se retroalimentan y se da un seguimiento. La recoleccin de datos puede darse de varias maneras: Cuestionarios Entrevistas Observacin Informacin documental (archivo) Toda la informacin tiene un valor en s misma, el mtodo de obtencin de informacin est directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad depender del objetivo que se busque y los medios para llevar a cabo esa recoleccin de datos en tiempo y forma para su posterior anlisis.

3.2 Evaluacin de los recursos humanos La auditora de recursos humanos puede definirse como el anlisis de las polticas y prcticas de personal de una empresa y la evaluacin de su funcionamiento actual, seguida de sugerencias para mejorar. El propsito principal de la auditoria de recursos humanos es mostrar cmo est funcionado el programa, localizando prcticas y condiciones que son perjudiciales para la empresa o que no estn justificando su costo, o prcticas y condiciones que deben incrementarse.

La auditora es un sistema de revisin y control para informar a la administracin sobre la eficiencia y la eficacia del programa que lleva a cabo.

evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione mejor.

El sistema de administracin de recursos humanos necesita patrones capaces de permitir una continua evaluacin y control sistemtico de su funcionamiento.

3.3 Entrevistas con el personal de informtica. La entrevista es uno de los eslabones finales para conseguir la posicin deseada. Desde el otro lado del

Patrn en in criterio o un modelo que se establece previamente para permitir la comparacin con los resultados o con los objetivos alcanzados. Por medio de la comparacin con el patrn pueden

mostrador y habiendo entrevistado a 5.000 profesionales en sistemas entre nuestro equipo de selectores, te dejamos valiosos consejos en esta nota.

Practica

Es un dilogo directo entre el entrevistador y entrevistado. El entrevistador dirige la conversacin e intenta obtener la mxima informacin posible del candidato. Es una combinacin de las dos anteriores. El entrevistador utilizar preguntas directas para conseguir informaciones Te preguntar por tu currculum, experiencias, habilidades, aficiones e intentar ponerte en situaciones reales para estudiar tus reacciones. En ocasiones puede haber ms de un entrevistador, con el fin de tener ms de un punto de vista a la hora de elegir el candidato final. 3.4 Situacin presupuestal y financiera. Modalidades de la Entrevista Personal El estudio y evaluacin del control interno Estructurada (dirigida) deber efectuarse conforme a lo dispuesto en el boletn 3050 Estudio y El entrevistador dirige la conversacin y hace las preguntas al candidato siguiendo un cuestionario o guin. El entrevistador formular las mismas preguntas a todos los candidatos. Evaluacin del Control Interno, emitido por la Comisin de Normas y Procedimientos de Auditora del Instituto Mexicano de Contadores Pblicos, A.C., ste servir de base para determinar el grado de confianza que se depositar en Se recomienda contestar a las preguntas aportando aquella informacin que se pide, con claridad y brevedad. l y le permita determinar la naturaleza, alcance y oportunidad, que va a dar a los procedimientos de auditora, por lo que el auditor para el cumplimiento de los No estructurada (libre) objetivos deber considerar lo siguiente: precisas sobre ti, y preguntas indirectas para sondearte respecto a tus motivaciones. Intenta seguir un orden discursivo, s conciso e intenta relacionar tus respuestas y comentarios con las exigencias del puesto al que optas. Semi-estructurada (mixta)

clasificacin de transacciones, salvaguarda fsica de documentacin soporte y de verificacin y evaluacin, incluyendo los aplicables a la actualizacin de cifras y a los controles relativos al procesamiento electrnico de datos. - Vigilancia sobre el establecimiento y mantenimiento de controles internos con objeto de identificar si estn operando efectivamente y si deben ser modificados cuando existan cambios importantes.

Para efectos de estudio y evaluacin del control interno en una revisin en una revisin de estados presupuestarios, el auditor deber considerar los siguientes aspectos:

a. Existencia de un presupuesto anual autorizado b. Existencia e polticas, bases y lineamientos presupuestarios c. Existencia de un sistema de registro presupuestario d. Existencia de un procedimiento de autorizaciones e. Procedimientos de registro, control y reporte presupuestario

El entrevistador te dar la iniciativa a ti, y debers desenvolverte por tu cuenta. El entrevistador podra empezar con la pregunta: Hblame de ti, y luego seguir con preguntas generales, que surgen en funcin del desarrollo de la conversacin.

- Existencia de factores que aseguren un ambiente de control - Existencia de riesgo en la informacin financiera

Obtener el estado analtico de recursos presupuestarios y el ejercicio presupuestario del gasto, tal como lo establecen los Trminos de Referencia para auditoras a rganos

Existencia de un sistema presupuestal que permita identificar, reunir, analizar,

Desconcentrados y Entidades Paraestatales de la SFP, as como el flujo de efectivo que detalle el origen y el destino de los egresos (Art.103 de la Ley Federal de Presupuesto y Responsabilidad Hacendaria)

Lo ms aconsejable es empezar siguiendo el guin de tu historial profesional. Tambin puedes preguntar si est interesado en conocer algo en particular. Aprovecha para llevar la conversacin a los puntos fuertes que deseas destacar en relacin con el puesto ofertado.

clasificar, registrar y producir informacin cuantitativa de las operaciones basadas en flujos de efectivo y partidas devengadas

- Existencia de procedimientos relativos a autorizacin, procesamiento y

Practica

UNIDAD IV Evaluacin de la seguridad.

Generalidades de la seguridad del rea fsica. Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema Informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial (1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos .

4.2 Seguridad lgica y confidencial. La seguridad lgica se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como de controlar el mal uso de la informacin.

Entrada de virus

las normas y estndares propiamente informticos deben estar, por lo tanto,

Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial. Sin embargo,

sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica.

La seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin.

los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computacin, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad

El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin

Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especfico, de las redes y terminales.

adecuada.

4.3 Seguridad personal. A finales del siglo XX, los Sistemas Informticos se han constituido en las

cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas.

La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin:

herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de

El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y

Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o informacin. Cdigo oculto en un programa

Informacin de la empresa.

La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso

eficiencia de una seccin, un organismo, una entidad, etc.

Este apartado aborda los aspectos 4.4 Clasificacin de los controles de seguridad. Clasificacin general de los controles asociados al componente lgico del sistema: programas y datos. Para ello, se distingue entre las medidas para restringir y controlar el acceso a dichos recursos, Controles Preventivos los procedimientos para asegurar la fiabilidad del software (tanto operativo Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Control de acceso. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de identificacin, asignacin y cambio de derechos de acceso, control de Sistemas de claves de acceso accesos, restriccin de terminales, desconexin de la sesin, limitacin de Controles detectives reintento. como de gestin) y los criterios a considerar para garantizar la integridad de la informacin.

. Control de calidad. . Entornos real y de prueba. . Control de cambios.

Adquisicin de software estndar.

Metodologa, pruebas, condiciones, garantas, contratos, capacitacin, licencias, derechos, soporte tcnico.

Datos.

Los datos es decir, la informacin que se procesa y se obtiene son la parte ms importante de todo el sistema informtico y su razn de ser. Un sistema informtico existe como tal desde el momento en que es capaz de tratar y

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Software de base.

suministrar informacin. Sin sta, se reducira a un conjunto de elementos

Control de cambios y versiones, control de uso de programas de utilidad, control de uso de recursos y medicin de 'performance'.

lgicos sin ninguna utilidad.

En la actualidad la inmensa mayora de sistemas tienen la informacin organizada en sendas Bases de Datos. Los criterios

Ejemplo: Archivos y procesos que sirvan como pistas de auditora

Software de aplicacin.

que se citan a continuacin hacen referencia a la seguridad de los Sistemas

En este apartado se trata todo lo Procedimientos de validacin concerniente al software de aplicacin, es decir, todo lo relativo a las aplicaciones de Controles Correctivos gestin, sean producto de desarrollo interno de la empresa o bien sean Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles defectivos sobre los controles correctivos, debido a que la correccin de errores es en s una actividad altamente propensa a errores. . Metodologa: existe, se aplica, es satisfactoria. Documentacin: existe, esta actualizada, es accesible. . Estndares: se aplican, como y quien lo 4.5 Seguridad en los datos y software de aplicacin. controla. Involucracin del usuario. . Participacin de personal externo. Desarrollo de software. paquetes estndar adquiridos en el mercado.

de Gestin de Bases de Datos (SGBD) que cumplan normas ANSI, si bien muchos de ellos pueden ser aplicables a los archivos de datos convencionales.

Diseo de bases de datos.

Es importante la utilizacin de metodologas de diseo de datos. El equipo de analistas y diseadores deben hacer uso de una misma metodologa de diseo, la cual debe estar en concordancia con la arquitectura de la Base de Datos elegida jerrquica, relacional, red, o bien orientada a objetos.

Practica

tipo, longitud y rango aceptable en cada Debe realizarse una estimacin previa del volumen necesario para el almacenamiento de datos basada en distintos aspectos tales como el nmero mnimo y mximo de registros de cada entidad del modelo de datos y las predicciones de crecimiento. Debe designarse un Administrador de Datos, ya que es importante centralizar en personas especializadas en el tema las tareas de redaccin de normas referentes A partir de distintos factores como el nmero de usuarios que acceder a la informacin, la necesidad de compartir informacin y las estimaciones de volumen se deber elegir el SGBD ms adecuado a las necesidades de la empresa o proyecto en cuestin. Creacin de bases de datos. En la fase de diseo de datos, deben definirse los procedimientos de seguridad, confidencialidad e integridad que se aplicarn a los datos: Debe crearse un entorno de desarrollo con datos de prueba, de modo que las actividades del desarrollo no interfieran el entorno de explotacin. Los datos de Procedimientos para recuperar los datos en casos de cada del sistema o de corrupcin de los archivos. prueba deben estar dimensionados de manera que permitan la realizacin de pruebas de integracin con otras aplicaciones, de rendimiento con Procedimientos para prohibir el acceso no autorizado a los datos. Para ello debern identificarlos. En la fase de creacin, deben desarrollarse los procedimientos de Procedimientos para restringir el acceso no autorizado a los datos. Debiendo identificar los distintos perfiles de usuario que accedern a los archivos de la aplicacin y los subconjuntos de informacin que podrn modificar o consultar. seguridad, confidencialidad e integridad definidos en la etapa de diseo: . Construccin de los procedimientos de copia y restauracin de datos. . Construccin de los procedimientos de restriccin y control de acceso. Existen dos enfoques para este tipo de procedimientos: Procedimientos para mantener la consistencia y correccin de la informacin en todo momento. Confidencialidad basada en roles, que consiste en la definicin de los perfiles de usuario y las acciones que les son Bsicamente existen dos niveles de integridad: la de datos, que se refiere al permitidas (lectura, actualizacin, alta, borrado, creacin/eliminacin de tablas, volmenes altos. al gestor de datos utilizado, definicin de estndares y nomenclatura, diseo de procedimientos de arranque, recuperacin de datos, asesoramiento al personal de desarrollo entre algunos otros aspectos. caso, y la lgica, que hace referencia a las relaciones que deben existir entre las tablas y reglas del negocio.

modificacin de la estructura de las tablas).

4.6 Controles para evaluar software de aplicacin. Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditora es la verificacin de la observancia de las normas tericamente existentes en el departamento de Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de revisarse sucesivamente y en este orden:

1. Las Normas Generales de la Instalacin Informtica. Se realizar una revisin inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las reas que carezcan de normativa, y sobre todo verificando que esta Normativa General . Informtica no est en contradiccin con alguna Norma General no informtica de la empresa.

2. Los Procedimientos Generales Informticos. Se verificar su existencia, al menos en los sectores ms importantes. Por ejemplo, la recepcin definitiva de las mquinas debera estar firmada por los responsables de Explotacin. Tampoco el alta de una nueva Aplicacin podra producirse si no existieran los Procedimientos de Backup y Recuperacin correspondientes.

3. Los Procedimientos Especficos Informticos. Igualmente, se revisara su existencia en las reas fundamentales. As, Explotacin no debera explotar una Aplicacin sin haber exigido a Desarrollo la pertinente documentacin. Del mismo modo, deber comprobarse que los Procedimientos Especficos no se

Practica

10

opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deber verificarse que no existe contradiccin alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informtica debe estar sometida.

Segn datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden unos 500 millones de dlares al ao debido a los piratas que les roban de las cuentas online sus nmeros de tarjeta de crdito y de llamadas. Dichos nmeros se pueden vender por jugosas sumas de dinero a

continuo de disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos informticos.

Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se puede perder la credibilidad del

4.7 Controles para prevenir crmenes y fraudes informticos. En los aos recientes las redes de computadoras han crecido de manera asombrosa. Hoy en da, el nmero de usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con sus mdicos online supera los 200 millones, comparado con 26 millones en 1995.

falsificadores que utilizan programas especiales para codificarlos en bandas magnticas de tarjetas bancarias y de crdito, seala el Manual de la ONU.

Otros delincuentes de la informtica pueden sabotear las computadoras para ganarle ventaja econmica a sus competidores o amenazar con daos a los sistemas con el fin de cometer extorsin. Los malhechores manipulan los datos o

pblico o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total.

En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldrn del negocio en dos o tres aos. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer.

A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorizacin o "piratera informtica", el fraude, el sabotaje informtico, la trata de nios con fines pornogrficos y el acecho.

las operaciones, ya sea directamente o mediante los llamados "gusanos" o "virus", que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. Algunos virus dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por medio de disquetes "infectados"; tambin se estn propagando ltimamente por las

Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratgico de

Los delincuentes de la informtica son tan diversos como sus delitos; puede tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos delincuentes pueden pasar desapercibidos a travs de las fronteras, ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningn documento de rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en "parasos informticos" - o sea, en pases que carecen de leyes o experiencia para seguirles la pista -.

redes, con frecuencia camuflados en mensajes electrnicos o en programas "descargados" de la red.

4.8 Plan de contingencia, seguros, procedimientos de recuperacin de desastres. Medida que las empresas se han vuelto cada vez ms dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel

seguridad para una organizacin.

4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal. SEGURIDAD FISICA

Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa, tales como el hardware, perifricos, y equipos asociados, las instalaciones

Practica

11

elctricas, las instalaciones de comunicacin y de datos.

construcciones, el mobiliario y equipo de oficina, as como la proteccin a los accesos al centro de sistematizacin.

En s, es todo lo relacionado con la seguridad, la prevencin de riesgos y proteccin de los recursos fsicos informticos de la empresa.

Igualmente todo lo relacionado con la seguridad y salvaguarda de las

UNIDAD V Auditoria de la seguridad en la teleinformtica. 5.1 Generalidades de la seguridad en el rea de la teleinformtica.

En la actualidad tiene una gran trascendencia tanto tcnica como social, lo que se denomina teleinformtica: la unin de la informtica y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de expresiones y conceptos relacionados con la teleinformtica. Este trabajo se basa en conceptos fundamentales expresados de la manera ms simple posible, pero a su vez siendo precisos. Comenzamos por introducir la historia y evolucin de la teleinformtica y de la manera en que fue desarrollndose, y a su vez, proporcionando un panorama general del tema. Luego mencionamos de forma genrica los elementos que integran un sistema teleinformtica, desde un simple terminal hasta una red. Continuamos explicando las tcnicas fundamentales de transmisin de datos, para comprender cmo viaja la informacin de un sistema a otro a travs de los circuitos de telecomunicacin. Las tcnicas de comunicacin se estructuran en niveles: fsico, enlace de datos, red, transporte, sesin, presentacin y aplicacin. Tambin, mencionamos las redes de rea local ya que son muy importantes en lo que a la teleinformtica respecta. Hicimos inca pi en la red Internet y su protocolo TCP/IP, y en los conceptos bsicos sobre Programas de Comunicacin y Gestin de Red. Analizamos los servicios de valor aadido como el Video tex, Ibercom o La Telefona Mvil. Adems, establecimos los ltimos desarrollos y las tendencias de la teleinformtica, desde las redes digitales hasta el proceso distribuido. Por ltimo, manifestamos la importancia de la relacin que existe entre la teleinformtica y la sociedad, en lo que respecta a la educacin, la sanidad y la empresa. Explicaremos claramente la importancia de la teleinformtica y su desarrollo a travs de la historia desde el comienzo ya que es uno de los factores que ha constituido y constituye un elemento fundamental para la evolucin de la humanidad: la comunicacin. En una comunicacin se transmite informacin desde una persona a otra e intervienen tres elementos: el emisor, que da origen a la informacin, el medio, que permite la transmisin, y el receptor, que recibe la informacin. La primera comunicacin que existi entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos gestos iban acompaados de sonidos. Posteriormente, comenz la comunicacin hablada a travs de un determinado lenguaje, en el cul cada palabra significaba algo y cada frase tena un contenido informativo. Ms tarde, el hombre tubo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aqu donde aparecen las seales de humo, destellos con espejos entre innumerables mtodos de comunicacin. Con el paso del tiempo y la evolucin tecnolgica, la comunicacin a distancia comenz a ser cada vez ms importante.

Practica

12

La primera tcnica utilizada surgi con la aparicin del telgrafo y el cdigo morse que permitieron comunicaciones a travs de cables a unas distancias considerables. Posteriormente se desarroll la tcnica que dio origen al telfono para la comunicacin directa de la voz a larga distancia. Ms tarde la radio y la transmisin de imgenes a travs de la televisin habilitaron un gran nmero de tcnicas y mtodos que luego fueron muy importantes a lo que respecta a la comunicacin. 5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica. As ante la continua aparicin de nuevas herramientas de gestin, la auditora interna se ve compelida a velar entre otras cosas por la aplicacin y buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso. Dijimos antes que la auditora deba velar no slo por los activos de la empresa sino adems por su capacidad competitiva. Cuidar de esto ltimo significa difundir, apoyar y controlar las nuevas y buenas prcticas. As, haciendo uso del benchmarking puede verificar y promover las mejores prcticas para el mantenimiento de la ms alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa. En la auditora de otras reas pueden tambin surgir revisiones solapadas con la seguridad; as a la hora de revisar el Como brillantemente lo expresa Fernando Gaziano (Deloitte Chile), "los auditores y los astrnomos compartimos plenamente una idea: el universo se expande. As como despus del "big bang" un universo de planetas y estrellas comenz y contina expandindose, de la misma forma el mundo del Auditor Interno es cada vez ms amplio. Como nunca, probablemente hoy se enfrenta a uno de los cambios ms importantes en su profesin, debiendo abordar aspectos relacionados con el Gobierno Corporativo y los nuevos riesgos a los que se enfrentan las organizaciones. 5.3 Sntomas de riesgo. La Auditora de la Seguridad desarrollo se ver si se realiza en un entorno seguro, etc. Para muchos la seguridad sigue siendo el rea principal a auditar, hasta el punto de que en algunas entidades se cre inicialmente la funcin de auditora informtica para revisar la seguridad, aunque despus se hayan ido ampliando los objetivos. Cada da es mayor la importancia de la informacin, especialmente relacionada con sistemas basados en el uso de tecnologa de informacin y comunicaciones, por lo que el impacto de las fallas, los accesos no autorizados, la revelacin de la informacin, entre otros problemas, tienen un impacto mucho mayor que hace algunos aos. construccin y distribucin de edificios; amenazas de fuego, riesgos por agua, por accidentes atmosfricos; contenido en paquetes}, bolsos o carteras que se introducen o salen de los edificios; visitas, clientes, proveedores, contratados; proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y transporte. Control de accesos adecuado. Tanto fsicos como lgicos, que se realicen slo las operaciones permitidas al usuario: lectura, variacin, ejecucin, borrado y copia, y quedando las pistas necesarias para el control y la auditora. Uso de contraseas, cifrado de las mismas, situaciones de bloqueo. Proteccin de datos. Origen del dato, proceso, salida de los datos. Comunicaciones y redes. Topologa y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus. Tipos de transacciones. Proteccin de Los controles directivos. Son los fundamentos de la seguridad: polticas, planes, funciones, objetivos de control, presupuesto, as como si existen sistemas y mtodos de evaluacin peridica de riesgos. El desarrollo de las polticas. Procedimientos, posibles estndares, normas y guas. Amenazas fsicas externas. Inundaciones, incendios, explosiones, corte de lneas o suministros, terremotos, terrorismo, huelgas, etc., se considera: la ubicacin del centro de procesos, de los servidores, PCs, computadoras porttiles (incluso fuera de las oficinas); estructura, diseo, conversaciones de voz en caso necesario, proteccin de transmisiones por fax para contenidos clasificados. Internet e Intranet, correo electrnico, control sobre pginas web, as como el comercio electrnico. El entorno de produccin. Cumplimiento de contratos, outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditables. Con el uso de licencias (de los programas utilizados). La continuidad de las operaciones. Planes de contingencia o de Continuidad.

Practica

13

No se trata de reas no relacionadas, sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos, cifrado con comunicaciones, etc.

(generalmente no pueden eliminarse), transferirse o asumirse.

. Generalidades . Intrusos . Amenazas

5.4 Tcnicas y herramientas de auditora relacionadas con la seguridad en la

. Ataques

Evaluacin de riesgos

teleinformtica.

Planeacin de la Seguridad

Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Para evaluarlos hay que considerar el tipo de informacin almacenada, procesada y transmitida, la criticidad de las operaciones, la tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento. Los riesgos pueden disminuirse

Introducir al estudiante en los aspectos tcnicos, funcionales y organizacionales que componen la problemtica de seguridad en las redes teleinformticas, ilustrando las operaciones, tcnicas y herramientas ms usuales para garantizar privacidad, autenticacin y seguridad.

. Anlisis del sistema actual . Anlisis de riesgos . Definicin de polticas de seguridad . Implantacin de la seguridad

Servicios de Seguridad

. Modelo OSI para arquitecturas de Introduccin General a la Seguridad en Redes Seguridad . Modelo TCP/IP

. Definiciones

UNIDAD VI Informe de la auditoria informtica. 6.1 Generalidades de la seguridad del rea fsica.
Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 6.2 Caractersticas del informe. Objetivos, caractersticas y afirmaciones que contiene el informe de auditora aspectos significativos o importantes, sobre si stas muestran la imagen fiel del patrimonio, de la situacin financiera y del resultado de sus operaciones, as como de los recursos obtenidos y El informe de auditora financiera tiene como objetivo expresar una opinin tcnica de las cuentas anuales en los Caractersticas del informe de auditora: 4. Se realiza conforme a un marco legal. aplicados durante el ejercicio. 3. Contiene la opinin del auditor. 2. Muestra el alcance del trabajo. 1. Es un documento mercantil o pblico.

Practica

14

Informe de Auditora como un producto Principales afirmaciones que contiene el informe: final de este trabajo. El informe contendr el mensaje del Auditor sobre lo que ha hecho y como lo ha realizado, as Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qu normas de auditora. Concepto Es el documento emitido por el Auditor Expresa si las cuentas anuales contienen la informacin necesaria y suficiente y han sido formuladas de acuerdo con la legislacin vigente y, tambin, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad. como resultado final de su examen y/o evaluacin, incluye informacin suficiente sobre Observaciones, Conclusiones de hechos significativos, as como Recomendaciones constructivos para superar las debilidades en cuanto a polticas, procedimientos, cumplimiento de actividades y otras. Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos significativos, la imagen fiel del patrimonio, de la situacin financiera, de los resultados y de los recursos obtenidos y aplicados. Importancia El Informe de Auditora, reviste gran Importancia, porque suministra a la administracin de la empresa, informacin sustancial sobre su proceso administrativo, como una forma de Se opina tambin sobre la concordancia de la informacin contable del informe de gestin con la contenida en las cuentas anuales. El Informe a travs de sus observaciones, conclusiones y recomendaciones, En su caso, explica las desviaciones que presentan los estados financieros con respecto a unos estndares preestablecidos. constituye el mejor medio para que las organizaciones puedan apreciar la forma como estn operando. En algunas oportunidades puede ocurrir que, debido a un descuido en su preparacin, se Podemos sintetizar que el informe es una presentacin pblica, resumida y por escrito del trabajo realizado por los auditores y de su opinin sobre las cuentas anuales. pierde la oportunidad de hacer conocer a la empresa lo que realmente desea o necesita conocer para optimizar su administracin, a pesar de que se haya emitido un voluminoso informe, pero inadvertidamente puede estar falto de 6.3 Estructura del informe. Concluido el Trabajo de Campo, el auditor tendr como responsabilidad la confeccin del sustentacin y fundamento adecuado; en consecuencia su contenido puede ser pobre; con esto queremos hacer resaltar el hecho de que, el Informe debe comunicar informacin til para contribuir al cumplimiento de sus metas y objetivos programados. como los resultados obtenidos.

promover la toma de decisiones. Lamentablemente esto no se lograr si el informe revela pobreza de expresin y no se aportan comentarios constructivos.

Redaccin del Informe La Redaccin se efectuar en forma corriente a fin de que su contenido sea comprensible al lector, evitando en lo posible el uso de terminologa muy especializada; evitando prrafos largos y complicados, as como expresiones grandilocuentes y confusas.

La Redaccin del Informe debe merecer mucha atencin cuidado de parte del auditor para que tenga la acogida y aceptacin que los empresarios esperan de l, en este sentido el Informe debe:

. Despertar o motivar inters. . Convencer mediante informacin sencilla, veraz y objetiva.

2. Requisitos del informe

Claridad y simplicidad. La Claridad y Simplicidad, significan introducir sin mayor dificultad en la mente del lector del informe, lo que el Auditor ha escrito o pens escribir. A veces lo que ocasiona la deficiencia de claridad y simplicidad del informe es precisamente la falta de claridad en los conceptos que el Auditor tiene en mente, es decir, no hay una cabal comprensin de lo que realmente quiere comunicar, asimismo cuando el Informe est falto de claridad, puede dar lugar a una doble interpretacin, ocasionando de este modo que, se torne intil y pierda su utilidad. En consecuencia, para que el

Practica

15

informe logre su objetivo de informar o comunicar al cliente, el Auditor:

El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada

proyecto y de las principales conclusiones (mximo cinco pginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realizacin del proyecto, los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones, patentes, registros, normas, certificaciones, memorias, formacin de recurso humano, capacitacin, organizacin y/o participacin en eventos

. Evitar el uso de un lenguaje tcnico, florido o vago. . Evitar ser muy breve. . Evitar incluir mucho detalle. . Utilizar palabras simples, familiares al lector, es decir, escribir en el idioma que el lector entiende.

Facultad, Centro o Instituto. El informe debe contener un ndice. Cada pgina del informe debe estar numerada. Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. El informe tcnico final deber presentarse en versin impresa y

6.4 Formato para el informe. El formato para informes finales est enfocado a apoyar y facilitar el proceso de evaluacin de los resultados de los proyectos financiados por la sede Bogot, con respecto a los compromisos adquiridos en el proyecto aprobado. Adems de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtencin de los resultados esperados y de las actividades de investigacin cientfica.

magntica (CD o disquete).

I. CONTENIDO DEL INFORME TCNICO

cientficos, etc., estos deben numerarse y adjuntarse como anexos del informe (ver

1. Ttulo y cdigo del proyecto 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece 3. Fecha de entrega del Informe 4. Sinopsis divulgativa: Con el propsito de promover la divulgacin de las actividades investigativas que adelanta la Sede Bogot y para dar mayor difusin a los proyectos, deben incluir un resumen de una cuartilla que servir de base para

cuadro No. 1). 7. Descripcin del impacto actual o potencial de los resultados: En trminos de generacin de nuevo conocimiento a nivel mundial, de aporte para el desarrollo del pas, de contribucin a la solucin de problemas especficos, de fortalecimiento de la capacidad cientfica, y de fortalecimiento de la investigacin y creacin en la Sede Bogot (mximo dos pginas). 8. Conclusiones .

Los informes finales tcnico y financiero, deben ser entregados a la Direccin de Investigacin de la sede, al finalizar el periodo de ejecucin del proyecto.

la elaboracin de notas acadmicas dirigidas a los medios de comunicacin de la Universidad. 5. Resumen tcnico de los resultados obtenidos durante la realizacin del

Practica

16