Auditoria Informática Todas Las Unidades

AUDITORIA INFORMTICA
Pgina 1
INSTITUTO TECNOLGICO DE APIZACO
LIC. EN INFPRMATICA
ASIGNATURA:
AUDITORIA INFORMATICA
TRABAJO:
AUDITORIA INFORMATICA
CATEDRATICO:
LIC. MARTIN ROJAS RAMIREZ
ALUMNO:
AGUSTIN DE GANTE PERALTA
30 NOVIEMBRE 2011
INDICE
Presen!"#$n%%%%%%%%%%%%%%%%%%%%%%%%%%%.1
In"#&e%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%2
Inr'&(""#$n%%%%%%%%%%%%%%%%%%%%%%%%%%%%3
1.) Inr'&(""#$n ! *! A(&#'r#!
1.1 C'n"e+'s &e !(&#'r#! , !(&#'r#! In-'r./#"!%%%%%%%%%%%%3
1.2 T#+'s &e !(&#'r#!%%%%%%%%%%%%%%%%%%%%%%%%%.0
1.2.1 A(&#'r#! #nern! , e1ern!%%%%%%%%%%%%%%%%%%%%.0
1.3 C!.+' &e *! !(&#'r#! #n-'r./#"!%%%%%%%%%%%%%%%%%..2
1.3 C'nr'* #nern'%%%%%%%%%%%%%%%%%%%%%%%%%%10
1.4 M'&e*'s &e "'nr'* (#*#5!&'s en !(&#'r#! #n-'r./#"!%%%%%%%%11
1.6 Pr#n"#+#'s !+*#"!&'s ! *'s !(&#'res #n-'r./#"'s%%%%%%%%%%..16
1.0 Res+'ns!7#*#&!&es &e *'s !&.#n#sr!&'res , &e* !(&#'r%%%%%%%.18
2 P*!ne!"#$n &e *! !(&#'r#! In-'r./#"!.
2.1 F!ses &e *! !(&#'r#!%%%%%%%%%%%%%%%%%%%%%%%%23
2.1.1 P*!ne!"#$n%%%%%%%%%%%%%%%%%%%%%%%%%%%...24
2.1.2 Re9#s#$n +re*#.#n!r..%%%%%%%%%%%%%%%%%%%%%%%.24
2.1.3 Re9#s#$n &e!**!&!. %%%%%%%%%%%%%%%%%%%%%%%26
2.1.3 E1!.en , e9!*(!"#$n &e *! #n-'r.!"#$n%%%%%%%%%%%%%%26
2.1.4 Pr(e7!s &e "'nr'*es &e (s(!r#'%%%%%%%%%%%%%%%%%.20
2.1.6 Pr(e7!s s(s!n#9!s%%%%%%%%%%%%%%%%%%%%%%%.20
2.2 E9!*(!"#$n &e *'s s#se.!s &e !"(er&' !* r#es:'%%%%%%%%%%%22
2.3 In9es#:!"#$n +re*#.#n!r%%%%%%%%%%%%%%%%%%%%%%.33
2.3 Pers'n!* +!r#"#+!ne. %%%%%%%%%%%%%%%%%%%%%%%36
3 A(&#'r#! &e *! -(n"#$n #n-'r./#"!.
3.1 Re"'+#*!"#$n &e *! #n-'r.!"#$n 'r:!n#5!"#'n!*%%%%%%%%%%%..32
3.2 E9!*(!"#$n &e *'s re"(rs's ;(.!n's%%%%%%%%%%%%%%%%33
3.3 Enre9#s!s "'n e* +ers'n!* &e #n-'r./#"!%%%%%%%%%%%%......30
3.3 S#(!"#$n +res(+(es!* , -#n!n"#er!%%%%%%%%%%%%%%%%%40
3.3.1 Pres(+(es's%%%%%%%%%%%%%%%%%%%%%%%%%%40
3.3.2 Re"(rs's -#n!n"#er's , .!er#!*es%%%%%%%%%%%%%%%%..41
Pgina 2
3 E9!*(!"#$n &e *! se:(r#&!&.
3.1 Gener!*#&!&es &e *! se:(r#&!& &e* /re! -<s#"!%%%%%%%%%%%%42
3.2 Se:(r#&!& *$:#"! , "'n-#&en"#!*. %%%%%%%%%%%%%%%%%..43
3.3 Se:(r#&!& +ers'n!*. %%%%%%%%%%%%%%%%%%%%%%%..44
3.3 C*!s#-#"!"#$n &e *'s "'nr'*es &e se:(r#&!&. %%%%%%%%%%%%44
3.4 Se:(r#&!& en *'s &!'s , s'-=!re &e !+*#"!"#$n%%%%%%%%%%...40
3.6 C'nr'*es +!r! e9!*(!r s'-=!re &e !+*#"!"#$n%%%%%%%%%%%..48
3.0 C'nr'*es +!r! +re9en#r "r<.enes , -r!(&es #n-'r./#"'s%%%%%%..62
3.2 P*!n &e "'n#n:en"#!> se:(r's> +r'"e&#.#en's &e re"(+er!"#$n &e
&es!sres%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%...63
3.8 T?"n#"!s , ;err!.#en!s re*!"#'n!&!s "'n *! se:(r#&!& -<s#"! , &e*
+ers'n!*. %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%62
3.10 T?"n#"!s , ;err!.#en!s re*!"#'n!&!s "'n *! se:(r#&!& &e *'s &!'s ,
s'-=!re &e !+*#"!"#$n. %%%%%%%%%%%%%%%%%%%%%%%%.68
4 A(&#'r#! &e *! se:(r#&!& en *! e*e#n-'r./#"!.
4.1 Gener!*#&!&es &e *! se:(r#&!& en e* /re! &e *! e*e#n-'r./#"!%%%%00
4.2 O7@e#9's , "r#er#'s &e *! !(&#'r#! en e* /re! &e *! e*e#n-'r./#"!%%03
4.3 S<n'.!s &e r#es:'%%%%%%%%%%%%%%%%%%%%%%%%06
4.3 T?"n#"!s , ;err!.#en!s &e !(&#'r#! re*!"#'n!&!s "'n *! se:(r#&!& en *!
e*e#n-'r./#"!%%%%%%%%%%%%%%%%%%%%%%%%%%%%..20
6 In-'r.e &e *! !(&#'r#! #n-'r./#"!.
6.1 Gener!*#&!&es &e *! se:(r#&!& &e* /re! -<s#"!%%%%%%%%%%%%22
6.2 C!r!"er<s#"!s &e* #n-'r.e. %%%%%%%%%%%%%%%%%%%%24
6.3 Esr("(r! &e* #n-'r.e%%%%%%%%%%%%%%%%%%%%%%%80
6.3 F'r.!' +!r! e* #n-'r.e. %%%%%%%%%%%%%%%%%%%%%106
C'n"*(s#$n%%%%%%%%%%%%%%%%%%%%%%%%%%%%..111
B#7*#':r!-<!%%%%%%%%%%%%%%%%%%%%%%%%%%%%%.112
INTRODUCCION
Pgina 3
En un ambiente donde la informtica esta encabezando el trabao en las diferentes
oficinas e instituciones! el almacenamiento! eecuci"n # $rocesamiento de los
datos se esta %aciendo &'a com$utadoras! $or lo tanto en el trabao de la auditoria
tambi(n es al)o indis$ensable* Aun+ue en el ambiente de la informtica la
com$utadora es el medio $rinci$al $ara auditar $ero no %a# +ue ol&idar +ue es a la
$ersona unto a la informaci"n la cual estamos auditando # no la com$utadora en
si! no se cambi" el es$irito de la auditor'a tradicional! solamente se cambi" el
m(todo*
,ara dar un meor ser&icio a la comunidad! nuestro $a's desde los a-os ./ #a
em$ez" a utilizar las $rocesadoras $ara $rocesar informaciones En 0123! el 4uan
5e)islati&o em$ez" a $romo&er el uso del sistema informati&o! constru#endo redes
informati&as entre la informtica industrial # su $ro)reso! nominando al )ru$o de
trabao 6 7ru$o de $romoci"n de la informtica6! en casi todos los lu)ares!
em$ezando $or instalaci"n de )ru$os de trabaos en el $rocesamiento de datos e
informaciones en las $ro&incias! ciudades # otras reas! enfocando $rinci$almente
en las reas financieras! medicas! sistema de se)uro social! im$uestos!
o$ortunidades de trabao # otras informaciones $ara facilitar el trabao del $8blico*
El Ministerio de la Auditoria! llamado tambi(n 5a Oficina de la Auditoria 9NAO:! $or
el cambio del ambiente de trabao tradicional a la nue&a de la informtica! en estos
a-os de $romo&er la Auditoria Informtica se %an obtenido mu# buenos resultados
dentro de esta rea! se %an %ec%o $lanes! tcticas de trabao # lo ms im$ortante
$rocesar los resultados de las ins$ecciones de la auditoria $ara $oder analizarlos
des$u(s*

UNIDAD 1 INTRODUCCIAN A LA AUDITORIA INFORMBTICA.
Pgina 4
1.1 CONCEPTOS DE AUDITORIA C AUDITORIA INFORMBTICA.
CONCEPTO DE AUDITORIA:
5a auditor'a es el e;amen cr'tico # sistemtico +ue realiza una $ersona o )ru$o de
$ersonas inde$endientes del sistema auditado*
FUNCIAN A DESARROLLAR DE UNA AUDITORIA
<In&esti)aci"n constante de $lanes # obeti&os
<Estudio de las $ol'ticas # sus $rcticas
<Re&isi"n constante de la estructura or)nica
<Estudio constante de las o$eraciones de la em$resa
<Analizar la eficiencia de la utilizaci"n de recursos %umanos # materiales *
<Re&isi"n del e+uilibrio de las car)as de trabao
<Re&isi"n constante de los m(todos de control
CONCEPTO DE INFORMBTICA
es el cam$o +ue se encar)a del estudio # a$licaci"n $rctica de la tecnolo)'a!
m(todos! t(cnicas # %erramientas relacionados con las com$utadoras # el maneo
de la informaci"n $or medios electr"nicos! el cual com$rende las reas de la
tecnolo)'a de informaci"n orientadas al buen uso # a$ro&ec%amiento de los
recursos com$utacionales $ara ase)urar +ue la informaci"n de las or)anizaciones
flu#a 9entidades internas # e;ternas de los ne)ocios: de manera o$ortuna # &eraz
CONCEPTOS DE AUDITORIA INFORMBTICA
,roceso metodol")ico eecutado $or es$ecialistas del rea de auditor'a # de
informtica*
Orientado a la &erificaci"n # ase)uramiento de +ue las $ol'ticas # $rocedimientos
establecidos $ara el maneo # uso adecuado de la tecnolo)'a de informaci"n! se
lle&en a cabo de manera o$ortuna # eficiente*
=ue o$eren en un ambiente se se)uridad # control $ara )enerar confiabilidad!
inte)ridad! e;actitud! etc* en los datos**
Pgina 5
Debe )enerar un informe +ue indi+ue las obser&aciones! recomendaciones #
reas de o$ortunidad $ara el meoramiento # o$timizaci"n de las Tecnolo)'as de
Informaci"n*
5os obeti&os de la auditor'a Informtica son>
El control de la funci"n informtica
El anlisis de la eficiencia de los ?istemas Informticos
5a &erificaci"n del cum$limiento de la Normati&a en este mbito
5a re&isi"n de la eficaz )esti"n de los recursos informticos*
5a auditor'a informtica sir&e $ara meorar ciertas caracter'sticas en la
em$resa como>
@ Eficiencia
@ Eficacia
@ Rentabilidad
@ ?e)uridad
I.+'r!n"#! &e *! !(&#'r#! en #n-'r./#"!:
5a tecnolo)'a informtica 9%ardAare! softAare! redes! bases de datos! etc*: es una
%erramienta estrat()ica +ue brinda rentabilidad # &entaas com$etiti&as a los
ne)ocios frente a otros ne)ocios similares en el mercado! $ero $uede ori)inar
costos # des&entaas si no es bien administrada $or el $ersonal encar)ado*
5a soluci"n clara es entonces realizar e&aluaciones o$ortunas # com$letas de la
funci"n informtica! a car)o de $ersonal calificado! consultores e;ternos! auditores
en informtica o e&aluaciones $eri"dicas realizadas $or el mismo $ersonal de
informtica
Tambi(n es un conunto de tareas realizadas $or un es$ecialista $ara la
e&aluaci"n o re&isi"n de $ol'ticas # $rocedimientos relacionados con las
diferentes reas de una em$resa
Pgina 6
Administrati&as*
Financieras*
O$erati&as*
Informtica*
Cr(dito*
Fiscales
1.2 TIPOS DE AUDITORIA.
1.2.1 AUDITORIA INTERNA C EDTERNA.
LA AUDITOREA INTERNA
Es la realizada con recursos materiales # $ersonas +ue $ertenecen a la em$resa
auditada* 5os em$leados +ue realizan esta tarea son remunerados
econ"micamente* 5a auditor'a interna e;iste $or e;$resa decisi"n de la Em$resa!
o sea! +ue $uede o$tar $or su disoluci"n en cual+uier momento* ,or otro lado!
LA AUDITOREA EDTERNA
Pgina 7
Es realizada $or $ersonas afines a la em$resa auditadaB es siem$re
remunerada* ?e $resu$one una ma#or obeti&idad +ue en la Auditor'a
Interna! debido al ma#or distanciamiento entre auditores # auditados*
El auditor tiene relaci"n con la em$resa*
5a relaci"n con la em$resa $uede influir en la emisi"n del uicio sobre la
E&aluaci"n de las reas de la em$resa*
Informe $ara uso interno*
,ermite detectar $roblemas # des&iaciones*
,uede actuar $eri"dicamente como $arte de su ,lan Anual*
5os auditados conocen estos $lanes # se %abit8an a las Auditor'as*
5as Recomendaciones %abidas benefician su trabao*
El auditor no tiene relaci"n con la em$resa
Re&isi"n inde$endiente con total libertad de criterio sin nin)una influencia*
Realizadas $or des$ac%os de auditores
7eneralmente solicitado $or instituciones )ubernamentales
1.3.) CAMPO DE LA AUDITORIA INFORMBTICA
Al)unos cam$os de a$licaci"n de la informtica son las si)uientes>
<In9es#:!"#$n "#en<-#"! , ;(.!n<s#"!: ?e usan las com$utadoras $ara
la resoluci"n de clculos matemticos! recuentos num(ricos! etc* Al)unas
de estas o$eraciones>
Resoluci"n de ecuaciones*
Anlisis de datos de medidas e;$erimentales! encuestas etc*
Anlisis automticos de te;tos*
Pgina 8
<A+*#"!"#'nes ?"n#"!s> Usa la com$utadora $ara facilitar dise-os de in)enier'a
# de $roductos comerciales! trazado de $lanos! etc* Al)unas de estas o$eraciones>
Anlisis # dise-o de circuitos de com$utadora*
Clculo de estructuras en obras de in)enier'a*
Miner'a*
Carto)raf'a*
D'"(.en!"#$n e #n-'r.!"#$n: Es uno de los cam$os ms im$ortantes $ara la
utilizaci"n de com$utadoras*
Estas se usan $ara el almacenamiento de )randes cantidades de datos # la
recu$eraci"n controlada de los mismos en bases de datos*
Eem$los de este cam$o de a$licaci"n son>
Documentaci"n cient'fica # t(cnica*
Arc%i&os automatizados de bibliotecas*
Cases de datos ur'dicas*
<Ges#$n !&.#n#sr!#9!: Automatiza las funciones de )esti"n t'$icas de una
em$resa* E;isten $ro)ramas +ue realizan las si)uientes acti&idades>
Contabilidad*
Facturaci"n*
Control de e;istencias*
Pgina 9
Ine*#:en"#! !r#-#"#!*: 5as com$utadoras se $ro)raman de forma +ue emulen el
com$ortamiento de la mente %umana* 5os $ro)ramas res$onden como
$re&isiblemente lo %ar'a una $ersona inteli)ente*
A$licaciones como>
Reconocimiento de len)uae natural*
,ro)ramas de ue)o com$leos 9aedrez:*
<Insr(.en!"#$n , "'nr'*: Instrumentaci"n electr"nica! electro
medicina! robots industriales! entre otros*
1.3.) CONTROL INTERNO.
?e $uede definir el control interno como 6cual+uier acti&idad o acci"n realizada
manual #Do automticamente $ara $re&enir! corre)ir errores o irre)ularidades +ue
$uedan afectar al funcionamiento de un sistema $ara lo)rar o conse)uir sus
obeti&os*
5os controles internos se clasifican en los si)uientes>
<C'nr'*es +re9en#9's: ,ara tratar de e&itar el %ec%o! como un softAare de
se)uridad +ue im$ida los accesos no autorizados al sistema*
Pgina 10
<C'nr'*es &ee"#9's: Cuando fallan los $re&enti&os $ara tratar de conocer
cuanto antes el e&ento* ,or eem$lo! el re)istro de intentos de acceso no
autorizados! el re)istro de la acti&idad diaria $ara detectar errores u omisiones*etc*
<C'nr'*es "'rre"#9's: Facilitan la suelta a la normalidad cuando se %an
$roducido incidencias* ,or eem$lo! la recu$eraci"n de un fic%ero da-ado a $artir
de las co$ias de se)uridad*
,ara la im$lantaci"n de un sistema de controles internos informticos %abr +ue
definir>
<Ges#$n &e s#se.! &e #n-'r.!"#$n> $ol'ticas! $autas # normas t(cnicas +ue
sir&an de base $ara el dise-o # la im$lantaci"n de los sistemas de
informaci"n # de los controles corres$ondientes*
<A&.#n#sr!"#$n &e s#se.!s> Controles sobre la acti&idad de los centros de
datos # otras funciones de a$o#o al sistema! inclu#endo la administraci"n de las
redes*
<Se:(r#&!&> inclu#e las tres clases de controles fundamentales im$lantados en
el softAare del sistema! inte)ridad del sistema! confidencialidad 9control de
acceso: # dis$onibilidad*
<Ges#$n &e* "!.7#'> se$araci"n de las $ruebas # la $roducci"n a ni&el del
softAare # controles de $rocedimientos $ara la mi)raci"n de $ro)ramas
softAare a$robados # $robados*
Pgina 11
1.4.) MODELOS DE CONTROL
En la actualidad e;isten una )ran cantidad de modelos de control interno*
5os modelos de control interno CO?O # COCIT son los dos modelos ms
difundidos en la actualidad*
CO?O est enfocado a toda la or)anizaci"n! contem$la $ol'ticas! $rocedimientos #
estructuras or)anizati&as adems de $rocesos $ara definir el modelo de control
interno*
Mientras +ue COCIT 9Control Obecti&es for Information and Related Tec%nolo)#!
Obeti&os de Control $ara Tecnolo)'a de Informaci"n # Tecnolo)'as relacionadas:
se centra en el entorno IT! contem$la de forma es$ec'fica la se)uridad de la
informaci"n como uno de sus obeti&os! cosa +ue CO?O no %ace* Adems el
modelo de control interno +ue $resenta COCIT es ms com$leto! dentro de su
mbito*
E;isten otros ti$os de modelos los cuales se mencionan a continuaci"n>
<OECD 9Or)anization for Economic Coo$eration and De&elo$ment:
<7A,, 97eneral# Acce$ted ,rinci$les and ,ractices:* National Institute of
?tandards and Tec%nolo)# 9NI?T:
<C? EE11 9Critis% ?tandard Institute:
<?AC 9?ecurit# Auditabilit# and Control:* T%e Inst* of Internal Audit*
<CO?O 9Internal Control Inte)rated FrameAorF* Committee of ?$onsorin)
Or)anizations:
Pgina 12
<??E CMM 9?#stems ?ecurit# En)ineerin) Ca$abilit# Maturit# Model:
National ?ecurit# A)enc# 9N?A: Defense@ Canada*
<CoCo 9Criteria of Control Coard of T%e Canadian Instituteof C%artered
Accountants*:
<ITC7 9Information Tec%nolo)# Control 7uidelines:* Canadian Institute of
C%artered Accountants9CICA:
<7A??, 97eneral# Acce$ted ?#stem ?ecurit# ,rinci$les:* International
Information ?ecurit# Foundation 9II?F:
<Cobit 9Control Obecti&es for Information and Related Tec%nolo)ies:
<FI?CAM 9Federal Information ?#stems Controls Audit Manual:*
7AO
<?#sTrust 9AIC,ADCICA ?#sTrust ,rinci$les and Criteria for ?#stem
Reliabilit#:
<??A7 9?#stem ?elf@Assessment 7uide for Information Tec%nolo)#
?#stems:* NI?T
COBIT F DEFINICIAN
Es un marco de control interno de TI*
<,arte de la $remisa de +ue la TI re+uiere $ro$orcionar informaci"n $ara
lo)rar los obeti&os de la or)anizaci"n*
<,romue&e el enfo+ue # la $ro$iedad de los $rocesos*
A$o#a a la or)anizaci"n al $ro&eer un marco +ue ase)ura +ue>
Pgina 13
<5a Tecnolo)'a de Informaci"n 9TI: est( alineada con la misi"n # &isi"n*
<5A TI ca$acite # ma;imice los beneficios*
<5os recursos de TI sean usados res$onsablemente*
<5os ries)os de TI sean maneados a$ro$iadamente*
COBIT F PRINCIPIOS
COBIT F ESTRUCTURA
Pgina 14
COCIT G RE=UERIMIENTO? DE 5A INFORMACIHN DE5 NE7OCIO
COCIT combina los $rinci$ios contenidos $or modelos e;istentes # conocidos!
como CO?O! ?AC 4 ?A?*
Pgina 15
COCIT G RE=UERIMIENTO? DE 5A INFORMACIHN DE5 NE7OCIO
Efecti&idad> Informaci"n rele&ante # $ertinente! $ro$orcionada en forma
o$ortuna! correcta! consistente # utilizable
<Eficiencia> Em$leo "$timo de los recursos*
<Confidencialidad> ,rotecci"n de la informaci"n sensiti&a contra
di&ul)aci"n no autorizada
<Inte)ridad> Informaci"n e;acta # com$leta! as' como &lida de acuerdo
con las e;$ectati&as de la or)anizaci"n*
<Dis$onibilidad> accesibilidad a la informaci"n # la sal&a)uarda de los
recursos # sus ca$acidades*
<Cum$limiento> 5e#es! re)ulaciones # com$romisos contractuales*
<Confiabilidad> A$ro$iada $ara la toma de decisiones adecuadas # el
cum$limiento normati&o
COCIT G ,ROCE?O? DE TI G TRE? NIIE5E?
Pgina 16
1.6.) PRINCIPIOS APLICADOS A AUDITORES INFOMBTICOS
,RINCI,IO DE CENEFICIO DE AUDITADO
En este $rinci$io el auditor debe conse)uir la m;ima eficacia # rentabilidad
de los medios informticos de la em$resa auditada! no debe de
nin)8n modo obtener beneficio $ro$io*
,RINCI,IO DE CA5IDAD
En el auditor deber $restar sus ser&icios conforme las $osibilidades de la
ciencia # medios a su alcance con absoluta libertad res$ecto a la utilizaci"n
de dic%os medios # en unas condiciones t(cnicas adecuadas $ara el id"neo
cum$limiento de su labor*
,RINCI,IO DE CONFIANJA
Pgina 17
El auditor deber facilitar e incrementar la confianza del auditor en base a
una actuaci"n de trans$arencia en su acti&idad $rofesional sin alardes
cient'ficos@t(cnicos*
,RINCI,IO DE CA,ACIDAD
El auditor debe estar $lenamente ca$acitado $ara la realizaci"n de la auditor'a
encomendada! ma;imice teniendo en cuenta +ue! a los auditados en al)unos
casos les $uede ser e;tremadamente dif'cil &erificar sus recomendaciones #
e&aluar correctamente la $recisi"n de las mismas*
,RINCI,IO DE COM,ORTAMIENTO ,ROFE?IONA5
El auditor! tanto en sus relaciones con el auditado como con terceras $ersonas!
deber! en todo momento! actuar conforma a las normas! im$l'citas o e;$l'citas!
de di)nidad de la $rofesi"n # de correcci"n en el trato $ersonal*
,RINCI,IO DE CRITERIO ,RO,IO
El auditor durante la eecuci"n deber actuar con criterio $ro$io # no $ermitir +ue
est( subordinado al de otros $rofesionales! aun de reconocido $resti)io! +ue no
coincidan con el mismo*
,RINCI,IO DE CONCENTRACION EN E5 TRACAKO
El auditor deber e&itar +ue un e;ceso de trabao su$ere sus $osibilidades de
concentraci"n # $recisi"n en cada una de las tareas a (l encomendadas! # a +ue
la estructuraci"n # dis$ersi"n de trabaos suele a menudo! si no est debidamente
controlada! $ro&ocar la conclusi"n de los mismos sin las
debidas )arant'as de se)uridad*
Pgina 18
,RINCI,IO DE DI?CRECIHN
El auditor deber en todo momento mantener una cierta discreci"n en la
di&ul)aci"n de datos! a$arentemente inocuos! +ue se le %a#an $uesto de
manifiesto durante la eecuci"n de la auditoria*
,RINCI,IO DE ECONOMLA
El auditor deber $rote)er! en la medida de sus conocimientos! los derec%os
econ"micos del auditado e&itando )enerar )astos innecesarios en el eercicio de
su acti&idad*
,RINCI,IO DE FORMACIHN CONTINUADA
Este $rinci$io im$one a los auditores el deber # la res$onsabilidad de mantener
una $ermanente actualizaci"n de sus conocimientos # m(todos a fin de
adecuarlos a las necesidades de la demanda # a las e;i)encias de la com$etencia
de la oferta*
,RINCI,IO DE FORTA5ECIMIENTO 4 RE?,ETO DE 5A ,ROFE?IHN
5a defensa de los auditados $asa $or el fortalecimiento de la $rofesi"n de los
auditores informticos! lo +ue e;i)e un res$eto $or el eercicio! )lobalmente
considerado! de la acti&idad desarrollada $or los mismos # un com$ortamiento
acorde con los re+uisitos e;i)ibles $ara el id"neo cum$limiento de la finalidad de
las auditorias*
,RINCI,IO DE INDE,ENDENCIA
Esta relacionado con el $rinci$io de criterio $ro$io! obli)a al auditor! tanto si act8a
como $rofesional e;terno o con de$endencia laboral res$ecto a la em$resa en la
Pgina 19
+ue deba realizar la auditoria informtica! a e;i)ir una total autonom'a e
inde$endencia en su trabao*
,RINCI,IO DE INFORMACIHN ?UFICIENTE

Este $rinci$io obli)a al auditor a a$ortar! en forma $ormenorizada! clara! $recisa e
inteli)ible $ara el auditado! informaci"n de los $untos # conclusiones
relacionados con la auditoria*
,RINCI,IO DE INTE7RIDAD MORA5
Este $rinci$io! in%erentemente li)ado a la di)nidad de la $ersona! obli)a al auditor
a ser %onesto! leal # dili)ente en el desem$e-o de su misi"n! a austarse a
las normas morales de usticia # $rioridad*
,RINCI,IO DE 5E7A5IDAD
5a $rimac'a de esta obli)aci"n e;i)e del auditor un com$ortamiento acti&o de
o$osici"n a todo intento! $or $arte del auditado o de terceras $ersonas!
tendente a infrin)ir cual+uier $rece$to inte)rado en el derec%o $ositi&o*
,RINCI,IO DE 5ICRE COM,ETENCIA
5a actual econom'a de mercado e;i)e +ue el eercicio de la $rofesi"n se realice en
el marco de la libre com$etencia siendo rec%azables! $or tanto! las $rcticas
Pgina 20
colusorias tendentes a im$edir o limitar la le)'tima com$etencia de otros
$rofesionales*
,RINCI,IO DE NO DI?CRIMINACIHN
El auditor en su actuaci"n $re&ia! durante # $osterior a la auditoria deber e&itar
cual+uier ti$o de condicionantes $ersonalizados # actuar en todos
los casos con similar dili)encia*
,RINCI,IO DE NO INKERENCIA
El auditor! deber e&itar inerencias en los trabaos de otros $rofesionales! res$etar
su labor # eludir %acer comentarios +ue $udieran inter$retarse como
des$reciati&os de la misma! deber i)ualmente e&itar a$ro&ec%ar los datos*
,RINCI,IO DE ,RECI?IHN
Este $rinci$io e;i)e del auditor la no conclusi"n de su trabao %asta estar
con&encido! en la medida de lo $osible! de la &iabilidad de sus $ro$uestas*
,RINCI,IO DE ,UC5ICIDAD ADECUADA
5a oferta # $romoci"n de los ser&icios de auditoria debern en todo momento
austarse a las caracter'sticas! condiciones # finalidad $erse)uidas*
,RINCI,IO DE RE?,ON?ACI5IDAD
Pgina 21
El auditor deber! como elemento intr'nseco de todo com$ortamiento $rofesional!
res$onsabilizarse de lo +ue %a)a! di)a o aconsee*
,RINCI,IO DE ?ECRETO ,ROFE?IONA5
5a confidencia # confianza entre el auditor # el auditado e im$onen al $rimero la
obli)aci"n de )uardar en secreto los %ec%os e informaciones +ue conozca en el
eercicio de su acti&idad $rofesional*
,RINCI,IO DE ?ERIICIO ,MC5ICO
5a a$licaci"n de este $rinci$io debe incitar al auditor a %acer lo +ue este en su
mano # sin $eruicio de los intereses de su cliente! $ara e&itar da-os sociales*
,RINCI,IO DE IERACIDAD
El Auditor en sus comunicaciones con el auditado deber tener siem$re $resente
la obli)aci"n de ase)urar la &eracidad de sus manifestaciones con los limites
im$uestos $or los deberes de res$eto! correcci"n! # secreto $rofesional*
1.0.) RESPONSABILIDADES DE LOS ADMINISTRADORES C EL AUDITOR
El auditor informtico debe ser una $ersona con un alto )rado de calificaci"n
t(cnica # al mismo tiem$o estar inte)rado a las corrientes or)anizati&as
em$resariales* Es res$onsable de realizar las si)uientes acti&idades>
NIerificaci"n del control interno tanto de las a$licaciones como de los ?I!
$erif(ricos! etc*
Pgina 22
NAnlisis de la administraci"n de ?istemas de Informaci"n! desde un $unto de
&ista de ries)o de se)uridad! administraci"n # efecti&idad de la administraci"n*
NAnlisis de la inte)ridad! fiabilidad # certeza de la informaci"n a tra&(s del
anlisis de a$licaciones*
NAuditor'a del ries)o o$erati&o de los circuitos de informaci"n
NAnlisis de la administraci"n de los ries)os de la informaci"n # de la se)uridad
im$l'cita*
NIerificaci"n del ni&el de continuidad de las o$eraciones*
NAnlisis del Estado del Arte tecnol")ico de la instalaci"n re&isada # las
consecuencias em$resariales +ue un desfase tecnol")ico $uede acarrear*
RESPONSABILIDADES DE LOS ADMINISTRADORES C EL AUDITOR
Or)anizaci"n de la funci"n de Auditor'a Informtica
5a funci"n de la auditor'a informtica se %con&ertido en una funci"n +ue desarrolla
un trabao ms acorde con la im$ortancia +ue $ara las or)anizaciones tienen los
?I! +ue son su obeto de estudio # anlisis* El auditor informtico $asa a ser
auditor # consultor de em$resas en materias de>
N?e)uridad
NControl interno o$erati&o
Pgina 23
NEficiencia # eficacia
NTecnolo)'as de Informaci"n
NContinuidad de o$eraciones
NAdministraci"n de ries)os
?u localizaci"n $uede estar li)ada a la auditor'a interna o$erati&a # financiera
9aun+ue e;ista una coordinaci"n l")ica entre ambos de$artamentos:! con
inde$endencia de obeti&os! $lanes de formaci"n # $resu$uestos*
<Debe ser un )ru$o inde$endiente del de auditor'a interna! con acceso total a los
?I # dems tecnolo)'a! +ue de$ende de la misma $ersona +ue la auditor'a
interna 9Director 7eneral o Conseero:*
<5a de$endencia debe ser del m;imo res$onsable de la or)anizaci"n! nunca del
de$artamento de sistemas o del financiero* Esto es $ara +ue no se $ueda
sos$ec%ar +ue e;ista ses)o al momento de realizar el trabao de auditor'a #
ofrecer conclusiones # recomendaciones*
5os recursos %umanos con los +ue debe contar el de$artamento debe ser una
mezcla e+uilibrada de $ersonas con formaci"n en auditor'a # or)anizaci"n # con
$erfil informtico 9es$ecialidades:*
UNIDAD 2.) PLANEACIAN DE LA AUDITOREA INFORMBTICA
2.1 FASES DE LA AUDITORIA.
Pgina 24
LAS NORMAS DE LA AUDITOREA INTERNA COMPRENDEN
N5as acti&idades auditadas # la obeti&idad de los auditores internos*
NEl alcance del trabao de auditor'a interna en el rea de informtica*
NEl de$artamento de auditor'a interna deber asi)nara cada auditor'a a a+uellas
$ersonas +ue en su conunto $osean los conocimientos! la e;$eriencia # la
disci$lina necesarios $ara conducir a$ro$iadamente la auditor'a*
El de$artamento de auditor'a interna deber ase)urarse>
N=ue las auditor'as sean su$er&isadas en forma a$ro$iada* 5a su$er&isi"n es un
$roceso continuo +ue comienza con la $laneaci"n # termina con el trabao de
auditor'a*
N=ue los informes de auditor'a sean $recisos! obeti&os! claros! concisos!
constructi&os # o$ortunos*
N=ue se cum$lan los obeti&os de la auditor'a*
Pgina 25
N=ue la auditor'a sea debidamente documentada # +ue se conser&e la e&idencia
a$ro$iada de la su$er&isi"n*
N=ue los auditores cum$lan con las normas $rofesionales de conducta*
N=ue los auditores en informtica $osean los conocimientos! e;$eriencias #
disci$linas esenciales $ara realizar sus auditor'as*
,ara una adecuada $laneaci"n
,ara %acer una adecuada $laneaci"n de la auditor'a en informtica %a# +ue se)uir
una serie de $asos $re&ios +ue $ermitirn dimensionar el tama-o # caracter'sticas
del rea dentro del or)anismo a auditar! sus sistemas! or)anizaci"n # e+ui$o* Con
ello $odremos determinar el n8mero # caracter'sticas del $ersonal de auditor'a! las
%erramientas necesarias! el tiem$o # costo! as' como definir los alcances de la
auditor'a $ara! en caso necesario! $oder elaborar el contrato de ser&icios*
2.1.1. PLANEACIAN
El trabao de auditor'a deber incluir>
N5a $laneaci"n de la auditor'a
NEl e;amen # la e&aluaci"n de la informaci"n
N5a comunicaci"n de los resultados # el se)uimiento
0* ,laneaci"n 9Cont*:
5a $laneaci"n deber ser documentada e incluir>
Pgina 26
2.1.2. REVISIAN PRELIMINAR
El obeti&o de la re&isi"n $reliminar es el de obtener la informaci"n necesaria $ara
+ue el auditor $ueda tomar la decisi"n de c"mo $roceder en la auditor'a* Al
terminar la re&isi"n $reliminar el auditor $uede $roceder en uno de los tres
caminos si)uientes> Dise-o de la auditor'a* ,uede %aber $roblemas debido a la
falta de com$etencia t(cnica $ara realizar la auditor'a*
Realizar una re&isi"n detallada de los controles internos de los sistemas con la
es$eranza de +ue se de$osite la confianza en los controles de los sistemas # de
+ue una serie de $ruebas sustanti&as $uedan reducir las consecuencias*
Decidir el no confiar en los controles internos del sistema* E;isten dos razones
$osibles $ara esta decisi"n* ,rimero! $uede ser ms eficiente desde el $unto de
&ista de costo@beneficio el realizar $ruebas sustanti&as directamente* ?e)undo! los
controles del rea de informtica $ueden du$licar los controles e;istentes en el
rea del usuario*
2.1.3. REVISIAN DETALLADA
5os obeti&os de la fase detallada son los de obtener la informaci"n necesaria
$ara +ue el auditor ten)a un $rofundo entendimiento de los controles usados
dentro del rea de informtica* En la fase de e&aluaci"n detallada es im$ortante
$ara el auditor identificar las causas de las $(rdidas e;istentes dentro de la
instalaci"n # los controles $ara reducir las $(rdidas # los efectos causados $or
Pgina 27
(stas* Al terminar la re&isi"n detallada el auditor debe e&aluar en +u( momento los
controles establecidos reduce las $(rdidas es$eradas a un ni&el ace$table* 5os
m(todos de obtenci"n de informaci"n al momento de la e&aluaci"n detallada son
los mismos usados en la in&esti)aci"n $reliminar!
# lo 8nico +ue difiere es la $rofundidad con se obtiene la informaci"n # se e&al8a*
2.1.3. EDAMEN C EVALUACIAN DE LA INFORMACIAN.
Los auditores internos debern obtener! analizar! inter$retar # documentar la
informaci"n $ara a$o#ar los resultados de la auditor'a* El $roceso de e;amen #
e&aluaci"n de la informaci"n es el si)uiente>
?e debe obtener la informaci"n de todos los asuntos relacionados con los
obeti&os # alcances del auditor* 5a informaci"n rele&ante a$o#a los %allaz)os #
recomendaciones de auditor'a # es consistente con los obeti&os de (sta* 5a
informaci"n 8til a#uda a la or)anizaci"n a lo)rar sus metas* El $roceso de recabar!
analizar! inter$retar # documentar la informaci"n deber su$er&isarse $ara
$ro$orcionar una se)uridad razonable de +ue la obeti&idad del auditor se mantu&o
# +ue las metas de auditor'a se cum$lieron* 5os documentos de trabao de la
auditor'a debern ser $re$arados $or los auditores # re&isados $or la )erencia de
auditor'a* Estos documentos debern re)istrar la informaci"n obtenida # el anlisis
realizado! #
deben a$o#ar las bases de los %allaz)os de auditor'a # las recomendaciones +ue
se %arn*
Pgina 28
5os auditores debern re$ortar los resultados del trabao de auditor'a> El auditor
deber discutir las conclusiones # recomendaciones en los ni&eles a$ro$iados de
la administraci"n antes de emitir su informe final* 5os informes debern ser
obeti&os! claros! concisos! constructi&os # o$ortunos* 5os informes $resentarn el
$ro$"sito! alcance # resultados de la auditor'a #! cuando se considere a$ro$iado!
contendrn la o$ini"n del auditor*
2.1.4. PRUEBAS DE CONTROLES DE USUARIO.
En al)unos casos el auditor $uede decidir el no confiaren los controles internos
dentro de las instalaciones informticas! $or+ue el usuario eerce controles +ue
com$ensan cual+uier debilidad dentro de los controles de informtica* Estas
$ruebas +ue com$ensan las deficiencias de los controles internos se $ueden
realizar mediante cuestionarios! entre&istas! &isitas # e&aluaciones %ec%as
directamente con los usuarios*
2.1.6 PRUEBAS SUSTANTIVAS
El obeti&o de la fase de $ruebas sustanti&as es obtener e&idencia suficiente
+ue $ermita al auditor emitir su uicio en las conclusiones acerca de cundo
$ueden ocurrir $(rdidas materiales durante el $rocesamiento de la informaci"n* El
auditor e;terno e;$resar este uicio en forma de o$ini"n sobre cundo $uede
e;istir un $roceso e+ui&ocado o falta de control de la informaci"n* ?e $ueden
identificar oc%o diferentes $ruebas sustanti&as>
N,ruebas $ara identificar errores en el $rocesamiento o de falta de se)uridad o
confidencialidad*
N,ruebas $ara ase)urar la calidad de los datos*
N,ruebas $ara identificar la inconsistencia de los datos*
N,ruebas $ara com$arar con los datos o contadores f'sicos*
NConfirmaci"n de datos con fuentes e;ternas*
Pgina 29
N,ruebas $ara confirmar la adecuada comunicaci"n*
N,ruebas $ara determinar falta de se)uridad*
N,ruebas $ara determinar $roblemas de le)alidad
2.2 EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO
?on a+uellos obetos! dis$ositi&os! medidas! etc* +ue contribu#en a %acer mas
se)uro el funcionamiento o el uso*
CONSIDERACIONES INMEDIATAS PARA LA AUDITOREA DE LA SEGURIDAD
Uso de la Com$utadora
?e debe obser&ar el uso adecuado de la com$utadora # su softAare +ue $uede
ser susce$tible a>
co$ia de $ro)ramas de la or)anizaci"n $ara fines de comercializaci"n
9co$ia $irata:*
acceso directo o telef"nico a bases de datos con fines fraudulentos
S#se.! &e A""es'
,ara e&itar los fraudes com$utarizados se debe contem$lar de forma clara los
accesos a las com$utadoras de acuerdo a>
Pgina 30
ni&el de se)uridad de acceso
em$leo de las cla&es de acceso
e&aluar la se)uridad contem$lando la relaci"n costo! #a +ue a ma#or
tecnolo)'a de acceso ma#or costo*
CANTIDAD C TIPO DE INFORMACIAN
El ti$o # la cantidad de informaci"n +ue se introduce en las com$utadoras debe
considerarse como un factor de alto ries)o #a +ue $odr'an $roducir +ue>
la informaci"n este en manos de al)unas $ersonas
la alta de$endencia en caso de $erdida de datos
PERSONAL
Pgina 31
?e debe obser&ar este $unto con muc%o cuidado! #a +ue %ablamos de las
$ersonas +ue estn li)adas al sistema de informaci"n de forma directa # se
deber contem$lar $rinci$almente>
Ocontem$lar la cantidad de $ersonas con acceso o$erati&o # administrati&o
Oconocer la ca$acitaci"n del $ersonal en situaciones de emer)encia
MEDIOS DE CONTROL
?e debe contem$lar la e;istencia de medios de control $ara conocer cuando se
$roduce un cambio o un fraude en el sistema* Tambi(n se debe obser&ar con
detalle el sistema #a +ue $odr'a )enerar indicadores +ue $ueden actuar como
elementos de auditor'a inmediata! aun+ue esta no sea una es$ecificaci"n del
sistema*
RASGOS DEL PERSONAL
?e debe &er mu# cuidadosamente el carcter del $ersonal relacionado con el
sistema! #a +ue $ueden sur)ir>
malos maneos de administraci"n
malos maneos $or ne)li)encia
malos maneos $or ata+ues deliberados
Pgina 32
INSTALACIONES
Es mu# im$ortante no ol&idar las instalaciones f'sicas # de ser&icios! +ue si)nifican
un alto )rado de ries)o* ,ara lo cual se debe &erificar>
la continuidad del fluo el(ctrico
efectos del fluo el(ctrico sobre el softAare # %ardAare
e&aluar las cone;iones con los sistemas el(ctrico! telef"nico! cable! etc*
&erificar si e;isten un dise-o! es$ecificaci"n t(cnica! manual o al)8n ti$o de
documentaci"n sobre las instalaciones
ESTABLECER LAS BREAS C GRADOS DE RIESGO
Es mu# im$ortante el crear una conciencia en los usuarios de la or)anizaci"n
sobre el ries)o +ue corre la informaci"n # %acerles com$render +ue la se)uridad
es $arte de su trabao*
SISTEMA INTEGRAL DE SEGURIDAD
Un sistema inte)ral debe contem$lar>
Definir elementos administrati&os
Definir $ol'ticas de se)uridad
A ni&el de$artamental
A ni&el institucional
Or)anizar # di&idir las res$onsabilidades
Contem$lar la se)uridad f'sica contra catstrofes 9incendios! terremotos!
inundaciones! etc*:
Pgina 33
Definir $rcticas de se)uridad $ara el $ersonal>
,lan de emer)encia 9$lan de e&acuaci"n! uso de recursos de emer)encia
como e;tin)uidores*
N8meros telef"nicos de emer)encia
Definir el ti$o de $"lizas de se)uros
Definir elementos t(cnicos de $rocedimientos
Definir las necesidades de sistemas de se)uridad $ara>
PardAare # softAare
Fluo de ener)'a
Cableados locales # e;ternos
A$licaci"n de los sistemas de se)uridad inclu#endo datos # arc%i&os
,lanificaci"n de los $a$eles de los auditores internos # e;ternos
,lanificaci"n de $ro)ramas de desastre # sus $ruebas 9simulaci"n:
,lanificaci"n de e+ui$os de contin)encia con carcter $eri"dico
Control de desec%os de los nodos im$ortantes del sistema>
,ol'tica de destrucci"n de basura co$ias! fotoco$ias! etc*
Consideraci"n de las normas I?O 0Q///
Eta$as $ara Im$lementar un ?istema de ?e)uridad
PLAN DE SEGURIDAD IDEAL GO NORMATIVOH
Un $lan de se)uridad $ara un sistema de se)uridad inte)ral debe contem$lar>
El $lan de se)uridad debe ase)urar la inte)ridad # e;actitud de los datos
Debe $ermitir identificar la informaci"n +ue es confidencial
Debe contem$lar reas de uso e;clusi&o
Pgina 34
Debe $rote)er # conser&ar los acti&os de desastres $ro&ocados $or la
mano del %ombre # los actos abiertamente %ostiles
Debe ase)urar la ca$acidad de la or)anizaci"n $ara sobre&i&ir accidentes
Debe $rote)er a los em$leados contra tentaciones o sos$ec%as
innecesarias
Debe contem$lar la administraci"n contra acusaciones $or im$rudencia
BENEFICIOS DE UN SISTEMA DE SEGURIDAD
5os beneficios de un sistema de se)uridad bien elaborado son inmediatos! #a
+ue el la or)anizaci"n trabaar sobre una $lataforma confiable! +ue se reflea en
los si)uientes $untos>
Aumento de la $roducti&idad*
Aumento de la moti&aci"n del $ersonal*
Com$romiso con la misi"n de la com$a-'a*
Meora de las relaciones laborales*
A#uda a formar e+ui$os com$etentes*
Meora de los climas laborales $ara los RR*PP*
2.3 INVESTIGACION PRELIMINAR
?e deber obser&ar el estado )eneral del rea! su situaci"n dentro de la
or)anizaci"n! si e;iste la informaci"n solicitada! si es o no necesaria # la fec%a de
su 8ltima actualizaci"n*
?e debe %acer la in&esti)aci"n $reliminar solicitando # re&isando la informaci"n de
cada una de las reas basndose en los si)uientes $untos>
* Administraci"n
* ?istemas
ADMINISTRACIIN
Pgina 35
?e reco$ila la informaci"n $ara obtener una &isi"n )eneral del de$artamento $or
medio de obser&aciones! entre&istas $reliminares # solicitud de documentos $ara
$oder definir el obeti&o # alcances del de$artamento*
,ara analizar # dimensionar la estructura $or auditar se debe solicitar a ni&el del
rea de informtica
Obeti&os a corto # lar)o $lazo*
Recursos materiales # t(cnicos
?olicitar documentos sobre los e+ui$os! n8mero de ellos! localizaci"n #
caracter'sticas*
N8mero de e+ui$os! localizaci"n # las caracter'sticas 9de los e+ui$os
instalados # $or instalar # $ro)ramados:
Fec%as de instalaci"n de los e+ui$os # $lanes de instalaci"n*
Contratos &i)entes de com$ra! renta # ser&icio de mantenimiento*
Contratos de se)uros*
Con&enios +ue se tienen con otras instalaciones*
Confi)uraci"n de los e+ui$os # ca$acidades actuales # m;imas*
,lanes de e;$ansi"n*
Ubicaci"n )eneral de los e+ui$os*
,ol'ticas de o$eraci"n*
,ol'ticas de uso de los e+ui$os*
Pgina 36
SISTEMAS
Descri$ci"n )eneral de los sistemas instalados # de los +ue est(n $or instalarse
+ue conten)an &ol8menes de informaci"n*
* Manual de formas*
* Manual de $rocedimientos de los sistemas*
* Descri$ci"n )en(rica*
* Dia)ramas de entrada! arc%i&os! salida*
* ?alidas*
* Fec%a de instalaci"n de los sistemas*
* ,ro#ecto de instalaci"n de nue&os sistemas*
* En el momento de %acer la $laneaci"n de la auditor'a o bien su realizaci"n!
debemos e&aluar +ue $ueden $resentarse las si)uientes situaciones*
?e solicita la informaci"n # se &e +ue>
* No tiene # se necesita
* No se tiene # no se necesita*
* ?e tiene la informaci"n $ero>
* No se usa*
* Es incom$leta*
* No esta actualizada*
* No es la adecuada*
?e usa! est actualizada! es la adecuada # est com$leta*
El (;ito del anlisis cr'tico de$ende de las consideraciones si)uientes>
Estudiar %ec%os # no o$iniones 9no se toman en cuenta los rumores ni la
informaci"n sin fundamento:
In&esti)ar las causas! no los efectos*
Pgina 37
Atender razones! no e;cusas*
No confiar en la memoria! $re)untar constantemente*
Criticar obeti&amente # a fondo todos los informes # los datos recabados*
2.3.)PERSONAL PARTICIPANTE
Una de las $artes ms im$ortantes en la $laneaci"n de la auditoria en informtica
es el $ersonal +ue deber $artici$ar! #a +ue se debe contar con un e+ui$o
seleccionado # con ciertas caracter'sticas +ue $uedan a#udar a lle&ar la auditoria
de manera correcta # en el tiem$o estimado*
A+u' no se &era el n8mero de $ersona +ue debern $artici$ar! #a +ue esto
de$ende de las dimensiones de la or)anizaci"n! de los sistemas # de los e+ui$os!
lo +ue se deber considerar son e;actamente las caracter'sticas +ue debe cum$lir
cada uno del $ersonal +ue %abr de $artici$ar en la auditoria*
Uno de los es+uemas )eneralmente ace$tados $ara tener un adecuado control es
+ue el $ersonal +ue inter&en)a este debidamente ca$acitado! +ue ten)a un alto
sentido de moralidad! al cual se le e;ia la o$timizaci"n de recursos 9eficiencia: #
se le retribu#a o com$ense ustamente $or su trabao*
Con estas bases debemos considerar los conocimientos! la $rctica $rofesional #
la ca$acitaci"n +ue debe tener el $ersonal +ue inter&endr en la auditoria*
,rimeramente! debemos $ensar +ue %a# $ersonal asi)nado $or la or)anizaci"n!
+ue debe tener el suficiente ni&el $ara $oder coordinar el desarrollo de la auditoria!
$ro$orcionarnos toda la informaci"n +ue se solicite # $ro)ramar las reuniones #
entre&istas re+ueridas*
Este es un $unto mu# im$ortante #a +ue! de no tener el a$o#o de la alta direcci"n!
ni contar con un )ru$o multidisci$linario en el cual est(n $resentes una o &arias
$ersonas del rea a auditar! ser casi im$osible obtener informaci"n en el
momento # con las caracter'sticas deseadas*
Pgina 38
Tambi(n se deben contar con $ersonas asi)nadas $or los usuarios $ara +ue en el
momento +ue se solicite informaci"n! o bien se efect8e al)una entre&ista de
com$robaci"n de %i$"tesis! nos $ro$orcionen a+uello +ue se esta solicitando! #
com$lementen el )ru$o multidisci$linario! #a +ue debemos analizar no s"lo el
$unto de &ista de la direcci"n de informtica! sino tambi(n el del usuario del
sistema*
,ara com$lementar el )ru$o! como colaboradores directos en la realizaci"n de la
auditoria! se deben tener $ersonas con las si)uientes caracter'sticas>
T(cnico en informtica* Conocimientos de Adm"n*! contadur'a # finanzas*
E;$eriencia en el rea de informtica* E;$eriencia en o$eraci"n # anlisis de
sistemas* Conocimientos # e;$eriencias en $sicolo)'a industrial*
Conocimientos de los sistemas o$erati&os! bases de datos! redes #
comunicaciones! de$endiendo del rea # caracter'sticas a auditar*
Conocimientos de los sistemas ms im$ortantes*
En el caso de sistemas com$leos se deber contar con $ersonal con
conocimientos # e;$eriencias en reas es$ec'ficas como base de datos! redes #
comunicaciones! etc(tera*
5o anterior no si)nifica +ue una sola $ersona deba tener los conocimientos #
e;$eriencias se-aladas! $ero si +ue deben inter&enir una o &arias $ersonas con
las caracter'sticas a$untadas*
Una &ez $laneada la forma de lle&ar a cabo la auditoria! estaremos en $osibilidad
de $resenta la carta 9con&enio de ser&icios $rofesionales G en el caso de auditores
e;ternos @: # el $lan de trabao*
5a carta con&enio es un com$romiso +ue el auditor diri)e a su cliente $ara su
confirmaci"n de ace$taci"n* En ella se es$ecifican el obeti&o # el alcance de la
Pgina 39
auditoria! las limitaciones # la colaboraci"n necesaria! el )rado de res$onsabilidad
# los informes +ue se %an de entre)ar*
UNIDAD 3.) AUDITORIA DE LA FUNCIAN INFORMBTICA
3.1 RECOPILACIAN DE LA INFORMACIAN ORGANIZACIONAL
Una &ez elaborada la $laneaci"n de la auditor'a! la cual ser&ir como $lan
maestro de los tiem$os! costos # $rioridades! # como medio de control de la
auditor'a! se debe em$ezar la recolecci"n de la informaci"n*
Se +r'"e&er/ ! e-e"(!r *! re9#s#$n s#se.!#5!&! &e* /re! ! r!9?s &e
*! '7ser9!"#$n , enre9#s!s &e -'n&' en "(!n' !:
A) Estructura Orgnica
B) Se deber revisar la situacin de los recursos humanos.
C) Entrevistas con el personal de procesos electrnicos.
D) Se deber conocer la situacin presupuestal y inanciera.
E) Se har un levantamiento del censo de recursos humanos y anlisis de
situacin.
!) "or #ltimo$ se deber revisar el grado de cumplimiento de los
documentos administrativos.
AH Esr("(r! Or:/n#"!
Pgina 40
Kerar+u'as 9Definici"n de la autoridad lineal! funcional # de asesor'a:
Estructura or)nica
Funciones
Obeti&os
BH Se &e7er/ re9#s!r *! s#(!"#$n &e *'s re"(rs's ;(.!n's.
Pgina 41
CH Enre9#s!s "'n e* +ers'n!* &e +r'"es's e*e"r$n#"'s:
a) %eatura
b) Anlisis
c) "rogramadores
d) Operadores
e) Capturistas
) "ersonal administrativo
DH Se &e7er/ "'n'"er *! s#(!"#$n +res(+(es!* , -#n!n"#er! en "(!n'
!:
@ "resupuesto
& 'ecursos inancieros
& 'ecursos materiales
& (obiliario y e)uipo
Pgina 42
EH Se ;!r/ (n *e9!n!.#en' &e* "ens' &e re"(rs's ;(.!n's , !n/*#s#s
&e s#(!"#$n en "(!n' !:
* +#mero de personas y distribucin por reas
* Denominacin de puestos
* Salario
* Capacitacin
* Conocimientos
* Escolaridad
E,periencia proesional
Antig-edad
.istorial de traba/o
Salario y conormacin
(ovimientos salariales
0ndice de rotacin del personal
"rograma de capacitacin 1vigente y capacitacin dada en el #ltimo a2o)
FH P'r J*#.'> se &e7er/ re9#s!r e* :r!&' &e "(.+*#.#en' &e *'s
&'"(.en's !&.#n#sr!#9's.
+ormas y pol3ticas
* "lanes de traba/o
* Controles
* Estndares
* "rocedimientos
L! #n-'r.!"#$n n's ser9#r/ +!r! &eer.#n!r:
R ?i las res$onsabilidades en la or)anizaci"n estn definidas adecuadamente

R ?i la estructura or)anizacional est adecuada a las necesidades
Pgina 43
R ?i el control or)anizacional es el adecuado
R ?i se tienen los obeti&os # $ol'ticas adecuadas! se encuentran &i)entes # estn
bien definidas
?i e;iste la documentaci"n de las acti&idades! funciones # res$onsabilidades
R ?i los $uestos se encuentran definidos # se-aladas sus res$onsabilidades
R ?i el anlisis # descri$ci"n de $uestos est de acuerdo con el $ersonal +ue los
ocu$a
R ?i se cum$len los lineamientos or)anizacionales
?i el ni&el de salarios com$arado con el mercado de trabao
R ?i los $lanes de trabao concuerdan con los obeti&os de la em$resa
R ?i se cuenta con los recursos %umanos necesarios +ue )aranticen la continuidad
de la o$eraci"n o se cuenta con 6indis$ensablesS
R ?i se e&al8an los $lanes # se determinan las des&iaciones
Se (#*#5!n 9!r#'s +!r'nes> es' +(e&en ser:

0: ,atrones de cantidad> son los +ue se e;$resan en n8meros o en cantidades!
como n8mero de em$leados! $orcentae de rotaci"n de em$leados! numero de
admisiones! 'ndice de accidentes! etc*
3: ,atrones de calidad> son los +ue se relacionan con as$ectos no cuantificables!
como m(todos de selecci"n de em$leados! resultados de entrenamiento!
funcionamiento de la e&aluaci"n del desem$e-o* Etc*!
T: ,atones de tiem$o> consisten en la ra$idez con +ue se inte)ra e $ersonal reci(n
admitido! la $ermanencia $romedio del em$leado en la em$resa! el tiem$o de
$rocesamiento de las re+uisiciones de $ersonal! etc*
Q: ,atones de costo> son los costos! directos e indirectos! de la rotaci"n de
$ersonal
Pgina 44
3.2.) EVALUACIAN DE RECURSOS KUMANOS
5a e&aluaci"n esta $resente en todo momento de la eecutoria de un em$leado
dentro de una or)anizaci"n* Desde la entre&ista inicial! la &aloraci"n del
desem$e-o! %asta la carta de recomendaci"n cuando se desea mo&er a otro
em$leo! las $ersonas estn siendo e&aluadas*
5as or)anizaciones suelen realizar una &aloraci"n del rendimiento con fines
administrati&os # de desarrollo* ?e)8n 7"mez@Me'a! CalFin U Card# la &aloraci"n
del rendimiento se utiliza administrati&amente como $unto de $artida $ara tomar
decisiones sobre las condiciones laborales de un em$leado! considerando las
$romociones! los des$idos # las recom$ensas*
5a e&aluaci"n del desem$e-o o &aloraci"n del rendimiento! im$lica identificar!
medir! # )estionar el rendimiento de las $ersonas dentro de una or)anizaci"n*
Ante este $articular la e&aluaci"n se con&ierte en un $roceso de meora continua
debido a +ue $ermite $ro#ectar acciones futuras $ara un ma#or desarrollo del
indi&iduo # de la or)anizaci"n*
,ara $oder identificar los $untos +ue &an a ser e&aluados dentro de una
or)anizaci"n! es necesario conocer cul es la situaci"n )eneral de la em$resa!
definir la $ol'tica! establecer obeti&os # obtener informaci"n sobre las
e&aluaciones $re&ias # sus resultados*
,or otro lado $ara obtener un dia)n"stico de las situaciones de las em$resas con
relaci"n a su desem$e-o! se $ueden %acer entre&istas! cuestionarios! informes!
documentaci"n escrita # $ro)ramas de acci"n*
Pgina 45
L! e9!*(!"#$n se ;!"e +'r (n! r!5$n. La enciclopedia mediana y pequea
empresa en-!#5! (n! ser#e &e '7@e#9's s'7re *! e9!*(!"#$n> "'.'>
0* Meorar el desarrollo # comunicaci"n de los trabaadores*
3* Desarrollar # meorar el conunto de los sistemas de la or)anizaci"n*
T* 5o)ra un ma#or auste $ersonaD$uesto # en el conocimiento $rofesional del
$ro$io e&aluado*
L's "r#er#'s &e e9!*(!"#$n s'n &e #.+'r!n"#! "'ns#&er!"#$n +!r! ser
!+*#"!&'s en *!s &#9ers!s 'r:!n#5!"#'nes:
7"mez@Me'a! CalFin U Card# su)ieren +ue se $ueden establecer se)8n dos
modelos>
0* En funci"n de los obeti&os> Consiste en la identificaci"n $or $arte del efe #
em$leado de las reas de res$onsabilidad # los indicadores $ara medir resultados*
3* En funci"n de los factores de &alor> ?e trata de e&aluar el desem$e-o se)8n el
$erfil socio $rofesional 9%abilidades! ca$acidades! actitudes! or)anizaci"n!
resoluci"n de $roblemas! toma de decisiones! etc*: de cada $uesto de trabao*
G$.e5)Me@<!> B!*L,n , C!r&, s(:#eren 9!r#'s .?'&'s +!r! e9!*(!r> "'.'>
0* Clasificaci"n> ?e trata de elaborar una lista de los e&aluados en orden de
sucesi"n se)8n su mbito $rofesional*
3* Com$araci"n> Una &ez a)ru$ados los em$leados se)8n $uestos de trabao o
reas! se efect8a un anlisis com$arati&o entre los indi&iduos del mismo )ru$o*
T* Cur&a de rendimiento> ?e ubica a los em$leados se)8n su rendimiento en la
$arte corres$ondiente de una cur&a*
Pgina 46
Q* 5istados de caracter'sticas> ?e confecciona una lista con las caracter'sticas #
los obeti&os de cada $uesto de trabao # )rado de eecuci"n de los em$leados*
V* E&aluaci"n abierta> Consiste dear abierto el cam$o de los as$ectos +ue se
deben e&aluar*
.* E&aluaci"n del $ersonal err+uico> ,uede %acerse de manera directa! a tra&(s
de un $rotocolo de $re)untas +ue los em$leados contestarn*
E* Auto&aloraci"n> ,uede ser estructurada o abierta* En el $rimer caso se $asar
un $rotocolo +ue el em$leado deber cum$limentar! mientras +ue en el se)undo
caso (ste tendr +ue e;$oner cules son a su $arecer sus lo)ros # cules son sus
$untos d(biles*
2* E&aluaci"n entre reas> Cada miembro de los sectores dentro de una
or)anizaci"n e&aluar a los em$leados del otro de$artamento*
O7s/"(*'s +!r! .e&#r e-#"!5.ene e* ren&#.#en':
0* 5os errores # el ses)o de la $ersona +ue realiza la e&aluaci"n*
3* 5a influencia de los )ustos*
T* 5a $ol'tica de la or)anizaci"n*
Q* El enfo+ue %acia el indi&iduo o %acia el )ru$o*
V* 5as cuestiones le)ales
La enciclopedia prctica de la pequea y mediana empresa +resen! 9!r#!s
"*!9es +!r! *'s &#re"#9's s'7re "'.' #n-'r.!r ! *'s e.+*e!&'s &e s(
ren&#.#en'> enre es!s:
M Documentar el rendimiento del em$leado*
O?olicite la $artici$aci"n del em$leado*
OC(ntrese en los com$ortamientos*
O?ea es$ec'fico # de tiem$o*
ODiria su informaci"n s"lo a facetas de la situaci"n de rendimiento +ue el
em$leado $uede cambiar*
Pgina 47
La enciclopedia prctica de la pequea y mediana empresa +resen! 9!r#!s
"*!9es N(e e* e.+*e!&' +(e&e (#*#5!r +!r! '7ener #n-'r.!"#$n s'7re s(
ren&#.#en' +ers'n!*> enre es!s:
MEn el momento o$ortuno $ida a su director # a los dems +ue contribu#an a
&alorar su rendimiento*
OManten)a un re)istro de sus lo)ros # de sus fallos*
OIn&ite a su directorDe&aluador a ofrecer sus su)erencias $ara meorar*
O?i recibe comentarios cr'ticos no discuta ni se $on)a sensible* Analice como
$uede meorar*
Ges#$n &e* ren&#.#en'>
Como $unto final se $uede mencionar la &aloraci"n de la )esti"n del rendimiento*
Enfatizan +ue el obeti&o de la e&aluaci"n radica en )estionar # meorar el
rendimiento de los em$leados* Este %ec%o enfatiza el +ue los directi&os tienen +ue
analizar las causas de los $roblemas relacionados al rendimiento! diri)ir la
atenci"n a esas causas! desarrollar $lanes de acci"n # facilitar el +ue los
em$leados encuentren soluciones! as' como utilizar una comunicaci"n centrada
en el rendimiento*
,ara meorar el rendimiento se recomienda>
OAnalizar las causas de los $roblemas de rendimiento*
OAtender directamente las causas de los $roblemas*
ODesarrollar un $lan de acci"n $ara facilitar +ue los trabaadores alcancen una
soluci"n*
OComunicaci"n directamente sobre el rendimiento e informaci"n eficaz*
3.3.) ENTREVISTA CON EL PERSONAL DE INFORMBTICA
Pgina 48
,uede entre&istarse a un )ru$o de $ersonas ele)idas! sus o$iniones deben ser
debidamente fundamentadas*
5as o$iniones determinan>
7rado de cum$limiento de la estructura or)anizacional administrati&a*
7rado de cum$limiento de las $ol'ticas # los $rocesos administrati&os
?atisfacci"n e insatisfacci"n
Ca$acitaci"n
Obser&aciones )enerales
G(<! &e enre9#s!
0*@Nombre del $uesto
In)eniero en sistemas
3*@,uesto del efe inmediato
Directora
T*@$uestos a +ue re$orta
Directora del $lantel
Q*@,uestos de las $ersonas +ue re$ortan al entre&istado
Docentes de la instituci"n*
V*@Numero de $ersonas +ue re$ortan al entre&istado
V $ersonas
.*@Describa bre&emente las acti&idades diarias de su $uesto
Atender a los alumnos en di&ersas acti&idades en el laboratorio como son >
im$resiones! in&esti)aci"n! $racticas ! tres d'as de la semana clase a alumnos de
$rimeros semestre! un d'a de la semana e;clusi&o $ara mantenimiento de e+ui$o
9%ardAare! softAare:
E*@Acti&idas $eri"dicas
WWMantenimiento de e+ui$o
WW5im$ieza # orden
WWRe&isi"n de in&entario
Pgina 49
2*@Acti&idades e&entuales
Ca$acitaci"n a docentes # alumnos 9Inicio de semestre:
E;menes en l'nea
Re)istro de calificaciones 9Docentes:
Consulta de calificaciones 9Alumnos:
1*@XCon +ue manuales cuenta $ara el desem$e-o de su $uestoY
WWManual de or)anizaci"n
WWManual de mantenimiento de %ardAare
WWInstructi&o de e+ui$os
0/*@XCules $ol'ticas se tienen establecidas $ara el $uestoY
Tener el $erfil $ara las acti&idades a realizar en el laboratorio*
5ic* en informtica
In)* En sistemas
00*@?e-ale las la)unas +ue considere +ue %a# en la or)anizaci"n*
5a insistencia en una )esti"n de e+ui$o de com$uto $ara cubrir las necesidades
de la instituci"n*
03*@En caso de +ue el entre&istado mencione car)as de trabao XComo las
estableceY
Car)as de trabao se dan en $eriodos de e;amen # fin de semestre* 9uso
frecuente de laboratorio $ara in&esti)aci"n # $ractica:*
0T*@XC"mo las controlaY
Paciendo %orarios $ara cada )ru$o en los cuales se establece tiem$o de
im$resi"n! in&esti)aci"n # $ractica! $idiendo a$o#o a alumnos de ser&icio social*
0Q*@XComo se deciden las $ol'ticas +ue %an +ue im$lementarseY
Estas $ol'ticas se deciden de acuerdo a la reforma # alas necesidades +ue se
$resenten lo establece direcci"n )eneral! direcci"n administrati&a # direcci"n
acad(mica de cole)io de bac%illeres del estado de Tla;cala*
0V*@Xcomo recibe las instrucciones de los trabaos recomendadosY
En reuni"n de academia se toman acuerdos # $osteriormente el efe de
materia 9rea comunicaciones: )ira un oficio ane;ando un crono)rama de
Pgina 50
acti&idades # tiem$o limite* Estas reuniones se realizan en receso de semestre
con el fin de +ue la informaci"n sea actualizada*
0.*@XCon +ue frecuencia recibe ca$acitaci"n # de +ue ti$oY
5a ca$acitaci"n se realiza en receso de semestre tomando como base la
$laneaci"n $ara nue&o in)reso!* esta ca$acitaci"n mas +ue nada es $ara
establecer forma de trabao! actualizar informaci"n $or medio de cursos o talleres!
de acuerdo a las asi)naturas*
0E*@X?obre +ue tema le )ustar'a recibir ca$acitaci"nY
?obre como administrar un laboratorio de informtica*
02*@Mencione la ca$acitaci"n obtenida # dada a su $ersonal durante el 8ltimo a-o*
En la actualidad lo +ue se $retende es a$e)arse a los lineamientos +ue
establece la RIEM? 9Reforma inte)ral del la educaci"n media su$erior:*
01*@XC"mo considera el ambiente de trabaoY
5o considero bueno # satisfactorio*
Aun+ue e;isten necesidades en esta rea de trabao $ero se $uede im$ro&isar*
3/*@Obser&aciones*
Al realizar la entre&ista la relaci"n fue de confianza # cordialidad esto nos
$ermiti" obtener una informaci"n mas real*
3.3.) SITUACIAN PRESUPUESTAL C FINANCIERA.
5a informaci"n financiera $resu$uestada est basada en di&ersos e&entos e
%i$"tesis +ue se es$era ocurran en un futuro*
Dic%a informaci"n $uede referirse a una cuenta! $ro#ecto o estados financieros
futuros de una entidad
A su &ez (ste ti$o de informaci"n financiera $uede estar elaborada bao
circunstancias +ue no necesariamente se es$era +ue ocurran! con el $ro$"sito de
determinar di&ersos escenarios financieros 9$esimista! es$erado # o$timista: $ara
a#udar a la toma de decisiones
Pgina 51
5a auditor'a $resu$uestaria tiene como obeti&o analizar la forma de clculo de las
cifras! as' como &erificar +ue ten)an relaci"n con las circunstancias! su$uestos o
%i$"tesis bao las cuales fueron determinadas*
5o anterior $ara otor)ar una o$ini"n $rofesional sobre la certeza de las cifras
$resu$uestadas en el caso de darse los su$uestos bao los cuales fueron
estimadas o $ro#ectadas*
3.3.1.) PRESUPUESTOS.
Un $resu$uesto es una %erramienta de )esti"n conformada $or un documento en
donde se cuantifican $ron"sticos o $re&isiones de diferentes elementos de un
ne)ocio*
5os $resu$uestos se suelen relacionar e;clusi&amente con los in)resos o e)resos
+ue realizar una em$resa! sin embar)o! $odemos %acer uso de estas
%erramientas $ara cuantificar $ron"sticos o $re&isiones de cual+uiera de los
elementos de un ne)ocio! $or eem$lo! $odemos $resu$uestar los cobros +ue
realizaremos! los $a)os de nuestras de deudas! los $roductos +ue fabricaremos!
los materiales +ue re+ueriremos $ara $roducir dic%os $roductos! etc*
5os $resu$uestos son %erramientas fundamentales $ara un ne)ocio #a +ue nos
$ermiten $lanificar! coordinar # controlar nuestras o$eraciones>
$laneaci"n> los $resu$uestos nos $ermiten $lanificar acti&idades! $lanificar
obeti&os! recursos! estrate)ias! cursos a se)uirB antici$ndose a los %ec%os
#! $or tanto! a#udndonos a reducir la incertidumbre # los cambios*
coordinaci"n> los $resu$uestos sir&en como )u'a $ara coordinar
acti&idades! $ermiti(ndonos armonizar e inte)rar todas las secciones o
reas del ne)ocio! tanto entre (stas! como con los obeti&os de la em$resa*
control> los $resu$uestos sir&en como instrumento de control # e&aluaci"n!
nos $ermiten com$arar los resultados obtenidos con los $resu$uestados
$ara +ue! de ese modo! $or eem$lo! saber en +u( reas o acti&idades
Pgina 52
e;isten des&iaciones o &ariaciones 9diferencias entre lo obtenido # lo
$resu$uestado:*
3.3.2.) RECURSOS FINANCIEROS C MATERIALES
Re"(rs's -#n!n"#er's
Estos resultan fundamentales $ara el (;ito o fracaso de una )esti"n
administrati&a! lo bsico en su administraci"n es lo)rar el e+uilibrio en su
utilizaci"n* Tan ne)ati&o es $ara la em$resa en su escasez como su abundancia*
Cual+uiera de las dos situaciones resulta antiecon"micaB de a%' +ue la
administraci"n de recursos materiales %a#a cobrado tanta im$ortancia
actualmente*
5a administraci"n de recursos materiales consiste en>
Obtener o$ortunamente! en el lu)ar $reciso! en las meores condiciones de costo!
# en la cantidad # calidad re+uerida! los bienes # ser&icios $ara cada unidad
or)nica de la em$resa de +ue se trate! con el $ro$"sito de +ue se eecuten las
tareas # de ele&ar la eficiencia en las o$eraciones*
Re"(rs's F#n!n"#er's
5a administraci"n de recursos financieros su$one un control $resu$uestal #
si)nifica lle&ar a cabo toda la funci"n de tesorer'a 9in)resos # e)resos:* Es decir!
todas las salidas o entradas de efecti&o deben estar $re&iamente controladas $or
el $resu$uesto*
,ara estar en condiciones de e&itar fallas # de a$licar correcciones
o$ortunamente! corres$onde al rea financiera realizar los re)istros contables
necesarios* Estos re)istros contables deben corres$onder al $resu$uesto
efectundose $or unidad or)anizacional*
Pgina 53
5a administraci"n financiera consiste en>
Obtener o$ortunamente # en las meores condiciones de costo! recursos
financieros $ara cada unidad or)nica de la em$resa +ue se trate! con el $ro$"sito
de +ue se eecuten las tareas! se ele&e la eficiencia en las o$eraciones # se
satisfa)an los intereses de +uienes reciben los bienes o ser&icios*
3.) EVALUACIAN DE LA SEGURIDAD.
3.1GENERALIDADES DE LA SEGURIDAD DEL BREA FESICA
Durante muc%o tiem$o se considero +ue los $rocedimientos de auditor'a #
se)uridad era res$onsabilidad de la $ersona +ue elabora los sistemas! sin
considerar +ue es res$onsabilidad del rea de informtica en cuanto a la
utilizaci"n +ue se le da a la informaci"n # a la forma de accesarla # del
de$artamento de auditor'a interna en cuanto a la su$er&isi"n # dise-o de los
controles necesarios* 5a se)uridad del rea de informtica tiene como obeti&os>
N ,rote)er la inte)ridad! e;actitud # confidencialidad de la informaci"n
N,rote)er los acti&os ante desastres $ro&ocados $or la mano del %ombre # de
actos %ostiles
N,rote)er la or)anizaci"n contra situaciones e;ternas como desastres naturales #
sabotaes
NEn caso de desastre! contar con los $lanes # $ol'ticas de contin)encias $ara
lo)rar una $ronta recu$eraci"n
NContar con los se)uros necesarios +ue cubran las $(rdidas econ"micas encaso
de desastre* 5os moti&os de los delitos $or com$utadora normalmente son $or>
NCeneficio $ersonal
NCeneficios $ara la or)anizaci"n
Pgina 54
N?'ndrome de Rob'n Pood 9$or beneficiar a otra $ersona:
NKu)ando a u)ar Auditoria Informtica
NFcil de desfalcar
NEl indi&iduo tiene $roblemas financieros
N5a com$utadora no tiene sentimientos
NEl de$artamento es des%onesto odio a la or)anizaci"n
NE+ui&ocaci"n de e)o
NMentalidad turbada ?e consideran +ue %a# cinco factores +ue %an $ermitido el
incremento de los cr'menes $or com$utadora
NEl aumento del n8mero de $ersonas +ue se encuentran estudiando com$utaci"n
NEl aumento del n8mero de em$leados +ue tienen acceso a los e+ui$os
N5a facilidad en los e+ui$os de c"m$uto
NEl incremento en la concentraci"n del n8mero de a$licaciones #!
consecuentemente! de la informaci"n*
En la actualidad las com$a-'as cuentan con )randes dis$ositi&os $ara se)uridad
f'sica de las com$utadoras! # se tiene la idea +ue los sistemas no $uedan ser
&iolados si no se entra en el centro de c"m$uto! ol&idando +ue se $ueden usar
terminales # sistemas de tele$roceso*
3.2.) SEGURIDAD LAGICA C CONFIDENCIAL
*?e encar)a de los controles de acceso +ue estn dise-ados $ara sal&a)uardar la
inte)ridad de la informaci"n almacenada de una com$utadora! as' como controlar
el mal uso de su informaci"n* Estos controles reducen el ries)o de caer en
situaciones ad&ersas* se)uridad l")ica se encar)a de controlar # sal&a)uardar la
informaci"n )enerada $or los sistemas! $or el softAare de desarrollo # $or los
Pgina 55
$ro)ramas en a$licaci"nB identifica indi&idualmente a cada usuario # sus
acti&idades en el sistema! # restrin)e el acceso a datos! a los $ro)ramas de uso
)eneral! de uso es$ecifico! e la redes # terminales* 5a falta de se)uridad l")ica o
su &iolaci"n $uede traer las si)uientes consecuencias a la or)anizaci"n>
N Cambio de los datos antes o cuando se le da entrada a la com$utadora
N Co$ias de $ro)ramas #Do informaci"n
N C"di)o oculto en un $ro)rama
N Entrada de &irus
El ti$o de se)uridad $uede comenzar desde una sim$le lla&e de acceso
9contrase-as: %asta los sistemas ms com$licados! $ero se debe e&aluar +ue
cuanto ms com$licados sean los dis$ositi&os de se)uridad ms costosos
resultan* 5os sistemas de se)uridad normalmente no se consideran la $osibilidad
defraude cometida $or los em$leados en el desarrollo de sus funciones* Un
m(todo eficaz $ara $rote)er los sistemas de com$utaci"n el softAare de control de
acceso* Estos $a+uetes de control de acceso $rote)en contra el acceso no
autorizado! $ues $iden al usuario una contrase-a antes de $ermitirle el acceso a
informaci"n confidencial* El sistema inte)ral de se)uridad debe com$render>
NElementos administrati&os
NDefinici"n de una $ol'tica de se)uridad Auditoria
NOr)anizaci"n # di&isi"n de res$onsabilidades
3.3.) SEGURIDAD PERSONAL
Uno de los $unto ms im$ortantes a considerar $ara $oder definir la se)uridad de
un sistema es el )rado de actuaci"n +ue $uede tener un usuario dentro de un
sistema! #a +ue la informaci"n se encuentra en un arc%i&o normal o en una base
de datos! o bien +ue se $osea una minicom$utadora! o un sistema de red* ,ara
esto $odemos definir los si)uientes ti$os de usuarios>
Pgina 56
N,ro$ietario*@ Es el due-o de la informaci"n # res$onsable de (sta! # $uede
realizar cual+uier funci"n>
NAdministrador*@ ?olo $uede actualizar o modificar el softAare con la debida
autorizaci"n
NUsuario $rinci$al*@ Esta autorizado $or el $ro$ietario $ara %acer modificaciones!
cambios! lecturas # utilizaci"n de los datos! $ero no da autorizaci"n $ara +ue otros
usuarios entren
NUsuario de consulta*@ ?olo $uede leer la informaci"n
NUsuario de e;$lotaci"n*@ ,uede leer la informaci"n # usarla $ara e;$lotaci"n de la
misma
NUsuario de auditor'a*@ ,uede usar la informaci"n # rastrearla dentro del sistema
$ara fines de auditor'a ?e recomienda +ue solo e;ista un usuario $ro$ietario # +ue
el administrador sea una $ersona desi)nada $or la )erencia de informtica*
3.3.) CLASIFICACIAN DE LOS CONTROLES DE SEGURIDAD
El )ran crecimiento de las redes! intercone;iones # telecomunicaciones en
)eneral! incluido el uso de Internet de forma casi corriente! %a demostrado +ue la
se)uridad f'sica no lo es todo* Es un $unto +ue debe com$lementarse
necesariamente con la im$lementaci"n de controles $ara la se)uridad l")ica delos
sistemas # com$utadoras* Es esa tendencia de intercone;i"n de redes con otras
redes! o de una sim$le ,C a Internet la +ue nos da la $auta de +ue a8n si usamos
taretas electr"nicas $ara acceder a nuestra oficina! %a# otras $uertas traseras
muc%o menos e&identes +ue debemos controlar $or+ue nuestros sistemas estn
&irtualmente a la es$era de +ue al)uien intente utilizarlos* 5os controles>
NIdentificaci"n # autenticaci"n de usuarios*@ Identificaci"n es el $roceso de
distin)uir una $ersona de otraB # autenticaci"n es &alidar $or al)8n medio +ue esa
$ersona es +uien dice ser*
N5os controles biom(tricos>
Pgina 57
ZPuellas dactilares
Z,atrones de la retina
Z7eometr'a de la mano
ZDinmica de la firma
Z,atrones de la &oz
N,ro)ramas de control de acceso*@ ,ro)ramas dise-ados $ara administrar los
$ermisos de acceso a los recursos del sistema de informaci"n*
NControles $ara el softAare*@ ?ir&en $ara ase)urar la se)uridad # confiabilidad del
softAare*
NControles $ara el %ardAare*@ Controles +ue ase)uran la se)uridad f'sica # el
correcto funcionamiento del %ardAare de c"m$uto*
3.4.) SEGURIDAD DE LOS DATOS C SOFTOARE DE APLICACIAN
Ruta de acceso
El acceso a la com$utadora no si)nifica tener una entrada sin restricciones* 5imitar
el acceso s"lo a los ni&eles a$ro$iados $uede $ro$orcionar una ma#or se)uridad*
Cada uno de los sistemas de informaci"n tiene una ruta de acceso! la cual $uede
definirse como la tra#ectoria se)uida en el momento de acceso al sistema* Como
se %a se-alado! un usuario $uede $asar $or uno o m8lti$les ni&eles de se)uridad
antes de obtener el acceso a los $ro)ramas # datos* 5os ti$os derestricciones de
acceso son>
N ?"lo de lectura
Pgina 58
N ?"lo de escritura
N5ectura # consulta
5ectura # escritura! $ara crear! actualizar! borrar! eecutar o co$iar El es+uema de
las rutas de acceso sir&e $ara identificar todos los $untos de control +ue $ueden
ser usados $ara $rote)er los datos en el sistema*
?oftAare de control de acceso
Este $uede ser definido como el softAare dise-ado $ara emitir el maneo de
control # acceso a los si)uientes recursos*
N,ro)ramas de librer'as
NArc%i&os de datos
NKobs
N,ro)ramas de a$licaci"n
NM"dulos de funciones
NUtiler'as
NDiccionario de datos
NArc%i&os
N,ro)ramas
NComunicaci"n
Controla el acceso a la informaci"n! )rabando e in&esti)ando los e&entos
realizados # el acceso a los recursos! $or medio de identificaci"n del usuario* El
softAare de control de acceso tiene las si)uientes funciones>
NDefinici"n de usuarios
NDefinici"n de las funciones del usuario des$u(s de accesar el sistema
Pgina 59
El softAare de se)uridad $rote)e los recursos mediante la identificaci"n de los
usuarios autorizados con lla&es de acceso! +ue son arc%i&adas # )uardadas $or
este softAare* Al)unos $a+uetes de se)uridad $ueden ser usados $ara restrin)ir
el acceso a $ro)ramas! librer'as # arc%i&o de datosB otros $ueden limitar el uso de
terminales o restrin)ir el acceso a base de datos* 5a ma#or &entaa del softAare de
se)uridad es la ca$acidad de $rote)er los recursos de acceso no autorizados!
inclu#endo los si)uientes>
N,roceso en es$era de modificaci"n $or un $ro)rama de a$licaci"n
NAcceso $or los editores en l'nea
NAcceso $or utiler'as de softAare
NAcceso a arc%i&os de las base de datos
NAcceso a terminales o estaciones no autorizadas
E;isten otros ti$os de softAare de control de acceso como son los si)uientes>
N?istemas o$erati&os
NManeadores de base de datos
N?oftAare de consolas o terminales maestras
N?oftAare de librer'as softAare de utiler'as
NTelecomunicaciones
3.6.) CONTROLES PARA EVALUAR SOFTOARE DE APLICACIAN
Controles del softAare de se)uridad )eneral
A$lican $ara todos los ti$os de softAare # recursos relacionados # sir&en $ara>
NEl control de acceso a $ro)ramas # a la instalaci"n
NIi)ilar los cambios realizados
Pgina 60
NControles de acceso a $ro)ramas # datos
NCambios realizados
ZDise-o # c"di)o de modificaciones
ZCoordinaci"n de otros cambios
ZAsi)naci"n de res$onsabilidades
ZRe&isi"n de estndares # a$robaci"n
ZRe+uerimientos m'nimos de $rueba
Z,rocedimientos del res$aldo en el e&ento de interru$ci"n
Controles de softAare es$ecifico
?e $resentan al)unos de los controles usados $or los diferentes ti$os de softAare
es$ec'fico>
NEl acceso al sistema debe de ser restrin)ido $ara indi&iduos no autorizados
N?e debe controlar el acceso a los $roceso # a las a$licaciones $ermitiendo a los
usuarios autorizados eecutar sus obli)aciones asi)nadas # e&itando +ue $ersonas
no autorizadas lo)ren el acceso*
?e limitara tanto a usuarios como a $ro)ramadores de a$licaciones a un ti$o
es$ecifico de acceso de datos*
N,ara ase)urar las rutas de acceso deber restrin)irse el acceso a secciones o
tablas de se)uridad! mismas +ue debern ser encri$tados* Debern restrin)irse
las modificaciones o cambios al softAare de control de acceso! # (stos debern
ser realizados de acuerdo # a $rocedimientos no autorizados>
?oftAare de sistemas o$erati&os*
Controles +ue inclu#e>
Pgina 61
Z5os $assAord e identificadores debern ser confidenciales
ZEl acceso al softAare de sistema o$erati&o deber ser restrin)ido
Z5os administradores de se)uridad debern ser los 8nicos con autoridad $ara
modificar funciones del sistema
N?oftAare maneador de base de datos*
ZEl acceso a los arc%i&os de datos deber ser restrin)ido en una &ista de datos
l")ica
ZDeber controlar el acceso al diccionario de datos
Z5a base de datos debe ser se)ura # se usaran las facilidades de control de
acceso construidas dentro del softAare DCM?
N?oftAare de consolas o terminales maestras*
Z5os cambios realizados al softAare de consolas o terminales maestras debern
ser $rote)idas # controlados
N?oftAare de librer'as*
ZTiene la facilidad de com$ara dos &ersiones de $ro)ramas en c"di)o fuente #
re$ortar las diferencias
ZDeben limitarse el acceso a $ro)ramas o datos almacenados $or el softAare de
librer'as
Z5as &ersiones correctas de los $ro)ramas de $roducci"n deben corres$onder a
los $ro)ramas obetos
Pgina 62
N?oftAare de utiler'as*
ZDebern restrin)irse el acceso a arc%i&os de utiler'as
?oftAare de sistemas o$erati&os*
Z5os $assAord e identificadores debern ser confidenciales
ZEl acceso al softAare de sistema o$erati&o deber ser restrin)ido
Z5os administradores de se)uridad debern ser los 8nicos con autoridad $ara
modificar funciones del sistema
N?oftAare maneador de base de datos*
ZEl acceso a los arc%i&os de datos deber ser restrin)ido en una &ista de datos
l")ica
Z Deber controlar el acceso al diccionario de datos
Z5a base de datos debe ser se)ura # se usaran las facilidades de control de
acceso construidas dentro del softAare DCM?
N ?oftAare de consolas o terminales maestras*
Z5os cambios realizados al softAare de consolas o terminales maestras
debern ser $rote)idas # controlados
N ?oftAare de librer'as*
Z Tiene la facilidad de com$ara dos &ersiones de $ro)ramas en c"di)o fuente
# re$ortar las diferencias
Z Deben limitarse el acceso a $ro)ramas o datos almacenados $or el softAare
de librer'as
Z 5as &ersiones correctas de los $ro)ramas de $roducci"n deben corres$onder
a los $ro)ramas obetos
N ?oftAare de utiler'as*
Pgina 63
Z Debern restrin)irse el acceso a arc%i&os de utiler'as
Ase)urar +ue 8nicamente $ersonal autorizado ten)a acceso a corre
a$licaciones
N?oftAare de telecomunicaciones*
Z Controles de acceso a datos sensibles # recursos de la red
Z El acceso diario al sistema debe ser monitoreado # $rote)ido
3.0.)CONTROLES PARA PREVENIR CREMENES C FRAUDES INFORMBTICOS
Como %ablamos de realizar la e&aluaci"n de la se)uridad es im$ortante tambi(n
conocer c"mo desarrollar # eecutar el im$lantar un sistema de se)uridad*
Desarrollar un sistema de se)uridad si)nifica> 6$lanear! or)anizar coordinar diri)ir
# controlar las acti&idades relacionadas a mantener # )arantizar la inte)ridad f'sica
de los recursos im$licados en la funci"n informtica! as' como el res)uardo de los
acti&os de la em$resa*6,or lo cual $odemos &er las consideraciones de un sistema
de inte)ral de se)uridad*
?istema Inte)ral de ?e)uridad
N Definir elementos administrati&os
N Definir $ol'ticas de se)uridad
N A ni&el de$artamental
N A ni&el institucional
N Or)anizar # di&idir las res$onsabilidades
NContem$lar la se)uridad f'sica contra catstrofes 9incendios! terremotos!
inundaciones! etc*:
NDefinir $rcticas de se)uridad $ara el $ersonal>
N,lan de emer)encia 9$lan de e&acuaci"n! uso de recursos de emer)encia como
e;tin)uidores*
NN8meros telef"nicos de emer)encia
NDefinir el ti$o de $"lizas de se)uros
Pgina 64
Definir elementos t(cnicos de $rocedimientos
NDefinir las necesidades de sistemas de se)uridad $ara>
NPardAare # softAare
NFluo de ener)'a
NCableados locales # e;ternos
NA$licaci"n de los sistemas de se)uridad inclu#endo datos # arc%i&os
N ,lanificaci"n de los $a$eles de los auditores internos # e;ternos
N,lanificaci"n de $ro)ramas de desastre # sus $ruebas9simulaci"n:
N,lanificaci"n de e+ui$os de contin)encia con carcter $eri"dico
NControl de desec%os de los nodos im$ortantes del sistema>
N,ol'tica de destrucci"n de basura co$ias! fotoco$ias! etc*
Eta$as $ara Im$lementar un ?istema de ?e)uridad
,ara dotar de medios necesarios $ara elaborar su sistema de se)uridad se debe
considerar los si)uientes $untos>
N?ensibilizar a los eecuti&os de la or)anizaci"n en torno al tema de se)uridad*
N ?e debe realizar un dia)n"stico de la situaci"n de ries)o # se)uridad de la
informaci"n en la or)anizaci"n a ni&el softAare! %ardAare! recursos %umanos! #
ambientales*
NElaborar un $lan $ara un $ro)rama de se)uridad* El $lan debe elaborarse
contem$lando>
,lan de ?e)uridad Ideal 9o Normati&o:
Un $lan de se)uridad $ara un sistema de se)uridad inte)ral debe contem$lar>
NEl $lan de se)uridad debe ase)urar la inte)ridad # e;actitud de los datos
NDebe $ermitir identificar la informaci"n +ue es confidencial
NDebe contem$lar reas de uso e;clusi&o *
Debe $rote)er # conser&ar los acti&os de desastres $ro&ocados $or la mano del
%ombre # los actos abiertamente %ostiles
Pgina 65
NDebe ase)urar la ca$acidad de la or)anizaci"n $ara sobre&i&ir accidentes
NDebe $rote)er a los em$leados contra tentaciones o sos$ec%as innecesarias
NDebe contem$lar la administraci"n contra acusaciones $or im$rudencia
3.2.) PLAN DE CONTINGENCIA> SEGUROS> PROCEDIMIENTO DE
RECUPERACIAN DE DESASTRES
PLAN DE CONTINGENCIAS
El $lan de contin)encias # el $lan de se)uridad tienen como finalidad $ro&eer a la
or)anizaci"n de re+uerimientos $ara su recu$eraci"n ante desastres* 5a
metodolo)'a tiene como finalidad conducir de la manera ms efecti&a un $lan de
recu$eraci"n ante una contin)encia sufrida $or la or)anizaci"n* El $lan de
contin)encia es definido como> la identificaci"n # $rotecci"n de los $rocesos
cr'ticos de la or)anizaci"n # los recursos re+ueridos $ara mantener un ace$table
ni&el de transacciones # de eecuci"n! $rote)iendo estos recursos # $re$arando
$rocedimientos $ara ase)urar la sobre&i&encia de la or)anizaci"n encaso de
desastre*
Entre los obeti&os del $lan de contin)encia se encuentran>
NMinimizar el im$acto del desastre en la or)anizaci"n*
NEstablecer tareas $ara e&aluar los $rocesos indis$ensables de la or)anizaci"n*
NE&aluar los $rocesos de la or)anizaci"n! con el a$o#o # autorizaci"n res$ecti&os
a tra&(s de una buena metodolo)'a*
Determinar el costo del $lan de recu$eraci"n! inclu#endo la ca$acitaci"n # la
or)anizaci"n $ara restablecer los $rocesos cr'ticos de la or)anizaci"n cuando
ocurra una interru$ci"n de las o$eraciones*
Se:(r#&!& "'n!r! &es!sres +r'9'"!&! +'r !:(!
Pgina 66
5os centros de c"m$uto no deben colocarse en s"tanos o en reas de $lanta baa!
sino de $referencia en las $artes altas de una estructura de &arios $isos aun+ue
%a# +ue cuidar +ue en zonas s'smicas no +ueden en lu)ares donde o $eso
ocasionado $or e+ui$os o $a$el $ueda $ro&ocar $roblemas* ?e debe e&aluar la
meor o$ci"n! de$endiendo de la se)uridad de acceso al centro de c"m$uto!
cuando en la zona e;isten $roblemas de inundaciones o son s'smicas* En caso de
ser zona de inundaciones o con $roblemas de drenae la meor o$ci"n es colocar
el centro de c"m$uto en reas donde el ries)o de inundaci"n no sea e&idente*
Al)unas causas de esto $ueden ser la ru$tura de ca-er'as o el blo+ueo del
drenae! $or lo tanto! la ubicaci"n de las ca-er'as en un centro de c"m$uto es una
decisi"n im$ortante! as' como considerar el ni&el del manto fretico* Debe
considerarse el ries)o +ue re$resenta el drenae cuando el centro de c"m$uto se
localiza en un s"tano* Deben instalarse! si es el caso! detectores de a)ua o
inundaci"n! as' como bombas de emer)encia $ara resol&er inundaciones
ines$eradas* Otro de los cuidados +ue se deben tener $ara e&itar da-os $or a)ua
es $oseer as$ersores contra incendio es$eciales +ue no sean de a)ua*
Se:(r#&!& &e !('r#5!"#$n &e !""es'
Es im$ortante ase)urarse +ue los controles de acceso sean estrictos durante todo
el d'a! # +ue (stos inclu#an a todo el $ersonal de la or)anizaci"n! en es$ecial
durante los descansos # cambios de turno* El $ersonal de informtica! as' como
cual+uier otro aeno a la instalaci"n! se debe identificar antes de entrar a (sta* El
ries)o +ue $ro&iene de al)uien de la or)anizaci"n es tan )rande como el de
cual+uier otro &isitante* ?olamente el $ersonal autorizado $or medio de una lla&e
de acceso o $or la )erencia debe in)resar a dic%as instalaciones*
En los centros de c"m$uto se $ueden utilizar los si)uientes recursos>
N,uerta con cerradura* Re+uiere de la tradicional lla&e de metal! la cual debe ser
dif'cil de du$licar*
N ,uerta de combinaci"n* En este sistema se usa una combinaci"n de n8meros
$ara $ermitir el acceso*
Pgina 67
N,uerta electr"nica* El sistema ms com8n es el +ue usa una tareta de $lstico
ma)n(tica como lla&e de entrada*
N ,uertas sensoriales* ?on acti&adas $or los $ro$ios indi&iduos con al)una $arte
de su cuer$o! como $uede ser la %uella dactilar! &oz! retina! )eometr'a de la mano
o bien $or la firma*
NRe)istros de entrada* Todos los &isitantes deben firmar el re)istro de &isitantes
indicando su nombre! su com$a-'a! la raz"n $ara la &isita! la $ersona a la +ue
&isita*
NIideocmaras* [stas deben ser colocadas en $untos estrat()icos $ara +ue se
$ueda monitorear el centro
NEscolta controladora $ara el acceso de &isitantes* Todos los &isitantes deben ser
acom$a-ados $or un em$leado res$onsable*
N,uertas dobles* Este e+ui$o es recomendable $ara lu)ares de alta se)uridad> se
trata de dos $uertas! donde la se)unda s"lo se $ueda abrir cuando la $rimera est
cerrada*
N Alarmas* Todas las reas deben estar $rote)idas contra robo o accesos f'sicos
no autorizados* 5as alarmas contra robo deben ser usadas %asta donde sea
$osible en forma discreta! de manera +ue no se atrai)a la atenci"n %acia este
dis$ositi&o de alta se)uridad
?e)uros
5os se)uros de los e+ui$os en al)unas ocasiones se dean en se)undo t(rmino!
aun+ue son de )ran im$ortancia* ?e tiene $oco conocimiento de los ries)os +ue
entra-a la com$utaci"n! #a +ue en ocasiones el ries)o no es claro $ara las
com$a-'as de se)uros! debido a lo nue&o de la %erramienta! a la $oca e;$eriencia
e;istente sobre desastres # al r$ido a&ance de la tecnolo)'a* Como eem$lo de lo
anterior tenemos las $"lizas de se)uros contra desastres! #a +ue al)unos
conce$tos son cubiertos $or el $ro&eedor del ser&icio de mantenimiento! lo cual
%ace +ue se du$li+ue el se)uro! o bien +ue sobre&en)an desastres +ue no son
normales en cual+uier otro ti$o de ambiente* El se)uro debe cubrir todo el e+ui$o
# su instalaci"n! $or lo +ue es $robable +ue una sola $"liza no $ueda cubrir todo el
e+ui$o con las diferentes caracter'sticas 9e;iste e+ui$o +ue $uede ser
Pgina 68
trans$ortado! como com$utadoras $ersonales! # otras +ue no se $ueden mo&er!
como unidades de disco duro:! $or lo +ue tal &ez con&en)a tener dos o ms
$"lizas $or se$arado! cada una con las es$ecificaciones necesarias* Como
eem$lo # en forma )en(rica! $or lo com8n un se)uro de e+ui$o de c"m$uto
considera lo si)uiente>
NCienes +ue se $ueden am$arar*
NRies)os cubiertos*
NRies)os e;cluidos
NE;clusiones
N?uma ase)urada*
N,rimas! cuotas # deducibles*
NIndemnizaci"n en caso de siniestro
3.8.)TPCNICAS C KERRAMIENTAS RELACIONADAS CON LA SEGURIDAD
FESICA C DEL PERSONAL
,rotecci"n a los $rocedimientos de $rocesamiento # los e+ui$os contra las
inter&enciones e;teriores>
N?"lo se debe $ermitir al $ersonal autorizado +ue manee los e+ui$os de
$rocesamiento*
N?"lo se $ermitir la entrada al $ersonal autorizado # com$etente
N?eleccionar al $ersonal mediante la a$licaci"n de e;menes inte)rales> m(dico!
$sicol")ico! a$titudes! etc*
NContratar $ersonal +ue &i&a en zonas cercanas a la em$resa*
NAcondicionar los locales! de acuerdo con las normas de se)uridad*
NCa$acitar # adiestrar al $ersonal res$ecto a los ries)os a los +ue se e;$onen # la
manera de e&itarlos*
N,racticar con $eriodicidad e;menes m(dicos al $ersonal
N?ostener $lticas informales! directas e indi&iduales con el $ersonal*
Pgina 69
NInstalar carteles # $ro$a)anda mural referentes a la se)uridad*
NElaborar estad'sticas sobre ries)os ocurridos # deri&ar de ellas las medidas
concretas ado$tables $ara e&itar su re$etici"n*
NEnterar al $ersonal sobre dic%as estad'sticas # las medidas ado$tadas*
N,ro$oner otras acti&idades +ue se consideren necesarias*
3.10.)TECNICAS C KERRAMIENTAS RELACIONADAS CON LA SEGURIDAD
DE LOS DATOS C SOFTOARE DE APLICACION
,rotecci"n de los re)istros # de los arc%i&os*
Formas en +ue se $uede $erder los arc%i&os>
?u $resencia en ambiente distribuido*
Maneo indebido $or $arte del o$erador*
Mal funcionamiento $or $arte de la ma+uina.
,lan de $reser&aci"n>
documentos fuente> los documentos fuentes en los +ue se basa un arc%i&o
de entrada deben ser retenidos intactos %asta el momento de +ue el arc%i&o
sea com$robado*
Arc%i&os de disco> una caracter'stica sea del arc%i&o de disco es +ue el
re)istro anterior es destruido! no $roduce una co$ia automticamente una
co$ia en du$licado*
Iacio a otros medios> esto $uede ser &aciado a otros discos! o a $a$el de
im$resi"n*
Obeti&o de la auditoria de softAare de a$licaci"n>
Ierificar la $resencia de $rocedimientos # controles ,ara satisfacer >
5a instalaci"n del softAare*
Pgina 70
5a o$eraci"n # se)uridad del softAare*
5a administraci"n del softAare*
Detectar el )rado de confiabilidad>
7rado de confianza! satisfacci"n # desem$e-o*
In&esti)ar si e;isten $ol'ticas con relaci"n al softAare*
Detectar si e;isten controles de se)uridad*
Actualizaci"n del softAare de a$licaci"n
Ti$os de controles>
Control de distribuci"n*
Ialidaci"n de datos*
Totales de control*
Control de secuencia*
,ruebas de consistencia # &erosimilitud*
Di)ito d control*
Control de distribuci"n*
UNIDAD 4 AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMBTICA.
4.1 GENERALIDADES DE LA SEGURIDAD EN EL BREA DE LA
TELEINFORMBTICA
Inr'&(""#$n
Una de las $rinci$ales caracter'sticas de la sociedad actual es la )ran im$ortancia
+ue %a ad+uirido la $osesi"n # el uso de la informtica* ?e %a acu-ado el termino
de sociedad de la informaci"n $ara describir este fen"meno* El almacenismo! el
maneo # la difusi"n de )randes cantidades de informaci"n es al)o %abitual en
nuestros d'as! fa&orecido $or el desarrollo de las denominadas nue&as tecnolo)'as
de la informaci"n*
Pgina 71
5a informtica %a facilitado este %ec%o! $ero sucede! cada &ez ms! +ue la
informaci"n +ue se obtiene o $roduce en un lu)ar! se $recisa en otro lu)ar distinto!
a &eces mu# leano*
Es normal +ue los datos im$licados en un determinado $roceso %a#a +ue
obtenerlos de distintos or')enes! f'sicamente dis$ersos* 5a sociedad actual e;i)e!
adems! dis$oner de estos datos con ra$idez # fiabilidad*
Ante este $roblema de distancia entre el lu)ar de $roducci"n de datos # el lu)ar de
tratamiento! la obtenci"n de informaci"n distante o la com$artici"n de datos # el
lu)ar de tratamiento*
5a obtenci"n de informaci"n distante o la com$artici"n de datos $or suetos
ubicados en distintos lu)ares! %a sur)ido una nue&a t(cnica +ue utiliza u a8na la
Informtica # las Telecomunicaciones! a la cual se denomina Teleinformtica
En la actualidad tiene una )ran trascendencia tanto t(cnica como social! lo +ue se
denomina teleinformtica> la uni"n de la informtica # las telecomunicaciones*
Tanto en la &ida $rofesional como en las acti&idades cotidianas! es %abitual el uso
de e;$resiones # conce$tos relacionados con la teleinformtica*
Mediante esta t(cnica se $ueden interconectar a distancia com$utadoras!
terminales # otros e+ui$os! usando $ara ello al)8n medio adecuado de
comunicaci"n! como $or eem$lo l'neas telef"nicas! cables coa;iales! microondas!
etc(tera*
5os re+uerimientos en la se)uridad de la informaci"n de la or)anizaci"n %an
sufrido dos cambios im$ortantes en las 8ltimas d(cadas*
,re&io a la difusi"n en el uso de e+ui$o de informaci"n la se)uridad de la misma
era considerada como &aliosa $ara la or)anizaci"n en las reas administrati&as!
$or eem$lo el uso de )abinetes con candado $ara el almacenamiento de
documentos im$ortantes*
Pgina 72
Con la introducci"n de las com$utadoras la necesidad de %erramientas
automatizadas $ara la $rotecci"n de arc%i&os # otra informaci"n almacenada fue
e&idente! es$ecialmente en el caso de sistemas com$artidos $or eem$lo sistemas
+ue $ueden ser accesados &'a telef"nica o redes de informaci"n*
El nombre )en(rico de las %erramientas $ara $rote)er la informaci"n as' como la
in&asi"n de %acFers es la se)uridad com$utacional*
El se)undo cambio +ue afect" la se)uridad fue la introducci"n de sistemas
distribuidos as' como el uso de redes e instalaciones de comunicaci"n $ara en&iar
informaci"n entre un ser&idor # una com$utadora o entre dos com$utadoras*
5as medidas de se)uridad de redes son necesarias $ara $rote)er la informaci"n
durante su transmisi"n as' como $ara )arantizar +ue dic%a informaci"n sea
aut(ntica*
5a tecnolo)'a utilizada $ara la se)uridad de las com$utadoras # de las redes
automatizadas es la inscri$ci"n # fundamentalmente se utilizan la encri$ci"n
con&encional o tambi(n conocida como encri$ci"n sim(trica! +ue es usada $ara la
$ri&acidad mediante la autentificaci"n # la encri$ci"n $ublic Fe#*
Tambi(n conocida como asim(trica utilizada $ara e&itar la falsificaci"n de
informaci"n # transacciones $or medio de al)oritmos basados en funciones
matemticas! +ue a diferencia de la encri$ci"n sim(trica utiliza dos cla&es $ara la
$rotecci"n de reas como la confidencialidad! distribuci"n de cla&es e
identificaci"n*
,ro$iedades de la informaci"n +ue $rote)en la se)uridad informtica
5a ?e)uridad Informtica debe &i)ilar $rinci$almente $or las si)uientes
$ro$iedades>
,ri&acidad \ 5a informaci"n debe ser &ista # mani$ulada 8nicamente $or +uienes
tienen el derec%o o la autoridad de %acerlo* Un eem$lo de ata+ue a la ,ri&acidad
es la Di&ul)aci"n de Informaci"n Confidencial*
Pgina 73
Inte)ridad \ 5a informaci"n debe ser consistente! fiable # no $ro$ensa a
alteraciones no deseadas* Un eem$lo de ata+ue a la Inte)ridad es la modificaci"n
no autorizada de saldos en un sistema bancario o de calificaciones en un sistema
escolar*
Dis$onibilidad \ 5a informaci"n debe estar en el momento +ue el usuario re+uiera
de ella* Un ata+ue a la dis$onibilidad es la ne)aci"n de ser&icio 9En In)l(s Denial
of ?er&ice o Do?: o tirar el ser&idor
4.2 OBJETIVOS C CRITERIOS DE LA AUDITORIA EN EL BREA DE LA
TELEINFORMBTICA
Cada &ez ms las comunicaciones estn tomando un $a$el determinante en el
tratamiento de
datos! cum$li(ndose el lema Sel com$utador es la red]* Mientras +ue com8nmente
el directi&o informtico tiene am$lios conocimientos de comunicaciones estn a la
misma altura! $or lo +ue el ries)o de deficiente anclae de la )erencia de
comunicaciones en el es+uema or)anizati&o e;iste*
,or su $arte! los informticos a car)o de las comunicaciones suelen auto
considerarse e;clusi&amente t(cnicos! ob&iando considerar las a$licaciones
or)anizati&as de su tarea* Todos estos factores con&er)en en +ue la auditor'a de
comunicaciones no siem$re se $racti+ue con la frecuencia # $rofundidad
e+ui&alentes a las de otras reas del $roceso de datos*
,or tanto! el $rimer $unto de una auditor'a es determinar +ue la funci"n de )esti"n
de redes # comunicaciones est( claramente definida! debiendo ser res$onsable!
en )eneral! de las si)uientes reas
7esti"n de la red! in&entario de e+ui$amiento # normati&a de conecti&idad*
Monitorizaci"n de las comunicaciones! re)istro # resoluci"n de $roblemas*
Pgina 74
Re&isi"n de costos # su asi)naci"n de $ro&eedores # ser&icios de
trans$orte! balanceo de trfico entre rutas # selecci"n de e+ui$amiento*
Como obeti&os del control! se debe marcar la e;istencia de>
Una )erencia de comunicaciones con autoridad $ara establecer $rocedimientos #
normati&a*
,rocedimientos # re)istros de in&entarios # cambios*
Funciones de &i)ilancia del uso de la red de comunicaciones! austes de
rendimiento! re)istro de incidencias # resoluci"n de $roblemas*
,rocedimientos $ara el se)uimiento del costo de las comunicaciones # su
re$arto a las $ersonas o unidades a$ro$iadas*
Auditando la red f'sica
En una $rimera di&isi"n! se establecen distintos ries)os $ara los datos +ue
circulan dentro del edificio de a+uellos +ue &iaan $or el e;terior* ,or tanto! %a de
auditarse %asta +u( $unto las instalaciones f'sicas del edificio ofrecen )arant'as #
%an o estudiadas las &ulnerabilidades e;istentes*
En )eneral! muc%as &eces se $arte del su$uesto de +ue si no e;iste acceso f'sico
desde el e;terior ala red interna de una em$resa las comunicaciones internas
+uedan a sal&o*
El e+ui$o de comunicaciones se mantiene en %abitaciones cerradas con
acceso limitado a$ersonas autorizadas*
5a se)uridad f'sica de los e+ui$os de comunicaciones! tales como
controladores de comunicaciones! dentro de las salas de com$utadores sea
adecuada*
Pgina 75
?"lo $ersonas con res$onsabilidad # conocimientos estn incluidas en la
lista de $ersonas $ermanentemente autorizadas $ara entrar en las salas
de e+ui$os de comunicaciones*
?e toman medidas $ara se$arar las acti&idades de electricistas # $ersonal
de tendido # mantenimiento de tendido de l'neas telef"nicas! as' como sus
autorizaciones de acceso! de a+u(llas del $ersonal bao control de
la )erencia de comunicaciones*
Facilidades de traza # re)istro del trfico de datos +ue $osean los e+ui$os
de monitorizaci"n*
,rocedimientos de a$robaci"n # re)istro ante las cone;iones a l'neas de
comunicaciones en la detecci"n # correcci"n de $roblemas*
En el $lan )eneral de recu$eraci"n de desastres $ara ser&icios de
informaci"n $resta adecuada atenci"n a la recu$eraci"n # &uelta al ser&icio
de los sistemas de comunicaci"n de datos*
E;isten $lanes de contin)encia $ara desastres +ue s"lo afecten a las
comunicaciones! como el fallo de una sala com$leta de comunicaciones*
5as alternati&as de res$aldo de comunicaciones! bien sea con las mismas
salas o con salas de res$aldo! consideran la se)uridad f'sica de
estos lu)ares*
5as l'neas telef"nicas usadas $ara datos! cu#os n8meros no deben ser
$8blicos! tienen dis$ositi&osD$rocedimientos de se)uridad tales como retro@
llamada! c"di)os de cone;i"n o interru$tores $ara im$edir accesos no
autorizados al sistema informtico*
Auditando la red l")ica
Cada &ez ms se tiende a +ue un e+ui$o $ueda comunicarse con cual+uier otro
e+ui$o! de manera +ue sea la red de comunicaciones el substrato com8n +ue les
Pgina 76
une* ?im$lemente si un e+ui$o! $or cual+uier circunstancia! se $one a en&iar
indiscriminadamente mensaes! $uede ser ca$az de blo+uear la red com$leta #
$or tanto! al resto de los e+ui$os de la instalaci"n*
Es necesario monitorizar la red! re&isar los errores o situaciones an"malas +ue se
$roducen # tener establecidos los $rocedimientos $ara detectar # aislar e+ui$os en
situaci"n an"mala* En )eneral! si se +uiere +ue la informaci"n +ue &iaa $or la red
no $ueda ser es$iada! la 8nica soluci"n totalmente efecti&a es la encri$taci"n*
Como obeti&os de control! se debe marcar la e;istencia de>
Contrase-as # otros $rocedimientos $ara limitar # detectar cual+uier intento de
acceso no autorizado a la red de comunicaciones*
Facilidades de control de errores $ara detectar errores de transmisi"n # establecer
las retransmisiones a$ro$iadas
Controles $ara ase)urar +ue las transmisiones &an solamente a usuarios
autorizados # +ue los mensaes no tienen $or +u( se)uir siem$re la misma ruta*
4.3 SQNTOMAS DE RIESGO
Introducci"n
5os $rofundos cambios +ue ocurren %o#! su com$leidad # la &elocidad con los +ue
se dan! son las ra'ces de la incertidumbre # el ries)o +ue las or)anizaciones
confrontan*
5as fusiones! la com$etencia )lobal # los a&ances tecnol")icos! las
desre)ulaciones! # las nue&as re)ulaciones! el incremento en la demanda de los
consumidores # de los %abitantes! la res$onsabilidad social # ambiental de las
or)anizaciones*
PREVISIAN DE RIESGOS
Pgina 77
Tener en cuenta lo si)uiente>
R 5a e&aluaci"n de los ries)os in%erentes a los diferentes sub$rocesos de la
Auditor'a*
R 5a e&aluaci"n de las amenazas o causas de los ries)os*
R 5os controles utilizados $ara minimizar las amenazas o ries)os*
5a e&aluaci"n de los elementos del anlisis de ries)os*
EJECUCIAN DE AUDITOREAS
TIPOS DE RIESGO:
Ries)o de Control> Es a+uel +ue e;iste # +ue se $ro$icia $or falta de control de las
acti&idades de la em$resa # $uede )enerar deficiencias del ?istema de Control
Interno*
Ries)o de Detecci"n> Es a+uel +ue se asume $or $arte de los auditores +ue en su
re&isi"n no detecten deficiencias en el ?istema de Control Interno*
Ries)o In%erente> ?on a+uellos +ue se $resentan in%erentes a las caracter'sticas
del ?istema de Control Interno*
EDISTENCIA DE ERRORES O IRREGULARIDADES.
a: Cuando el auditor tiene dudas sobre la inte)ridad de los funcionarios de la
em$resa*
b: Cuando el auditor detecte +ue los $uestos cla&e como caero! contador!
administrador o )erente! tienen un alto $orcentae de rotaci"n*
c: El desorden del de$artamento de contabilidad de una entidad im$lica informes
con retraso! re)istros de o$eraciones inadecuados! arc%i&os incom$letos! cuentas
no conciliadas! etc*
VERIFICAR FUNCIONES
Pgina 78
As$ectos>
R e;istencia de un m(todo $ara cerciorarse +ue los datos recibidos $ara su
&aloraci"n sean com$letos! e;actos # autorizados
R em$lear $rocedimientos normalizados $ara todas las o$eraciones # e;aminarlos
$ara ase)urarse +ue tales $rocedimientos son acatadosB
R e;istencia de un m(todo $ara ase)urar una $ronta detecci"n de errores # mal
funcionamiento del ?istema de C"m$utoB
R deben e;istir $rocedimientos normalizados $ara im$edir o ad&ertir errores
accidentales! $ro&ocados $or fallas de o$eradores o mal funcionamiento de
m+uinas # $ro)ramas *
SISTEMAS DE CONTROL DE RIESGOS
o ?istemas Comunes de 7esti"n
o ?er&icios de Auditor'a Interna
?istemas Comunes de 7esti"n
Desarrollan las normas internas # su m(todo $ara la e&aluaci"n # el control
de los ries)os # re$resentan una cultura com8n en la )esti"n de los ne)ocios!
com$artiendo el conocimiento acumulado # fiando criterios # $autas de actuaci"n*
OCKETIIO?
0* Identificar $osibles ries)os
3* O$timizar la )esti"n diaria
T* Fomentar la siner)ia # creaci"n de &alor de los distintos )ru$os de ne)ocio
trabaando en un entorno colaborador*
Q* Reforzar la identidad cor$orati&a
Pgina 79
V* Alcanzar el crecimiento a tra&(s del desarrollo estrat()ico +ue bus+ue la
inno&aci"n # nue&as o$ciones a medio # lar)o $lazo*
NIVELES
a: todas las Unidades de Ne)ocio # reas de acti&idad*
b: todos los ni&eles de res$onsabilidad
c: todos los ti$os de o$eraciones*
GESTIAN DE RIESGOS
Ser9#"#'s &e A(&#'r<!.
Auditores internos con las dems reas de la or)anizaci"n en los $rocesos de
meora continua relacionados con>
R la identificaci"n de los ries)os rele&antes a $artir de la definici"n de los dominios
o $untos cla&e de la or)anizaci"n*
R 5a estimaci"n de la frecuencia con +ue se $resentan los ries)os identificados*
R 5a determinaci"n de los obeti&os es$ec'ficos de control ms con&enientes*
X=u( e&al8an los auditores internosY
5a cantidad # calidad de las e;$osiciones al ries)o referidas a la
administraci"n! custodia # $rotecci"n de los recursos dis$onibles! o$eraciones #
sistemas de informaci"n de la or)anizaci"n! teniendo en cuenta la necesidad de
)arantizar a un ni&el razonable*
OCKETIIO?
R Confiabilidad e inte)ridad de la informaci"n financiera # o$eracional*
R Eficacia # eficiencia de las o$eraciones*
R Control de los recursos de todo ti$o a dis$osici"n de la entidad*
R Cum$limiento de las le#es! re)lamentos! $ol'ticas # contratos*
GESTIAN DE RIESGOS
Pgina 80
Ser9#"#'s &e C'ns(*'r<!.
5os auditores internos deben incor$orar los conocimientos del ries)o obtenidos de
los trabaos de Consultor'a en los $rocesos de identificaci"n! anlisis # e&aluaci"n
de las e;$osiciones de ries)o si)nificati&a en la or)anizaci"n*
5os ries)os $ueden $ro&enir de>
Deficiencias en acti&idades )enerales del sistema de informaci"n automatizado

R Desarrollo # mantenimiento de $ro)rama
R ?o$orte tecnol")ico de los softAare de sistemas
R O$eraciones
R ?e)uridad f'sica
R Control sobre el acceso a $ro)ramas*
5a naturaleza de los ries)os # las caracter'sticas del Control Interno
Falta de rastro de las transacciones*
Falta de se)re)aci"n de funciones*
4.3.) TPCNICAS C KERRAMIENTAS AUDITORIA
RELACIONADAS CON SEGURIDAD TELEINFORMBTICA
Te*e#n-'r./#"!
S5a ciencia +ue estudia el conunto de t(cnicas +ue es necesario usar $ara
$oder transmitir datos dentro de un sistema informtico o entre $untos de (l
situados en lu)ares remotos o usando redes de telecomunicaciones]
Obeti&os
Pgina 81
N Reducir tiem$o # esfuerzo*
N Ca$turar datos en su $ro$ia fuente*
N Centralizar el control*
N Aumentar la &elocidad de entre)a de la informaci"n*
N Reducir costos de o$eraci"n # de ca$tura de datos*
N Aumentar la ca$acidad de las or)anizaciones! a un costo incremental
razonable*
N Aumentar la calidad # la cantidad de la informaci"n*
N Meorar el sistema administrati&o
5as t(cnicas de comunicaci"n se estructuran en>
Ni&eles> f'sico
Enlace de datos
Red
Trans$orte
?esi"n
,resentaci"n
A$licaci"n*
Redes de rea local
Red Internet # su $rotocolo TC,DI,
,ro)ramas de Comunicaci"n # 7esti"n de Red*
Pgina 82
Utilizando T(cnicas teleinformticas>
N Cuando se desea reducir un ele&ado &olumen de correo! de llamadas
telef"nicas o de ser&icios de mensaer'a*
N En los casos en +ue se efect8en mu# a menudo o$eraciones re$etiti&as
N Cuando sea necesario aumentar la &elocidad de en&'o de la informaci"n
N En la eecuci"n de o$eraciones descentralizadas*
N ,ara meorar el control! descentralizando la ca$tura de datos #
centralizando su $rocesamiento*
N En los casos en +ue es necesario disminuir ries)os en el $rocesamiento
de la informaci"n
N Cuando sea menester meorar la acti&idad de $lanificaci"n en la
or)anizaci"n*
SINTOMAS DE RIESGO TELEINFORMATICA
5os controles directi&os
El desarrollo de las $ol'ticas*
N Amenazas f'sicas e;ternas*
N Control de accesos adecuado
N ,rotecci"n de datos
N Comunicaciones # redes
Pgina 83
N El entorno de $roducci"n*
N El desarrollo de a$licaciones en un entorno se)uro
N 5a continuidad de las o$eraciones
EVALUACIAN DE RIESGOS
?e trata de identificar ries)os! cuantificar su $robabilidad e im$acto #
analizar medidas +ue los eliminen o +ue disminu#an la $robabilidad de +ue
ocurran los %ec%os o miti)uen el im$acto*
UNIDAD.) 6 INFORME DE LA AUDITORIA INFORMBTICA*
6.1 GENERALIDADES DE LA SEGURIDAD DEL BREA FESICA.
Cuando se %abla de se)uridad informtica e;iste una clara tendencia a %acer el
si)uiente raz"namiento de forma ms o menos inconsciente>
0* =ueremos $rote)er bienes de carcter informtico 9$or eem$lo! datos
confidenciales:
3* 5as amenazas +ue dic%os bienes $ueden sufrir $roceden del medio informtico
9$or eem$lo! co$ia no autorizada de esos datos:
T* ,or tanto! los mecanismos de $rotecci"n tambi(n deben ser informticos 9$or
eem$lo! restricciones de acceso a dic%os datos:*
As'! asociamos el conce$to de se)uridad e;clusi&amente a mecanismos
relati&amente sofisticados de control informtico! como $ueden ser entrada
Pgina 84
restrin)ida al sistema! dene)aci"n de $ri&ile)ios de lectura # modificaci"n de
fic%eros! cifrado de las comunicaciones! o $rotecci"n de las redes mediante
cortafue)os*
5as medidas de se)uridad f'sica ser&irn $ara $rote)er nuestros e+ui$os e
informaci"n frente a usos inadecuados! fallos de instalaci"n el(ctrica! accidentes!
robos! atentados! desastres naturales! # cuales+uiera otros a)entes +ue atenten
directamente contra su inte)ridad f'sica*
L!s !.en!5!s ! *! se:(r#&!& -<s#"!
?on muc%os los a)entes +ue $ueden acabar con la buena salud de nuestro
%ardAare 9una sobrecar)a de tensi"n! un $e+ue-o accidente: o incluso %acerlo
desa$arecer 9un robo! un incendio:*
A:enes n!(r!*es> !""#'nes &e* en'rn' , &es!sres
5os ordenadores son e;traordinariamente &ulnerables a a)entes naturales +ue
ordinariamente se consideran de im$ortancia menor o nula $ara la se)uridad de
un inmueble t'$ico! como $ueden ser el ;(.'! el +'*9'! la seN(e&!&! la
;(.e&!&! las e.+er!(r!s e1re.!s! las 'r.en!s e*?"r#"!s! las
9#7r!"#'nes o incluso *'s #nse"'s! $ues deterioran $ro)resi&a $ero eficazmente
al)unos com$onentes del %ardAare! como conectores! soldaduras! cabezas
lectoras! circuitos im$resos e inte)rados o tubos cat"dicos*
Adems e;iste otra serie de a)entes +ue $ueden tener ori)en %umano # +ue
tambi(n tienen la ca$acidad deteriorar seriamente o destruir la funcionalidad de
nuestros e+ui$os! como las s'7re"!r:!s &e ens#$n! los "!.+'s
e*e"r'.!:n?#"'s fuertes o los .'9#.#en's 7r(s"'s*
,or 8ltimo! los desastres como el -(e:'! las #n(n&!"#'nes! las e1+*'s#'nes o los
Pgina 85
erre.''s tienen $ara los ordenadores las mismas consecuencias de&astadoras
+ue $ara la )eneralidad de los e+ui$os el(ctricos # electr"nicos* En el caso del
a)ua! a los da-os +ue $ueden sufrir los e+ui$os %a# +ue a-adir el ries)o de
electrocuci"n $ara el $ersonal +ue los mani$ula*
E* +*!n &e se:(r#&!& -<s#"!
Pa# dos cuestiones esenciales +ue se %an de tener en cuenta al concebir la
se)uridad f'sica de una instalaci"n*
5a $rimera es +ue debe $ensarse $ara cada lu)ar concreto! adecundose a sus
caracter'sticas f'sicas # a los a)entes circundantes +ue $ueden su$oner una
amenaza $ara los sistemas*
5a se)unda es +ue e;iste una cantidad mu# )rande de &ariables a considerar! $or
el )ran n8mero de $osibles amenazas* 5a es$ecificidad # multi$licidad de la
se)uridad f'sica determinan una ma#or dificultad en la resoluci"n de los $roblemas
+ue en su mbito se $lantean*
,or ello es absolutamente necesario +ue el $rimer $aso a dar $ara ase)urar
f'sicamente nuestras instalaciones sea formular un +*!n es"r#' de las
necesidades de se)uridad f'sica # de las medidas destinadas a cubrirlas en el
futuro*
Este $lan debe incluir los si)uientes elementos>
Pgina 86
Descri$ci"n de los &#s+'s##9's -<s#"'s a $rote)er! inclu#endo
ordenadores!
$erif(ricos! cables! cone;iones! so$ortes de datos! etc*
N Descri$ci"n del /re! -<s#"! en el +ue estn localizados esos dis$ositi&os*
N Descri$ci"n del +er<.er' &e se:(r#&!& # de sus $osibles a)ueros*
N Descri$ci"n de las !.en!5!s contra las +ue nos +ueremos $rote)er! inclu#endo
una
estimaci"n de su $robabilidad*
N Descri$ci"n de nuestras &e-ens!s*
N Enumeraci"n de los .e&#'s $ara meorarlas*
N Estimaci"n del "'se de las meoras*
6.2 CARACTERESTICAS DEL INFORME
El Informe se inicia con la fec%a de comienzo de la auditor'a # la fec%a de
redacci"n del mismo* ?e inclu#en asimismo los nombres del e+ui$o auditor # los
nombres de todas las $ersonas entre&istadas! con indicaci"n de la Kefatura!
res$onsabilidad o $uesto de trabao +ue ostente*
Tras estos $role)"menos! se e;$ondrn! a saber>
0* Definici"n de obeti&os # alcance de la auditor'a9 #a estudiados:*
3* Enumeraci"n de temas considerados* Antes de tratarlos en $rofundidad ! se
enumerarn lo ms e;%austi&amente $osible todos los temas obeto de la
auditor'a*
T* Cuer$o e;$ositi&o
,ara cada tema obeto de auditor'a! se se)uir el si)uiente orden! a saber>
Pgina 87
a: ?ituaci"n actual* Cuando se trate de una Re&isi"n $eri"dica! en la +ue se
analiza no solamente una situaci"n sino adems su e&oluci"n en el tiem$o! se
e;$ondr la situaci"n $re&ista # la situaci"n real*
b: Tendencias* ?e tratarn de %allar $armetros de correlaci"n +ue $ermitan
establecer tendencias de situaci"n futura* No siem$re es $osible tal $retensi"n*
c: ,untos d(biles # amenazas* Debern e;$licarse $or s' mismos! sin referencias
a otros lu)rares del informe*
d: Recomendaciones # ,lanes de Acci"n* Constitu#en! unto con la e;$osici"n de
$untos d(biles! el &erdadero obeto de la auditor'a informtica*
e: Redacci"n $osterior de la Carta de Introducci"n o ,resentaci"n*
Modelo conce$tual de e;$osici"n del informe final
El modelo de Informe final de auditor'a informtica $or el +ue %emos o$tado es
utilizado $or Com$a-'as # auditores inde$endientes $resti)iosos* ?e basa en los
dos $rinci$ios fundamentales si)uientes>
A: El Informe debe incluir solamente %ec%os im$ortantes*
5a inclusi"n de %ec%os $oco rele&antes o accesorios des&'a la atenci"n del +ue lo
lee # des&irt8a el informe en su conunto*
C: El Informe debe consolidar los %ec%os +ue se describen en el mismo*
En auditor'a! el t(rmino de 6%ec%os consolidados6 ad+uiere un es$ecial si)nificado
de &erificaci"n obeti&a # de estar documentalmente $robados # so$ortados*
5a consolidaci"n de los %ec%os debe satisfacer! al menos! los si)uientes criterios
bsicos>
1. El %ec%o +ue se inclu#a debe $oder ser sometido a cambio*
Pgina 88
2. 5as &entaas del cambio deben su$erar los inco&enientes deri&ados de
mantener la situci"n*
3. No deben e;istir alternati&as &iables +ue su$eren! $or ms beneficiosos #
$or meor ratio $restaci"nD costo! al cambio $ro$uesto*
4. 5a recomendaci"n del auditor sobre el %ec%o en cuesti"n %a de mantener o
meorar las Normas # estndares e;istentes en la instalaci"n*
Cum$lidos los dos $rinci$ios # los criterios de consolidaci"n e;$uestos! el %ec%o
$asa al Informe*
5a a$arici"n de un %ec%o en un informe de auditor'a im$lica necesariamente la
e;istencia de una debilidad +u %a de ser corre)ida* Ieamos el modelo de fluo del
%ec%o o debilidad! # el orden! desde su a$arici"n %asta la recomendaci"n del
auditor $ara eliminarla>
0*.echo encontrado
Pa de ser rele&ante $ara el auditor # $ara el cliente*
Pa de ser e;acto! # adems con&incente*
No deben e;istir %ec%os re$etidos* Deben $rocurarse e&itar incluso las
referencias # alusiones a otros %ec%os*
3* Consecuencias del hecho
5as consecuencias deben redactarse de modo +ue sean directamente
deducibles del %ec%o*
T* Repercusin del hecho
?e redactar! si e;iste! las influencias directas +ue el %ec%o $ueda tener
sobre otros as$ectos informticos u otros mbitos de la em$resa auditada*
Pgina 89
Q* Conclusin del hecho
No deben redactarse conclusiones ms +ue en los casos en la e;$osici"n
%a#a sido mu# e;tensa # com$lea*
V* Recomendacin del auditor informtico
?iem$re se e;$licitar la $alabra 6Recomendaci"n6! # nin)una otra*
Deber entenderse $or s' sola! $or su sim$le lectura*
Deber estar suficientemente so$ortada en el $ro$io te;to*
Deber ser concreta # e;acta en el tiem$o! $ara +ue $ueda ser se)uida #
&erificada su im$lementaci"n*
5a Recomendaci"n se redactar de forma +ue &a#a diri)ida e;$resamente
a la $ersona o $ersonas +ue $uedan im$lementarla*
Debern e&itarse las Recomendaciones demasiado )enerales* No debern
redactarse e;$resiones como 6*** se den las "rdenes o$ortunas $ara +ue***
6*?e deber decir> 6*** se elabore un $ro)rama $ara +ue en ./ d'as***6*
E*CARTA DE INTRODUCCION O ,RE?ENTACION DE5 INFORME FINA5
5a Carta de Introducci"n tiene es$ecial im$ortancia $or+ue en un m;imo de T " Q
folios %a de resumirse la auditor'a realizada*
Es de naturaleza sumamente restricti&a>
?e destina e;clusi&amente al res$onsable m;imo de la em$resa! o a la $ersona
concreta +ue encar)" o contrat" la misma! o a la $ersona en +ui(n ella %ubiese
dele)ado e;$resamente*
Pgina 90
As' como $ueden e;istir tantas co$ias del Informe Final como solicite el cliente!
siem$re +ue (ste es$ecifi+ue los nombres de los destinatarios! la Auditor'a no
%ar co$ias de la citada Carta de Introducci"n*
?e entiende +ue la Carta de ,resentaci"n o Carta de Introducci"n del Informe
debe sintetizar al m;imo el contenido de a+u(l* El m;imo res$onsable del
cliente debe $oder formarse una idea a$ro;imada dela situaci"n con la lectura de
esta sucinta Carta*
5a misma! $oseer los si)uientes atributos>
@ Tendr una lon)itud m;ima de Q folios! aun+ue la auditor'a ten)a centenares de
ellos*
@ Incluir fec%a! naturaleza! obeti&os # alcance*
@ Cuantificar la im$ortancia de las reas analizadas*
@ ,ro$orcionar una conclusi"n )eneral! concretando las reas de )ran debilidad*
@ ,resentar las debilidades en orden de im$ortancia # )ra&edad! de ma#or a
menor* 9Obs(r&ese c"mo el orden del Informe # de la Carta no tienen $or +u(
coincidir:*
@ En la Carta de Introducci"n no se escribirn nunca Recomendaciones* 95as
Recomendaciones se e;$resan siem$re en los Informes:*
E*0* ,autas de 5en)uae # redacci"n del informe
T'tulos> Pan de ser e;$resi&os! $ero bre&es*
,rrafos> En cada $rrafo debe tratarse un solo asunto* Cada $rrafo debe tener 2
" 0/ l'neas como m;imo* Cuando e;ceda de esta cantidad! se di&idir en dos*
Pgina 91
Frases> En cada frase debe e;istir una sola idea* 5a idea suele ser e;$resada $or
el &erbo* ,or ello! cada frase contendr un &erbo! dos como m;imo*
5a frase no debe su$erar las tres l'neas*
No deben cambiarse &erbos $or nombres* No se debe escribir 6*** %emos realizado
un e;amen***6B %a# +ue escribir 6*** %emos e;aminado***6*
Otros>
@ Utilizar len)uae sobrio normal! no e;cesi&amente culto* ?e $ermiten an)licismos
# $alabras t(cnicas mu# conocidas*
@ Utilizar la &oz acti&a o refle;i&a! $ero nunca la $asi&a*
@ Omitir $alabras innecesarias* No deben usarse e;$resiones como 6Con
referencia a6! 6Consecuentemente con6! 6en nuestra o$ini"n6! 6creemos +ue6!
6consideramos +ue6! etc*
@ E&itar redundancias de len)uae* No $odr redactarse! $or eem$lo! 6%emos
re&isado # analizado6*
@No e;$resarse $or medio de ad&erbios # adeti&os simultneamente* Eem$lo> No
debe redactarse 6es estrictamente necesario +ue ***6*
6.3 ESTRUCTURA DEL INFORME
INFORME DE AUDITOREA
El informe es el documento escrito mediante el cual la comisi"n de auditor'a
e;$one el resultado final de su trabao! a tra&(s de uicios fundamentados en las
e&idencias obtenidas durante la fase de eecuci"n! con la finalidad de brindar
suficiente informaci"n a los funcionarios de la entidad auditada # estamentos
$ertinentes! sobre las deficiencias o des&iaciones ms si)nificati&as! e incluir las
Pgina 92
recomendaciones +ue $ermitan $romo&er meoras en la conducci"n de las
acti&idades 8 o$eraciones del rea o reas e;aminadas*
NORMAS RELACIONADAS AL INFORME DE AUDITOREA
NAGU 3.20 OPORTUNIDAD DEL INFORME
5a comisi"n auditora deber adecuarse a los $lazos esti$ulados en el $ro)rama
corres$ondiente! a fin +ue el informe $ueda emitirse en el tiem$o $re&isto!
$ermitiendo +ue la informaci"n en (l re&elada sea utilizada o$ortunamente $or el
Titular de la entidad #Do autoridades de los ni&eles a$ro$iados del Estado*
El informe debe ser o$ortuno a fin de +ue sea 8til $or la entidad! siendo necesario
el estricto cum$limiento de las fec%as $ro)ramadas $ara las distintas fases de la
acci"n de control*
El Informe ser denominado teniendo en consideraci"n! la naturaleza o ti$o de
acci"n de control efectuado! indicando los datos corres$ondientes a su
numeraci"n e inclu#endo un t'tulo! el cual deber ser bre&e! es$ec'fico # redactado
en tono constructi&o*
ESTRUCTURA DEL INFORME
I* INTRODUCCIHN*
0* Ori)en del e;amen*
3* Naturaleza # obeti&os del e;amen*
T* Alcance del e;amen*
Q* Antecedentes # base le)al de la entidad*
Pgina 93
V* Comunicaci"n de %allaz)os*
.* Memorndum de Control Interno*
E* Otros as$ectos de im$ortancia*
II* OC?ERIACIONE?*
III* CONC5U?IONE?*
II* RECOMENDACIONE?*
I* ANE^O?*
FIRMA
. INTRODUCCIAN.
Com$render informaci"n )eneral concerniente a la acci"n de control # a la
entidad e;aminada*
1. Or#:en &e* E1!.en
Referido a los antecedentes o razones +ue moti&aron la acci"n de control!
es el caso de> $lanes anuales de control! denuncias! solicitudes 9del titular de la
entidad! de la C7R! del Con)reso! etc*:! entre otrosB debiendo %acerse menci"n al
documento # fec%a de acreditaci"n*
2. N!(r!*e5! , O7@e#9's &e* e1!.en
En este rubro se se-alar la naturaleza o ti$o de la acci"n de control! as'
como los obeti&os $re&istosB e;$oni(ndose ellos se)8n su )rado de si)nificancia o
im$ortancia $ara la entidad! inclu#endo $recisiones +ue corres$ondan en cuanto al
ni&el de cum$limiento alcanzado en cada caso*
3. A*"!n"e &e* e1!.en
Pgina 94
?e indicar claramente la cobertura # $rofundidad del trabao realizado $ara
el lo)ro de los obeti&os de la acci"n de control! $recisando el $eriodo # reas de
la entidad e;aminadas! mbito )eo)rfico donde se realiz" el e;amen! dendose
constancia +ue se lle&" de acuerdo a las NA7UB $ara el caso de auditor'a
financiera se mencionar +ue se lle&" a cabo de acuerdo a las NA7A_s! Normas
Internacionales de Auditor'a # dems dis$osiciones a$licables al efecto*
Asimismo! de considerarlo $ertinente la comisi"n auditora re&elar las
limitaciones de informaci"n u otras relati&as al alcance del e;amen +ue se
%ubieran $resentado # afectado el $roceso de la acci"n de control! as' como las
modificaciones efectuadas al enfo+ue o curso de la misma como consecuencia de
dic%as limitaciones*
3. Ane"e&enes , 7!se *e:!* &e *! en#&!&

?e %ar referencia de manera bre&e # concisa! a los as$ectos rele&antes
+ue )uarden &inculaci"n directa con la acci"n de control realizada! sobre la misi"n!
naturaleza le)al! ubicaci"n or)nica # funciones realizadas de la entidad #Do reas
e;aminadas! as' como las $rinci$ales normas le)ales +ue le9s: sean de a$licaci"n!
con el obeto de situar # mostrar a$ro$iadamente el mbito t(cnico # ur'dico +ue
es materia de controlB e&itndose! insertar sim$les o tediosas transcri$ciones
literales de te;tos #Do relaciones de acti&idades o dis$osiciones normati&as*
4. C'.(n#"!"#$n &e ;!**!5:'s
?e deber indicar %aberse dado cum$limiento a la comunicaci"n o$ortuna
de los %allaz)os efectuada al $ersonal +ue labora o %a#a laborado en la entidad
com$rendido en ellos* Asimismo! se indicar la inclusi"n de un Ane;o en el
Informe con la relaci"n del $ersonal al ser&icio de la entidad e;aminada!
finalmente considerado en las obser&aciones contenidas en el mismo!
consi)nndose en dic%a n"mina los nombres # a$ellidos! documento de identidad!
car)o9s: desem$e-ado9s:! $eriodo9s: de )esti"n! condici"n laboral # domicilio
Pgina 95
corres$ondientes! con indicaci"n de a+uellas en +ue estu&ieren incursos en cada
caso*
6. Me.'r/n&(. &e C'nr'* Inern'
?e indicar +ue durante la acci"n de control se %a emitido el Memorndum
de Control Interno! en el cual se inform" al titular res$ecto a la efecti&idad de los
controles internos im$lantados en la entidad* Dic%o documento as' como el re$orte
de las acciones correcti&as +ue en &irtud del mismo se %a#an ado$tado! se deber
aduntar como Ane;o del Informe*
. Or's !s+e"'s &e #.+'r!n"#!
?e re&elar a+uella informaci"n +ue la comisi"n auditora basada en su o$ini"n
$rofesional com$etente! considere de im$ortancia o si)nificaci"n! $ara fines del
Informe! dar a conocer %ec%os! acciones o circunstancias +ue $or su naturaleza e
im$licancias! ten)an relaci"n con la situaci"n e&idenciada en la entidad o los
obeti&os de la acci"n de control #! cu#a re&elaci"n $ermita mostrar la obeti&idad e
im$arcialidad del trabao desarrollado $or la comisi"n! tales como>
a: El reconocimiento de las dificultades o limitaciones! de carcter
e;ce$cional! en las +ue se desen&ol&i" la )esti"n realizada $or los res$onsables
de la entidad o rea e;aminada*
b: El reconocimiento de lo)ros si)nificati&os alcanzados durante la )esti"n
e;aminada*
c: 5a ado$ci"n de correcti&os $or la $ro$ia administraci"n! durante la
eecuci"n de la acci"n de control! +ue %a#an $ermitido su$erar %ec%os
obser&ables*
d: Informar de a+uellos asuntos im$ortantes +ue re+uieran un trabao
adicional! siem$re +ue no se encuentren directamente com$rendidos en los
obeti&os de la acci"n de control*
e: E&entos $osteriores a la eecuci"n del trabao de cam$o +ue %a#an sido de
conocimiento de la comisi"n auditora # +ue afecten o modifi+uen el
funcionamiento de la entidad o de las reas e;aminadas*
Pgina 96
?i al)unos de los as$ectos considerados en este $unto $or la comisi"n auditora
demandara una e;$osici"n o desarrollo e;tenso! ser incluido como ane;o del
Informe* Dic%os as$ectos! $odrn lu)ar a la formulaci"n de conclusiones #
recomendaciones! si %ubiera m(rito $ara ello*
II. OBSERVACIONES
III* 5a Comisi"n Auditora desarrollar las obser&aciones +ue! como
consecuencia del trabao de cam$o # la a$licaci"n de $rocedimientos!
%a#an sido determinadas como tales! una &ez concluido el $roceso de
e&aluaci"n # contrastaci"n de los %allaz)os comunicados con los
comentarios #Do aclaraciones formulados $or el $ersonal com$rendido en
los mismos! as' como la documentaci"n # e&idencia sustentatoria
res$ecti&a*
II* 5as obser&aciones se debern referir a %ec%os o situaciones de carcter
si)nificati&o # de inter(s $ara la entidad e;aminada! cu#a naturaleza
deficiente $ermita o$ortunidades de meora #Do correcci"n! inclu#endo
informaci"n suficiente # com$etente relacionada con los resultados de la
e&aluaci"n efectuada a la )esti"n de la entidad e;aminada*
I* ?e $resentarn de forma ordenada! l")ica # numerada correlati&amente!
e&itando el uso de calificati&os innecesarios # describiendo a$ro$iadamente
sus elementos o atributos caracter'sticos* ?e debe considerar as$ectos
esenciales> ?umilla! Elementos de la obser&aci"n! comentarios #Do
aclaraciones # su e&aluaci"n*
S(.#**!
Es el t'tulo o encabezamiento +ue identifica el asunto materia de
obser&aci"n*
2. E*e.en's &e *! '7ser9!"#$n
C'n&#"#$n: Pec%o o situaci"n deficiente detectada*
Cr#er#': Norma! dis$osici"n o $armetro de medici"n a$licable al %ec%o
obser&ado*
Pgina 97
E-e"': Consecuencia real o $otencial! cuantitati&a o cualitati&a!
ocasionada $or el %ec%o o situaci"n obser&ada! indis$ensable $ara establecer su
im$ortancia # recomendar a la entidad +ue ado$te las acciones correcti&as
re+ueridas*
C!(s!: Moti&o +ue dio lu)ar el %ec%o o situaci"n obser&ada! cu#a
identificaci"n re+uiere de la %abilidad # uicio $rofesional de la comisi"n auditora #
es necesaria $ara la formulaci"n de una recomendaci"n constructi&a +ue
$re&en)a la recurrencia de la condici"n*
3. C'.en!r#'s ,R' !"*!r!"#'nes &e* +ers'n!* "'.+ren&#&' en *!s
'7ser9!"#'nes
?on las res$uestas brindadas a la comunicaci"n de los %allaz)os
res$ecti&os! $or el $ersonal com$rendido en la obser&aci"n! las cuales deben ser
e;$uestas bre&emente! indicndose si se acom$a-" documentaci"n sustentatoria*
De no %aber res$uesta a la comunicaci"n de %allaz)os o de ser e;tem$ornea! se
referenciar dic%a circunstancia*
3. E9!*(!"#$n &e *'s "'.en!r#'s ,R' !"*!r!"#'nes
Es el resultado del anlisis realizado $or la comisi"n auditora sobre los
comentarios #Do aclaraciones # documentaci"n $resentada $or el $ersonal
com$rendido en la obser&aci"n! debiendo sustentarse los ar)umentos in&ocados #
consi)narse la o$ini"n resultante de dic%a e&aluaci"n*
Dic%a o$ini"n incluir al t(rmino del desarrollo de cada obser&aci"n! la
determinaci"n de res$onsabilidades administrati&as a +ue %ubiera lu)ar! de %aber
m(rito $ara ello*
En caso de considerarse la e;istencia de indicios razonables de la comisi"n
de delito o de $eruicio econ"mico! se dear constancia e;$resa +ue tal as$ecto
es tratado en el Informe Es$ecial corres$ondiente*
III. CONCLUSIONES
?e indicarn los uicios de carcter $rofesional! basados en las
obser&aciones establecidas! +ue se formulan como consecuencia del e;amen
Pgina 98
realizado a la entidad auditada* Al final de cada conclusi"n se identificar el
n8mero de la9s: obser&acione9s: corres$ondiente9s: a cu#os %ec%os se refiere*
5a comisi"n auditora! en casos debidamente ustificados! $odr formular
conclusiones sobre as$ectos distintos a las obser&aciones! &erificados en el curso
del trabao! siem$re +ue (stos %a#an sido e;$uestos en el Informe*
IV. RECOMENDACIONES
Constitu#en medidas es$ec'ficas # $osibles +ue! con el $ro$"sito de mostrar los
beneficios +ue re$ortar la acci"n de control! se su)ieren a la administraci"n de la
entidad $ara $romo&er la su$eraci"n de las causas # las deficiencias e&idenciadas
durante el e;amen* Estarn diri)idas al Titular o en su caso a los funcionarios +ue
ten)an com$etencia $ara dis$oner su a$licaci"n*
5as recomendaciones se formularn con orientaci"n constructi&a $ara $ro$iciar el
meoramiento de la )esti"n de la entidad # el desem$e-o de los funcionarios #
ser&idores $8blicos a su ser&icio! con (nfasis en contribuir al lo)ro de los obeti&os
institucionales dentro de $armetros de econom'a! eficiencia # eficaciaB a$licando
criterios de o$ortunidad de acuerdo a la naturaleza de las obser&aciones # de
costo $ro$orcional a los beneficios es$erados*
,ara efecto de su $resentaci"n! las recomendaciones se realizarn si)uiendo el
orden err+uico de los funcionarios res$onsables a +uienes &a diri)ida!
referencindolas en su caso a las conclusiones! o as$ectos distintos a (stas! +ue
las %an ori)inado*
Pgina 99
Tambi(n se incluir como recomendaci"n! cuando e;istiera m(rito de acuerdo a
los %ec%os re&elados en las obser&aciones! el $rocesamiento de las
res$onsabilidades administrati&as +ue se %ubiesen determinado en el Informe!
conforme a lo $re&isto en el r()imen laboral $ertinente*
V. ANEDOS
A fin de lo)rar el m;imo de concisi"n # claridad en el Informe! s"lo se incluir
como Ane;os! adems de los e;$resamente considerados en la $resente norma!
a+uella documentaci"n indis$ensable +ue conten)a im$ortante informaci"n
com$lementaria o am$liatoria de los datos contenidos en el Informe # +ue no obre
en la entidad e;aminada*
FIRMA
El Informe una &ez efectuado el control de calidad corres$ondiente $re&io a su
a$robaci"n! deber ser firmado $or el Kefe de Comisi"n! el ?u$er&isor # el ni&el
)erencial com$etente de la C7R* En el caso de los Hr)anos de Auditor'a Interna
del ?NC! $or el Kefe de Comisi"n! el ?u$er&isor # el Kefe del res$ecti&o "r)ano*
5os Informes emitidos $or las ?OA_s sern suscritos $or el socio $artici$ante #
auditor res$onsable de la auditor'a*
De ameritarlo $or la naturaleza # contenido del Informe! tambi(n ser suscrito $or
el abo)ado u otro $rofesional #Do es$ecialista $artici$ante en la acci"n de control*
E1"e+"#'nes &e* !*"!n"e
Pgina 100
a: En la formulaci"n de los Informes de Auditor'a Financiera 9Informe Corto o
Dictamen:! se tendrn en cuenta las NA7A_s! las NIA_s # las dis$osiciones
emitidas $or los or)anismos oficiales com$etentes sobre la materia*
b: ,ara la formulaci"n de los informes de auditor'a de los $r(stamos #
donaciones de Or)anismos Internacionales 9CID! CIRF! AID! U?AID! Canco
Mundial! etc*: o similares! sern a$licables las normas # re+uisitos le)ales
$ertinentes $ara el efecto*
S<nes#s Geren"#!*
Adicionalmente al Informe de la acci"n de control! $odr emitirse una S?'ntesis
7erencial del Informe]! de contenido necesariamente bre&e # $reciso*
5a Alta Direcci"n de la C7R # el Titular del Hr)ano de Auditor'a Interna! se)8n el
caso # dentro de su mbito de com$etencia! $odrn e;imir a la comisi"n auditora
de la emisi"n de dic%a s'ntesis*
C'n-'r.e ! *'s !*"!n"es &e *! NAGU 3.40
Cuando en la eecuci"n de la acci"n de control se e&idencien indicios razonables
de la comisi"n de delito! la comisi"n auditora! en cautela de los intereses del
Estado! sin $eruicio de la continuidad de la res$ecti&a acci"n de control! # $re&ia
e&aluaci"n de las aclaraciones # comentarios a +ue se refiere la NA7U T*./!
emitir con la celeridad del caso! un informe es$ecial con el debido sustento
t(cnico # le)al*
El obeti&o de la $resente norma es )arantizar # facilitar la o$ortuna! efecti&a #
adecuada im$lementaci"n de las acciones correcti&as le)ales $ertinentes en los
casos +ue! durante el desarrollo de la acci"n de control! se e&idencien indicios
razonables de comisi"n de delito as' como! e;ce$cionalmente! la e;istencia de
$eruicio econ"mico no sueto a recu$ero administrati&o*
?u a$licaci"n $ermitir a la comisi"n auditora! a tra&(s de su $ersonal res$onsable
# es$ecializado com$etente! realizar a$ro$iada # o$ortunamente su labor a en los
casos indicados! basada en su o$ini"n $rofesional debidamente sustentada en los
res$ecti&os fundamentos t(cnicos # le)ales a$licables* En eercicio de las
atribuciones establecidas en la 5e# del ?NC! la comisi"n auditora formular el
Informe Es$ecial $ara re&elar es$ec'ficamente! con orden # claridad! los %ec%os #
Pgina 101
circunstancias +ue confi)uran la $resunta res$onsabilidad $enal o ci&il! las
consideraciones ur'dicas +ue los califican # las $ruebas sustentatorias
corres$ondientes! recomendando la ado$ci"n de las acciones le)ales res$ecti&as
$or la instancia com$etente*
DENOMINACIAN
El Informe ser denominado SInforme Es$ecial]! con indicaci"n de los datos
corres$ondientes a su numeraci"n e inclu#endo adicionalmente un t'tulo! el cual
deber ser bre&e! es$ec'fico # estar referido a la materia abordada en el informe*
En nin)8n caso! incluir informaci"n confidencial o nombres de $ersonas*
ESTRUCTURA
I* INTRODUCCIHN
II* FUNDAMENTO? DE PECPO
III* FUNDAMENTO? DE DERECPO
II* IDENTIFICACIHN DE ,ARTLCI,E? EN 5O? PECPO?
I* ,RUECA?
II* RECOMENDACIHN
ANE^O?
I. INTRODUCCIAN
Pgina 102
Ori)en! moti&o # alcance de la acci"n de control! con indicaci"n del Oficio de
acreditaci"n o! en su caso! de la Resoluci"n de Contralor'a de desi)naci"n!
entidad! $eriodo! reas # mbito )eo)rfico materia de e;amen! %aciendo
referencia a las dis$osiciones +ue sustentan la emisi"n del Informe Es$ecial 95e#
del ?NC # NA7U Q*V/:! as' como su carcter de $rueba $reconstituida $ara el
inicio de acciones le)ales*
II. FUNDAMENTOS DE KECKO
Cre&e sumilla # relato ordenado # obeti&o de los %ec%os # circunstancias +ue
constitu#en indicios de la comisi"n de delito o res$onsabilidad ci&il! en su caso!
con indicaci"n de los atributos> condici"n! criterio! efecto # causa! cuando esta
8ltima sea determinable! inclu#(ndose las aclaraciones o comentarios +ue
%ubieran $resentado las $ersonas com$rendidas! as' como el resultado de la
e&aluaci"n de los mismosB sal&o los casos de e;ce$ci"n $re&istos en la NA7U
T*./! debiendo incidirse en la materialidad #Do im$ortancia relati&a! as' como el
carcter doloso de su comisi"n! de ser el caso* En los casos de res$onsabilidad
$enal! los %ec%os sern necesariamente re&elados en t(rminos de indicios*
Tratndose res$onsabilidad ci&il! el $eruicio econ"mico deber ser cuantificado!
se-alndose +ue el mismo no es materialmente $osible de recu$ero $or la entidad
en la &'a administrati&a*
III. FUNDAMENTOS DE DERECKO
Anlisis del ti$o de res$onsabilidad +ue se determina! sustentando la ti$ificaci"n
#Do elementos antiur'dicos de los %ec%os materia de la $resunta res$onsabilidad
$enal #Do res$onsabilidad ci&il incurrida! con indicaci"n de los art'culos $ertinentes
del C"di)o ,enal #Do ci&il u otra normati&a adicional considerada! se)8n
corres$onda! $or cada uno de los %ec%os! con la res$ecti&a e;$osici"n de los
fundamentos ur'dicos a$licables* De %aber sido identificado! se se-alar el $lazo
de $rescri$ci"n $ara el inicio de la acci"n $enal o ci&il*
Pgina 103
IV. IDENTIFICACIAN DE PARTECIPES EN LOS KECKOS
Indi&idualizaci"n de las $ersonas +ue $restan o $restaron ser&icios en la entidad!
con $artici$aci"n #Do com$etencia funcional en cada uno de los %ec%os calificados
como indicios en los casos de res$onsabilidad $enal! o constituti&os del $eruicio
econ"mico determinado en los casos de res$onsabilidad ci&il* Inclu#e! asimismo! a
los terceros identificados +ue %a#an $artici$ado en dic%os %ec%os* ?e indicar los
nombres # a$ellidos com$letos! documento de identidad! el car)o o funci"n
desem$e-ada! el rea #Do de$endencia de actuaci"n! as' como el $eriodo o
fec%as de (sta*
V. PRUEBAS
Identificaci"n de las $ruebas en forma ordenada # detallada $or cada %ec%o!
refiriendo el ane;o corres$ondiente en +ue se aduntan! debidamente autenticadas
en su caso*
Adicionalmente! de ser $ertinente! se incluir el Informe T(cnico de los
$rofesionales es$ecializados +ue %ubieren $artici$ado en a$o#o a la Comisi"n
Auditora! el cual deber ser elaborado con obser&ancia de las formalidades
e;i)ibles $ara cada $rofesi"n 9Eem$los> tasaci"n! informe de in)enier'a! informe
bromatol")ico! informe )rafot(cnico! etc*:*
Pgina 104
VI. RECOMENDACIAN
Este rubro consi)na la recomendaci"n $ara +ue se inter$on)a la acci"n le)al
res$ecti&a! se)8n el ti$o de res$onsabilidad determinada! $enal o ci&il! la cual
deber estar diri)ida a los funcionarios +ue! en raz"n a su car)o o funci"n! sern
res$onsables de la corres$ondiente autorizaci"n e im$lementaci"n $ara su
eecuci"n*
?i la acci"n de control es realizada $or la C7R o $or las ?OA_s desi)nadas o
autorizadas! el Informe Es$ecial recomendar al ni&el corres$ondiente! el inicio de
los "r)anos +ue eerzan la re$resentaci"n le)al $ara la defensa udicial de los
intereses del Estado en dic%a entidad*
Cuando se considere +ue e;istan razones ustificadas $ara ello! $odr
recomendarse alternati&amente! se autorice al ,rocurador ,8blico encar)ado de
los asuntos udiciales de la C7R! el inicio de las acciones le)ales +ue
corres$onda* En este 8ltimo caso! el Informe Es$ecial ser $uesto en
conocimiento del Titular de la entidad auditada! en la misma fec%a de iniciada la
acci"n le)al! siem$re +ue el titular no se encuentre com$rendido en los indicios de
la comisi"n de delito o en la res$onsabilidad ci&il establecida* De encontrarse
com$rendido el Titular de la entidad el Informe se remitir al Titular del ?ector! u
otro estamento +ue resulte com$etente de no $ertenecer la entidad a nin)8n
?ector*
VII. ANEDOS
Pgina 105
Contienen las $ruebas +ue sustentan los %ec%os +ue son materia del Informe
Es$ecial* Necesariamente deben ser $recedidos de una relaci"n +ue indi+ue su
numeraci"n # asunto a +ue se refiere cada ane;o! )uardando un debido
ordenamiento a la e;$osici"n de los %ec%os contenidos en el Informe*
En tales casos! se deber incluir como Ane;o N` /0! la n"mina de las $ersonas
identificadas como $art'ci$es en los %ec%os re&elados! con indicaci"n de su car)o!
documento de identidad! $eriodo de desem$e-o de la funci"n # domicilio
NIVELES DE APROBACIAN DEL INFORME ESPECIAL
0* El Informe Es$ecial formulado $or la comisi"n auditora de la C7R! ser
suscrito $or el auditor #Do abo)ado inter&iniente9s:! el Kefe de Comisi"n! el
?u$er&isor # los ni&eles )erenciales com$etentes*
3* El Informe Es$ecial formulado $or el OAI del ?NC ser suscrito $or el
auditor #Do abo)ado! Kefe de Comisi"n # ?u$er&isor inter&iniente9s:! se)8n sea el
caso! as' como $or el Titular del res$ecti&o "r)ano* Cuando $or razones de
ca$acidad o$erati&a! al)una de dic%as funciones %a#a reca'do en una misma
$ersona! se referir el car)o de ma#or ni&el de res$onsabilidad*
T* Tratndose de ?OA_s desi)nadas o autorizadas $or la C7R! el Informe
Es$ecial +ue $udiera formularse ser suscrito $or el abo)ado # socio $artici$ante*
SITUACIONES ESPECIALES
- Cuando se determine la e;istencia de $eruicio econ"mico +ue a uicio de la
comisi"n auditora sea susce$tible de ser recu$erado en la &'a
administrati&a! los %ec%os relati&os a dic%o $eruicio econ"mico se)uirn
siendo tratados $or la comisi"n auditora # re&elados en el corres$ondiente
Pgina 106
informe de la acci"n de control! recomendndose en el mismo las medidas
inmediatas $ara materializar dic%o recu$ero*
- Cuando se determine +ue en los %ec%os +ue constitu#en los indicios
razonables de comisi"n de delito #Do res$onsabilidad ci&il! los $art'ci$es son
8nicamente terceros # no funcionarios o ser&idores +ue $resten o %a#an
$restado ser&icios en la entidad! tales %ec%os sern re&elados en el informe
de la acci"n de control! recomendando en (ste las acciones
corres$ondientes*
- De ser necesario se $odr formular ms de un Informe Es$ecial emer)ente
de la misma acci"n de control! siem$re +ue resulte ustificado $or la
con&eniencia $rocesal de tratar $or se$arado los %ec%os de connotaci"n
$enal # los relati&os a res$onsabilidad ci&il! as' como en raz"n de la
o$ortunidad de la acci"n le)al res$ecti&a o no ser $osible la acumulaci"n*
En todos los casos +ue se $roduzca la emisi"n de un Informe Es$ecial! la
Comisi"n Auditora ser res$onsable +ue el corres$ondiente informe de la acci"n
de control conten)a las referencias necesarias sobre dic%a emisi"n # las
recomendaciones orientadas a corre)ir las causas +ue dieron lu)ar a los %ec%os
contenidos en el Informe Es$ecial*
SUE LOS INFORMES DE AUDITOREA CONTENGAN LA REALIDAD DE LOS
KECKOS INSTAR A LAS AUTORIDADES> FUNCIONARIOS> SERVIDORES C
USUARIOS UN USO TRANSPARENTE DE LOS RECURSOS.

VI.3 FORMATO DEL INFORME
Pgina 107
T S(e es e* #n-'r.e &e !(&#'r#!U
Es el medio formal $ara comunicar los obeti&os de la auditoria! las normas
utilizadas! alance # resultados! conclusiones # recomendaciones de la
auditoria*
El re$orte debe ser obeti&o! claro! conciso! consistente constructi&o #
o$ortuno
E;isten es+uemas recomendados con los re+uisitos m'nimos aconseables
res$ecto a estructura # contenido
Pgina 108
Pgina 109
Pgina 110
C!r! &e #nr'&(""#$n ' +resen!"#$n &e* #n-'r.e -#n!*
5a carta de introducci"n tiene es$ecial im$ortancia $or+ue en ella %a de
resumirse la auditor'a realizada*
As' como $ueden e;istir tantas co$ias del informe Final como solicite el
cliente! la auditor'a no %ar co$ias de la citada carta de Introducci"n*
L! "!r! &e #nr'&(""#$n +'seer/ *'s s#:(#enes !r#7('s:
Tendr como m;imo Q folios*
Incluir fec%a! naturaleza! obeti&os # alcance*
Cuantificar la im$ortancia de las reas analizadas*
,ro$orcionar una conclusi"n )eneral! concretando las reas de )ran
debilidad*
,resentar las debilidades en orden de im$ortancia # )ra&edad*
En la carta de Introducci"n no se escribirn nunca recomendaciones*
Pgina 111
CONCLUSIONES
En el $roceso de $romo&er la auditor'a informtica se necesita de un buen
$laneamiento! mantenimiento de la eecuci"n # estar $re$arados $ara
cual+uier cambio +ue $ueda traer con el $asar del tiem$o! el entrenamiento
de l $ersonal $ara nue&os enfrentamientos tambi(n es un labor de suma
$rioridad* En la oficina de la Auditoria con los esfuerzos +ue se %a $uesto
se %an obtenido mu# buenos resultados! como meta $ara el futuro es el de
$oner mas esfuerzo en el entrenamiento del $ersonal de la auditoria
informtica! crear secciones es$ecialmente encar)adas de la auditoria
informtica! tambi(n a la &ez crear un ?istema de ?o$orte a la Tecnolo)'a
de la Informaci"n 9 Information Tec%nolo)# ?u$$ort : # re)lamentos $ara el
$ro)reso de la auditoria informtica! todo esto son metas $ara entrar al a-o
3///! ele&ar # brindar un meor ser&icio de calidad $oner los esfuerzos +ue
se debe en el trabao de la Auditoria*
Pgina 112
?e $rofundizo sobre cual es la informaci"n +ue el auditor re+uiere $ara
realizar este ti$o de trabao # con +ue t(cnicas # %erramientas la
or)anizaci"n $rote)e su informaci"n! +ue controles se realiza al e&aluar la
se)uridad del softAare de a$licaci"n! # los )enerales*
El informe de auditor'a tiene +ue estar basado en una metodolo)'a! misma
+ue debe estar so$ortada $or meores $rcticas administrati&as #
tecnolo)'as*
5a informaci"n # obser&aciones &ertidos en el informe deben contener un
sustento # no $ueden ser en nin)8n caso subeti&os*
BIBLIOGRAFIA
ECPENI=UE! 7arc'a Kos( Antonio* Auditoria en Informtica* Edit* Mc
7raA@Pill* 3//0*3a Edici"n
%tt$>DD AAA*buenastareas*comDensa#oDInforme@Final
;+:RRes.s"r#7&."'.R&'"R18404280RA(&#'r#!)In-'r.!#"!
A(&#'r#! In-'r./#"!
Un en-'N(e +r!"#"'
2V e&#"#$n !.+*#! , re9#s!&!
M!r#' Ger!r&' P#!#n# Ve*;(#s
E.#*#' &e* W+es' N!9!rr'
A(&#'r#! en In-'r./#"!
Se:(n&! E&#"#$n
P!:#n! 20
J's? An'n#' E";en#N(e G!r"<!
Un#9ers#&!& N!"#'n!* !($n'.! &e M?1#"'
Pgina 113
Un#9ers#&!& !($n'.! Mer'+'*#!n!
E&#'r#!* M"Gr!=)K#**
A(&#'r#! en s#se.!s "'.+(!"#'n!*es> Se:(n&! e&#"#$n> E&#'r#!*
Pe!rs'n> P/:. 12 ! 24.
L#7r': A(&#'r#! #n-'r./#"!
A('r: J's? An'n#' E";en#N(e G!r"<!
E&#'r#!*: M".!:r!-#
2&! E&#"#$n
;+:RR===.s*#&e7''.."'.R+resen!#'nsR288431RPRESENTACION)
AUDITORIA)INFORMATICA
;+:RR.(5#eL)-#*.)L(ns.7*':s+'."'.R2010R12R22)e9!*(!"#'n)
s#se.!s)&e)!"(er&')!*.;.*
;+:RR.(5#eL)-#*.)L(ns.7*':s+'."'.R2010R12R23)#n9es#:!"#'n)
+re*#.#n!r)!(&#'r#!.;.*
Enciclopedia prctica de la pequea y mediana empresa. GS.F.H
Pgina 114

Auditoria Informática Todas Las Unidades

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria Informática Todas Las Unidades

Uploaded by

Copyright:

Available Formats

AUDITORIA INFORMTICA

R ?i las res$onsabilidades en la or)anizaci"n estn definidas adecuadamente

You might also like