CONTENIDO DEL CURSO: ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA

UNIDAD I
Introducción a la auditoria informática. Conceptos de auditoría y auditoria Informática. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los objetivos de la auditoría Informática son: * El control de la función informática * El análisis de la eficiencia de los Sistemas Informáticos * La verificación del cumplimiento de la Normativa en este ámbito * La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

- Gobierno corporativo - Administración del Ciclo de vida de los sistemas - Servicios de Entrega y Soporte - Protección y Seguridad - Planes de continuidad y Recuperación de desastres

1.2 Tipos de auditoría.            Auditoría contable (de estados financieros) – no es interés del curso. Auditoría interna. La lleva a cabo un departamento dentro de la organización y existe una relación laboral. Auditoría externa. No existe relación laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes. Auditoria administrativa. (William. P Leonard) es un examen completo y constructivo de la estructura organizativa de la empresa, institución o departamento gubernamental o de cualquier otra entidad y de sus métodos de control, medios de operación y empleo que dé a sus recursos humanos y materiales. Auditoria gubernamental. Auditoría Financiera: Consiste en una revisión exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador público. Auditoria de operaciones: Se define como una técnica para evaluar sistemáticamente de una función o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el área de estudio. Auditoría fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista físico (SHCP), direcciones o tesorerías de hacienda estatales o tesorerías municipales. Auditoria de resultados de programas: Esta auditoría la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas establecidas. Auditoria de legalidad: Este tipo de auditoría tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades. Auditoría integral: Es un examen que proporciona una evaluación objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales. 1.2.1 Auditoría interna y externa. La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos, pero las empresas generalmente requieren de la evaluación de su sistema de información financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el término Auditoría Externa a Auditoría de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir. Auditoría Externa del Sistema de Información Tributario, Auditoría Externa del Sistema de Información Administrativo, Auditoría Externa del Sistema de Información Automático etc. La auditoría Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con

2

Algunos campos de aplicación de la informática son las siguientes:       Investigación científica y humanística: Se usan la las computadoras para la resolución de cálculos matemáticos.4 Control interno. robots industriales. entre otros. eficiencia y efectividad de los procesos operativos automatizados. 1. en la planeación. Documentación e información: Es uno de los campos más importantes para la utilización de computadoras. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Pública. es decir. El modelo es el resultado de una investigación con expertos de varios países. dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía. organización. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir. usuarios y por supuesto. corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. desarrollado por ISACA (Information Systems Audit and Control Association). los auditores involucrados en el proceso. 1. 1. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objetives for Information Systems and related Technology). El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología. El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo. recuentos numéricos. etc. Los programas responden como previsiblemente lo haría una persona inteligente. Gestión administrativa: Automatiza las funciones de gestión típicas de una empresa. 3 . etc. administradores IT. Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería y de productos comerciales. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. electro medicina. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos. trazado de planos. orientado a todos los sectores de una organización.5 Modelos de control utilizados en auditoria informática.el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma.3 Campo de la auditoria informática. Instrumentación y control: Instrumentación electrónica.

sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”. tales como: datos. y finalmente se realiza una evaluación sobre los procesos involucrados en la organización. Únicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido. Para garantizar el beneficio del auditado como la necesaria independencia del auditor. define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales. integridad. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad. productos o equipos compatibles con los de su cliente. disponibilidad. este podrá proponer un cambio cualitativamente significativo de determinados elementos o del propio sistema informático globalmente contemplado. El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada. los profesionales de control y los auditores. Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deberá considerarse como no ética. es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia. se auditan los recursos que comprenden la tecnología de información. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. dañinas o que generen riesgos injustificados 4 . señaló un informe de ETEK.Monitoreo Estos dominios agrupan objetivos de control de alto nivel. COBIT. para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados. instalaciones y recurso humano. eficiencia. COBIT se aplica a los sistemas de información de toda la empresa. a saber: -Planificación y organización -Adquisición e implantación -Soporte y Servicios . como por ejemplo el recurso humano. confidencialidad. que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente. el auditor deberá establecer los requisitos mínimos. La adaptación del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo. sistemas. “Cualquier tipo de empresa puede adoptar una metodología COBIT.La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información. 1. provee una herramienta automatizada. aconsejables y óptimos para su adecuación a la finalidad para la que ha sido diseñado. lanzado en 1996. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. entre otros. incluyendo los computadores personales y las redes. plataformas tecnológicas. El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas. cumplimiento y confiabilidad. este último deberá evitar estar ligado en cualquier forma. En ningún caso está justificado que realice su trabajo el prisma del propio beneficio. instalaciones.6 Principios aplicados a los auditores informáticos. como de la tecnología que la respalda. Una vez estudiado el sistema informático a auditar. se deben tomar en cuenta los recursos que proporciona la tecnología de información. que cubren tanto los aspectos de información. Asimismo. El conjunto de lineamientos y estándares internacionales conocidos como COBIT. estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas detectados en el sistema informático de esta última. a intereses de determinadas marcas. finalizó el informe de ETEK. Vinculando tecnología informática y prácticas de control. aplicaciones. a fin de adquirir un conocimiento pormenorizado de sus características intrínsecas. complejo y diversificado”. como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente. “La adecuada implementación de un modelo COBIT en una organización. como por ejemplo la seguridad y calidad.

Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones 2.para el auditado. pues habrá que hacerla desde el punto de vista de los dos objetivos: • Evaluación de los sistemas y procedimientos.1. la planeación es fundamental. En el caso de la auditoría en informática. éstos deberías poder tener acceso a los informes de los trabajos profesionales. Para hacer una adecuada planeación de la auditoría en informática. 2. • Evaluación de los equipos de cómputo. respecto de la aplicación de este principio. los objetivos que debe cumplir.1 Planeación. es la referente a facilitar el derecho de las organizaciones auditadas a la libre elección del auditor. UNIDAD II Planeación de la auditoria Informática. 2. hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar. tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera 5 .2 Revisión preliminar. sus sistemas. organización y equipo.1 Fases de la auditoria. éstos deberían poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado. Si el auditado decidiera encomendar posteriores auditorías a otros profesionales. del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa.1. Una de las cuestiones más controvertidas. En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar.

Permite planificar y ejecutar pruebas relacionadas con los riesgos y controles definidos para esta auditoría. Es de tomarse en cuenta que el propietario de dicha empresa. 2.1. dependiendo fundamentalmente del resultado de estas pruebas en el periodo preliminar así como de la evidencia del cumplimiento.1. hay que recordar que las auditorias parten desde un ámbito administrativo y no solo desde la parte tecnológica. el medio idóneo para expresar en términos cuantitativos el juicio del auditor respecto a la razonabilidad. que puede obtenerse de las pruebas sustantivas realizadas por el auditor independiente.pérdidas sustanciosas). determinando la extensión de las pruebas y evaluando su resultado. o proceder directamente a revisión con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. y será preciso determinar si los errores tienen una repercusión directa en los estados financieros. todo aquello que representa un gasto para la empresa. Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática. con la esperanza de obtener mayor confianza por medio del sistema de control interno. En esa labor de identificación. 2. la aplicación de tales pruebas a todo el periodo restante puede no ser necesaria. justificando los criterios y bases de selección. hemos de conjugar ambos a fin de realizar un análisis e identificar los puntos fuertes y débiles del sistema. Cuando éste sea el caso. ejercicio de ventas. o si los puntos fuertes del control eliminarían el error. porque al fin de cuentas hablamos de tiempo y costo de producción. El muestreo estadístico es. dentro del periodo restante.4 Examen y evaluación de la información.3 Revisión detallada. así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. ordena una auditoria cuando siente que un área tiene una falla o simplemente no trabaja productivamente como se sugiere. 6 . La determinación de la extensión de las pruebas de cumplimento se realizará sobre bases estadísticas o sobre bases subjetivas. La conjugación de ambas nos dará el nivel de confianza de los controles que operan en la empresa. en principio. Evaluación del control interno Realizados los cuestionarios y representado gráficamente el sistema de acuerdo con los procedimientos vistos. En una auditoria existen los siguientes módulos para ayudarle a planificar y ejecutar pruebas:       Aéreas de Auditoria Registro de Riesgos y Controles Plan de Pruebas Realizar pruebas Permite especificar la estructura bajo la cual se agruparan las pruebas. Es decir. influye primordialmente la habilidad para entender el sistema y comprender los puntos fuertes y débiles de su control interno. herramientas y conocimientos previos. Periodo en el que se desarrollan las pruebas y su extensión Los auditores independientes podrán realizar las pruebas de cumplimiento durante el periodo preliminar. etc. Cuando se utilicen bases subjetivas se deberá dejar constancia en los papeles de trabajo de las razones que han conducido a tal elección.1. 2. por esta razón habrá puntos claves que se nos instruya sean revisados. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento.5 Pruebas de controles de usuario.

de los sistemas y de los equipos. 4 prueba para comparar con los datos o contadores físicos. peligro. medidas. etc. emergencia. Ejemplo: Seguridad Social Conjunto de organismos. que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad. 2. se financia con aportaciones del Estado. hechos desafortunados. 2.4 Personal participante. ya que esto depende de las dimensiones de la organización. incapacidad. Permite registrar el resultado y el status de cada prueba (completadas. revisadas o aprobadas). 2. apuro. Las Áreas de Auditoria estructuran sus pruebas en programas de trabajo lógicos y pueden usarse para capturar información relacionada con los objetivos de cada programa de trabajo.. como enfermedad. accidentes laborales. etc. 3 pruebas para identificar la inconsistencia de datos. cinturón de seguridad. 8 pruebas para determinar problemas de legalidad. El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el proceso de la información.2 Evaluación de los sistemas de acuerdo al riesgo. contingencia.. Riesgo    Proximidad o posibilidad de un daño. Cada uno de los imprevistos. lo que se deberá considerar son exactamente las características que debe cumplir cada uno del personal que habrá de participar en la auditoria.  Permite agregar. Aquí no se verá el número de persona que deberán participar. Sinónimos: amenaza. Se dice también de todos aquellos objetos. Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar. etc. Seguridad   Cualidad o estado de seguro Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo. editar y borrar pruebas con independencia del Registro de Riesgos y Controles. 7 . 7 prueba para determinar falta de seguridad. trabajadores y empresarios. de la administración estatal para prevenir o remediar los posibles riesgos. 5 confirmaciones de datos con fuentes externas 6 pruebas para confirmar la adecuada comunicación. medidas.6 Pruebas sustantivas. medios. Una Librería de Áreas y una Librería de Pruebas pueden también ser mantenida para proveer Áreas y Pruebas Standard para su selección en cada auditoria.1.. dispositivos. ya que se debe contar con un equipo seleccionado y con ciertas características que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. problemas y necesidades de los trabajadores. 2 prueba para asegurar la calidad de los datos. maternidad o jubilación. etc. Se pueden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. que puede cubrir un seguro. urgencia.

se analiza. 3.3 Entrevistas con el personal de informática. o bien se efectúe alguna entrevista de comprobación de hipótesis. se retroalimentan y se da un seguimiento.1 Recopilación de la información organizacional. Para que un proceso de D. nos proporcionen aquello que se está solicitando. El propósito principal de la auditoria de recursos humanos es mostrar cómo está funcionado el programa. localizando prácticas y condiciones que son perjudiciales para la empresa o que no están justificando su costo. UNIDAD III Auditoria de la función informática. esta obtención de la información debe ser planeada en forma estructurada para garantizar una generación de datos que ayuden posteriormente su análisis. Es un diálogo directo entre el entrevistador y entrevistado. ya que debemos analizar no sólo el punto de vista de la dirección de informática. La entrevista es uno de los eslabones finales para conseguir la posición deseada. sino también el del usuario del sistema. 3.Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga esté debidamente capacitado. su utilidad dependerá del objetivo que se busque y los medios para llevar a cabo esa recolección de datos en tiempo y forma para su posterior análisis. dificultad y costo. tenga éxito debe comenzar por obtener un diagnostico con información verdadera y a tiempo de lo que sucede en la organización bajo análisis. seguida de sugerencias para mejorar. al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. 8 . La recolección de datos puede darse de varias maneras: • Cuestionarios • Entrevistas • Observación • Información documental (archivo) Toda la información tiene un valor en sí misma. El entrevistador dirige la conversación e intenta obtener la máxima información posible del candidato. Patrón en in criterio o un modelo que se establece previamente para permitir la comparación con los resultados o con los objetivos alcanzados.2 Evaluación de los recursos humanos La auditoría de recursos humanos puede definirse como el análisis de las políticas y prácticas de personal de una empresa y la evaluación de su funcionamiento actual. 3. con el fin de que funcione mejor. Con estas bases debemos considerar los conocimientos. Es un ciclo continuo en el cual se planea la recolección de datos.O. o prácticas y condiciones que deben incrementarse. Existen ventajas y desventajas en el uso de cada una de estas herramientas. Por medio de la comparación con el patrón pueden evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema. la práctica profesional y la capacitación que debe tener el personal que intervendrá en la auditoria.000 profesionales en sistemas entre nuestro equipo de selectores. El sistema de administración de recursos humanos necesita patrones capaces de permitir una continua evaluación y control sistemático de su funcionamiento. te dejamos valiosos consejos en esta nota. el método de obtención de información está directamente ligado a la disponibilidad. También se deben contar con personas asignadas por los usuarios para que en el momento que se solicite información. que tenga un alto sentido de moralidad. La auditoría es un sistema de revisión y control para informar a la administración sobre la eficiencia y la eficacia del programa que lleva a cabo. Desde el otro lado del mostrador y habiendo entrevistado a 5. y complementen el grupo multidisciplinario.

con claridad y brevedad. analizar. En ocasiones puede haber más de un entrevistador. clasificar. registrar y producir información cuantitativa de las operaciones basadas en flujos de efectivo y partidas devengadas . reunir. A. Existencia de un sistema de registro presupuestario d.Existencia de riesgo en la información financiera Existencia de un sistema presupuestal que permita identificar. emitido por la Comisión de Normas y Procedimientos de Auditoría del Instituto Mexicano de Contadores Públicos. incluyendo los aplicables a la actualización de cifras y a los controles relativos al procesamiento electrónico de datos. Existencia de un presupuesto anual autorizado b. Se recomienda contestar a las preguntas aportando aquella información que se pide.. experiencias. bases y lineamientos presupuestarios c. aficiones e intentará ponerte en situaciones reales para estudiar tus reacciones. El entrevistador utilizará preguntas directas para conseguir informaciones precisas sobre ti. sé conciso e intenta relacionar tus respuestas y comentarios con las exigencias del puesto al que optas.4 Situación presupuestal y financiera. por lo que el auditor para el cumplimiento de los objetivos deberá considerar lo siguiente: . Aprovecha para llevar la conversación a los puntos fuertes que deseas destacar en relación con el puesto ofertado. Intenta seguir un orden discursivo. Para efectos de estudio y evaluación del control interno en una revisión en una revisión de estados presupuestarios. y preguntas indirectas para sondearte respecto a tus motivaciones. que va a dar a los procedimientos de auditoría. y deberás desenvolverte por tu cuenta. 3. Existencia de un procedimiento de autorizaciones e. Semi-estructurada (mixta) Es una combinación de las dos anteriores. alcance y oportunidad. El entrevistador podría empezar con la pregunta: “Háblame de ti”. Lo más aconsejable es empezar siguiendo el guión de tu historial profesional.Existencia de procedimientos relativos a autorización. con el fin de tener más de un punto de vista a la hora de elegir el candidato final. el auditor deberá considerar los siguientes aspectos: a. Existencia e políticas. procesamiento y clasificación de transacciones. habilidades. que surgen en función del desarrollo de la conversación. Modalidades de la Entrevista Personal Estructurada (dirigida) El entrevistador dirige la conversación y hace las preguntas al candidato siguiendo un cuestionario o guión. éste servirá de base para determinar el grado de confianza que se depositará en él y le permita determinar la naturaleza. y luego seguir con preguntas generales.Existencia de factores que aseguren un ambiente de control . control y reporte presupuestario 9 . Procedimientos de registro. . No estructurada (libre) El entrevistador te dará la iniciativa a ti. El entrevistador formulará las mismas preguntas a todos los candidatos.Vigilancia sobre el establecimiento y mantenimiento de controles internos con objeto de identificar si están operando efectivamente y si deben ser modificados cuando existan cambios importantes.Te preguntará por tu currículum.C. salvaguarda física de documentación soporte y de verificación y evaluación. El estudio y evaluación del control interno deberá efectuarse conforme a lo dispuesto en el boletín 3050 “Estudio y Evaluación del Control Interno”. También puedes preguntar si está interesado en conocer algo en particular.

Obtener el estado analítico de recursos presupuestarios y el ejercicio presupuestario del gasto. por lo tanto. por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada. A finales del siglo XX. Generalidades de la seguridad del área física. La Informática hoy. de uso específico. así como de controlar el mal uso de la información. Identifica individualmente a cada usuario y sus actividades en el sistema. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala. y por eso las normas y estándares propiamente informáticos deben estar. Hackers. Código oculto en un programa Entrada de virus Un método eficaz para proteger sistemas de computación es el software de control de acceso. 4. la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control. otros.103 de la Ley Federal de Presupuesto y Responsabilidad Hacendaria) UNIDAD IV Evaluación de la seguridad. La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora. como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma. sometidos a los generales de la misma. virus. La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización: Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o información. Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos. y restringe el acceso a datos. Si bien algunos de los aspectos tratados a continuación se prevén.3 Seguridad personal. implementados para proteger el hardware y medios de almacenamiento de datos. así como el flujo de efectivo que detalle el origen y el destino de los egresos (Art. como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial” (1). que intentar acceder vía lógica a la misma. está subsumida en la gestión integral de la empresa. tal como lo establecen los Términos de Referencia para auditorías a Órganos Desconcentrados y Entidades Paraestatales de la SFP. los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computación. las 10 . 4. Así.2 Seguridad lógica y confidencial. pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. etc. por el software de desarrollo y por los programas en aplicación. Los paquetes de control de acceso protegen contra el acceso no autorizado. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema Informático. Sin embargo. la seguridad de la misma será nula si no se ha previsto como combatir un incendio. los Sistemas de Información de la empresa. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo. a los programas de uso general. los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial. En consecuencia. (conceptos luego tratados). de las redes y terminales. La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas. no.

5 Seguridad en los datos y software de aplicación. desconexión de la sesión. 4. Ejemplo: Archivos y procesos que sirvan como pistas de auditoría Procedimientos de validación  Controles Correctivos Ayudan a la investigación y corrección de las causas del riesgo. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección. Son los más importantes para el auditor. 4. Software de aplicación. El concepto de auditoría es mucho más que esto. asignación y cambio de derechos de acceso. debido a que la corrección de errores es en sí una actividad altamente propensa a errores. El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. antes de realizarse la auditoría. control de uso de recursos y medición de 'performance'. La corrección adecuada puede resultar difícil e ineficiente. control de uso de programas de utilidad. Cabe aclarar que la Informática no gestiona propiamente la empresa. control de accesos. existe la Auditoría Informática. se ha tomado la frase "Tiene Auditoría" como sinónimo de que. Clasificación general de los controles  Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo. 11 . debido a su importancia en el funcionamiento de una empresa. ayuda a la toma de decisiones. Por ende. Control de acceso. se distingue entre las medidas para restringir y controlar el acceso a dichos recursos. etc. en dicha entidad.4 Clasificación de los controles de seguridad. ya se habían detectado fallas. Control de cambios y versiones. pero no decide por sí misma. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso  Controles detectives Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. permitiendo cierto margen de violaciones. Software de base. limitación de reintento. restricción de terminales. una entidad. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Este apartado aborda los aspectos asociados al componente lógico del sistema: programas y datos. los procedimientos para asegurar la fiabilidad del software (tanto operativo como de gestión) y los criterios a considerar para garantizar la integridad de la información. A causa de esto. Sistemas de identificación. Para ello. siendo necesaria la implantación de controles defectivos sobre los controles correctivos.organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. un organismo.

se aplica. Los datos es decir. Diseño de bases de datos. Control de cambios. es decir. . que hace referencia a las relaciones que deben existir entre las tablas y reglas del negocio. es accesible. todo lo relativo a las aplicaciones de gestión. . Metodología: existe. pruebas. Para ello deberán identificarlos. longitud y rango aceptable en cada caso. es satisfactoria. o bien orientada a objetos. Adquisición de software estándar. . 12 . la información que se procesa y se obtiene son la parte más importante de todo el sistema informático y su razón de ser. capacitación. Sin ésta. condiciones. Metodología. . Involucración del usuario. la cual debe estar en concordancia con la arquitectura de la Base de Datos elegida jerárquica. la necesidad de compartir información y las estimaciones de volumen se deberá elegir el SGBD más adecuado a las necesidades de la empresa o proyecto en cuestión. Debe realizarse una estimación previa del volumen necesario para el almacenamiento de datos basada en distintos aspectos tales como el número mínimo y máximo de registros de cada entidad del modelo de datos y las predicciones de crecimiento. Los criterios que se citan a continuación hacen referencia a la seguridad de los Sistemas de Gestión de Bases de Datos (SGBD) que cumplan normas ANSI. que se refiere al tipo. Un sistema informático existe como tal desde el momento en que es capaz de tratar y suministrar información. Desarrollo de software. Es importante la utilización de metodologías de diseño de datos. soporte técnico. deben definirse los procedimientos de seguridad. Procedimientos para mantener la consistencia y corrección de la información en todo momento. contratos. sean producto de desarrollo interno de la empresa o bien sean paquetes estándar adquiridos en el mercado. si bien muchos de ellos pueden ser aplicables a los archivos de datos convencionales. relacional. se reduciría a un conjunto de elementos lógicos sin ninguna utilidad. derechos. Participación de personal externo. confidencialidad e integridad que se aplicarán a los datos: Procedimientos para recuperar los datos en casos de caída del sistema o de corrupción de los archivos. Datos. . esta actualizada. Estándares: se aplican. .En este apartado se trata todo lo concerniente al software de aplicación. El equipo de analistas y diseñadores deben hacer uso de una misma metodología de diseño. licencias. En la actualidad la inmensa mayoría de sistemas tienen la información organizada en sendas Bases de Datos. Básicamente existen dos niveles de integridad: la de datos. Procedimientos para prohibir el acceso no autorizado a los datos. Control de calidad. Procedimientos para restringir el acceso no autorizado a los datos. red. como y quien lo controla. En la fase de diseño de datos. garantías. Debiendo identificar los distintos perfiles de usuario que accederán a los archivos de la aplicación y los subconjuntos de información que podrán modificar o consultar. y la lógica. A partir de distintos factores como el número de usuarios que accederá a la información. Documentación: existe. Entornos real y de prueba.

13 . Las Normas Generales de la Instalación Informática. incurriendo en delitos tales como el acceso sin autorización o "piratería informática". asimismo va aumentando el uso indebido de la misma. asesoramiento al personal de desarrollo entre algunos otros aspectos. Los Procedimientos Generales Informáticos. Tampoco el alta de una nueva Aplicación podría producirse si no existieran los Procedimientos de Backup y Recuperación correspondientes. Construcción de los procedimientos de restricción y control de acceso. Estos delincuentes pueden pasar desapercibidos a través de las fronteras. deben desarrollarse los procedimientos de seguridad. 4. hacen sus compras. Se verificará su existencia. Los denominados delincuentes cibernéticos se pasean a su aire por el mundo virtual. En la fase de creación. creación/eliminación de tablas. deberá comprobarse que los Procedimientos Específicos no se opongan a los Procedimientos Generales. Creación de bases de datos. de rendimiento con volúmenes altos. actualización. habrán de revisarse sucesivamente y en este orden: 1. confidencialidad e integridad definidos en la etapa de diseño: . ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningún documento de rastro. recuperación de datos. realizan negocios y hasta consultan con sus médicos online supera los 200 millones. puede tratarse de estudiantes. Por ejemplo. Explotación no debería explotar una Aplicación sin haber exigido a Desarrollo la pertinente documentación. modificación de la estructura de las tablas). al menos en los sectores más importantes. diseño de procedimientos de arranque. de modo que las actividades del desarrollo no interfieran el entorno de explotación. en países que carecen de leyes o experiencia para seguirles la pista -. pero registrando las áreas que carezcan de normativa. definición de estándares y nomenclatura. . el sabotaje informático. el número de usuarios que se comunican. 4. Los delincuentes de la informática son tan diversos como sus delitos. la trata de niños con fines pornográficos y el acecho. Se realizará una revisión inicial sin estudiar a fondo las contradicciones que pudieran existir. Los datos de prueba deben estar dimensionados de manera que permitan la realización de pruebas de integración con otras aplicaciones. pagan sus cuentas.7 Controles para prevenir crímenes y fraudes informáticos. En los años recientes las redes de computadoras han crecido de manera asombrosa. deberá verificarse que no existe contradicción alguna con la Normativa y los Procedimientos Generales de la propia empresa. Hoy en día. 3.o sea. y sobre todo verificando que esta Normativa General . se revisara su existencia en las áreas fundamentales. alta. a su vez.Debe designarse un Administrador de Datos. Para ello. comparado con 26 millones en 1995. que consiste en la definición de los perfiles de usuario y las acciones que les son permitidas (lectura. Así. A medida que se va ampliando la Internet. Existen dos enfoques para este tipo de procedimientos: Confidencialidad basada en roles. Construcción de los procedimientos de copia y restauración de datos. a los que la Informática debe estar sometida. el fraude. Informática no está en contradicción con alguna Norma General no informática de la empresa. Igualmente. En todos los casos anteriores. ya que es importante centralizar en personas especializadas en el tema las tareas de redacción de normas referentes al gestor de datos utilizado. la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación.6 Controles para evaluar software de aplicación. Debe crearse un entorno de desarrollo con datos de prueba. Los Procedimientos Específicos Informáticos. Del mismo modo. Una vez conseguida la Operatividad de los Sistemas. 2. borrado. el segundo objetivo de la auditoría es la verificación de la observancia de las normas teóricamente existentes en el departamento de Informática y su coherencia con las del resto de la empresa. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en "paraísos informáticos" . terroristas o figuras del crimen organizado.

el mobiliario y equipo de oficina.9 Técnicas y herramientas relacionadas con la seguridad física y del personal. Otros delincuentes de la informática pueden sabotear las computadoras para ganarle ventaja económica a sus competidores o amenazar con daños a los sistemas con el fin de cometer extorsión. Los procedimientos manuales. procedimientos de recuperación de desastres. 4. periféricos. las instalaciones de comunicación y de datos. Dichos números se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnéticas de tarjetas bancarias y de crédito. Por lo tanto. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informáticos. ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos. Los malhechores manipulan los datos o las operaciones. En sí. sobre todo si está implicada la responsabilidad de la gerencia de informática. sólo serían prácticos por un corto periodo. señala el Manual de la ONU. En caso de un desastre. Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones. así como la protección a los accesos al centro de sistematización. ya sea directamente o mediante los llamados "gusanos" o "virus". se ha demostrado que más del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperación ya en funcionamiento. también se están propagando últimamente por las redes. que originalmente pasaron de una computadora a otra por medio de disquetes "infectados".Según datos recientes del Servicio Secreto de los Estados Unidos. Medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para manejar sus actividades. Actualmente. la empresa puede terminar en un fracaso total. como consecuencia. 14 . la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratégico de seguridad para una organización. saldrán del negocio en dos o tres años. Algunos virus dirigidos contra computadoras elegidas al azar. En un estudio realizado por la Universidad de Minnesota. la disponibilidad de los sistemas informáticos se ha vuelto crucial. UNIDAD V Auditoria de la seguridad en la teleinformática. si es que existen. la prevención de riesgos y protección de los recursos físicos informáticos de la empresa.8 Plan de contingencia. se calcula que los consumidores pierden unos 500 millones de dólares al año debido a los piratas que les roban de las cuentas online sus números de tarjeta de crédito y de llamadas. 4. y equipos asociados. SEGURIDAD FISICA Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa. las instalaciones eléctricas. seguros. con frecuencia camuflados en mensajes electrónicos o en programas "descargados" de la red. Lo más grave es que se puede perder la credibilidad del público o los clientes y. tales como el hardware. la interrupción prolongada de los servicios de computación puede llevar a pérdidas financieras significativas. es todo lo relacionado con la seguridad. este porcentaje seguramente crecerá. que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad.

Comenzamos por introducir la historia y evolución de la teleinformática y de la manera en que fue desarrollándose. 15 . Las técnicas de comunicación se estructuran en niveles: físico. Tanto en la vida profesional como en las actividades cotidianas. la sanidad y la empresa.5.1 Generalidades de la seguridad en el área de la teleinformática. establecimos los últimos desarrollos y las tendencias de la teleinformática. lo que se denomina teleinformática: la unión de la informática y las telecomunicaciones. pero a su vez siendo precisos. Analizamos los servicios de valor añadido como el Video tex. Explicaremos claramente la importancia de la teleinformática y su desarrollo a través de la historia desde el comienzo ya que es uno de los factores que ha constituido y constituye un elemento fundamental para la evolución de la humanidad: la comunicación. y a su vez. manifestamos la importancia de la relación que existe entre la teleinformática y la sociedad. proporcionando un panorama general del tema. y en los conceptos básicos sobre Programas de Comunicación y Gestión de Red. Continuamos explicando las técnicas fundamentales de transmisión de datos. Este trabajo se basa en conceptos fundamentales expresados de la manera más simple posible. Por último. Además. En la actualidad tiene una gran trascendencia tanto técnica como social. desde un simple terminal hasta una red. presentación y aplicación. para comprender cómo viaja la información de un sistema a otro a través de los circuitos de telecomunicación. También. red. es habitual el uso de expresiones y conceptos relacionados con la teleinformática. Hicimos inca pié en la red Internet y su protocolo TCP/IP. Ibercom o La Telefonía Móvil. transporte. sesión. enlace de datos. mencionamos las redes de área local ya que son muy importantes en lo que a la teleinformática respecta. en lo que respecta a la educación. Luego mencionamos de forma genérica los elementos que integran un sistema teleinformática. desde las redes digitales hasta el proceso distribuido.

así como si existen sistemas y métodos de evaluación periódica de riesgos. se considera: la ubicación del centro de procesos. Procedimientos. Más tarde la radio y la transmisión de imágenes a través de la televisión habilitaron un gran número de técnicas y métodos que luego fueron muy importantes a lo que respecta a la comunicación. La Auditoría de la Seguridad Para muchos la seguridad sigue siendo el área principal a auditar. Posteriormente. o bien entre un barco y la costa. PCs. entre otros problemas.En una comunicación se transmite información desde una persona a otra e intervienen tres elementos: el emisor. entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas. aunque después se hayan ido ampliando los objetivos. Inundaciones. etc. La primera técnica utilizada surgió con la aparición del telégrafo y el código morse que permitieron comunicaciones a través de cables a unas distancias considerables. funciones. los accesos no autorizados. huelgas. La primera comunicación que existió entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. terremotos. corte de líneas o suministros. debiendo abordar aspectos relacionados con el Gobierno Corporativo y los nuevos riesgos a los que se enfrentan las organizaciones. la revelación de la información. el medio. "los auditores y los astrónomos compartimos plenamente una idea: el universo se expande. presupuesto. Con el paso del tiempo y la evolución tecnológica.. Estos gestos iban acompañados de sonidos. objetivos de control. el hombre tubo necesidad de realizar comunicaciones a distancia como por ejemplo. Cada día es mayor la importancia de la información. etc. la auditoría interna se ve compelida a velar entre otras cosas por la aplicación y buen uso de las mismas. El desarrollo de las políticas. especialmente relacionada con sistemas basados en el uso de tecnología de información y comunicaciones. Como brillantemente lo expresa Fernando Gaziano (Deloitte Chile). comenzó la comunicación hablada a través de un determinado lenguaje.3 Síntomas de riesgo. que permite la transmisión. planes. Como nunca. destellos con espejos entre innumerables métodos de comunicación. de la misma forma el mundo del Auditor Interno es cada vez más amplio. normas y guías. Ello ciertamente implica un muy fuerte compromiso. Posteriormente se desarrolló la técnica que dio origen al teléfono para la comunicación directa de la voz a larga distancia. que da origen a la información. incendios. Amenazas físicas externas. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa. explosiones.2 Objetivos y criterios de la auditoria en el área de la teleinformática. 5. y el receptor. Es aquí donde aparecen las señales de humo. apoyar y controlar las nuevas y buenas prácticas. que recibe la información. así a la hora de revisar el desarrollo se verá si se realiza en un entorno seguro. computadoras 16 . hasta el punto de que en algunas entidades se creó inicialmente la función de auditoría informática para revisar la seguridad. 5. Dijimos antes que la auditoría debía velar no sólo por los activos de la empresa sino además por su capacidad competitiva. terrorismo. posibles estándares.    Los controles directivos. haciendo uso del benchmarking puede verificar y promover las mejores prácticas para el mantenimiento de la más alta competitividad. tienen un impacto mucho mayor que hace algunos años. Son los fundamentos de la seguridad: políticas. Cuidar de esto último significa difundir. Así ante la continua aparición de nuevas herramientas de gestión. en el cuál cada palabra significaba algo y cada frase tenía un contenido informativo. Más tarde. la comunicación a distancia comenzó a ser cada vez más importante. Así como después del "big bang" un universo de planetas y estrellas comenzó y continúa expandiéndose. por lo que el impacto de las fallas. de los servidores. En la auditoría de otras áreas pueden también surgir revisiones solapadas con la seguridad. probablemente hoy se enfrenta a uno de los cambios más importantes en su profesión. Así.

El entorno de producción. Origen del dato. Introducir al estudiante en los aspectos técnicos. ilustrando las operaciones. ejecución. Modelo TCP/IP UNIDAD VI Informe de la auditoria informática. funcionales y organizacionales que componen la problemática de seguridad en las redes teleinformáticas. Ataques Planeación de la Seguridad . Evaluación de riesgos Se trata de identificar riesgos. Definiciones . contenido en paquetes}. borrado y copia. visitas. procesada y transmitida. la entidad misma y el momento. 17 . por accidentes atmosféricos. contratados. cifrado con comunicaciones. riesgos por agua. protecciones ante virus. Generalidades . Con el uso de licencias (de los programas utilizados). clientes. Control de accesos adecuado. Amenazas . protección de los soportes magnéticos en cuanto a acceso. que se realicen sólo las operaciones permitidas al usuario: lectura. almacenamiento y transporte. Protección de datos. La continuidad de las operaciones. amenazas de fuego. proceso. Definición de políticas de seguridad . la tecnología usada. variación. El desarrollo de aplicaciones en un entorno seguro. proveedores. Planes de contingencia o de Continuidad. Topología y tipo de comunicaciones. cifrado de las mismas. diseño. técnicas y herramientas más usuales para garantizar privacidad. el sector de la entidad. Los riesgos pueden disminuirse (generalmente no pueden eliminarse). así como el comercio electrónico. estructura. Protección de conversaciones de voz en caso necesario. Para evaluarlos hay que considerar el tipo de información almacenada. Análisis de riesgos . Análisis del sistema actual . bolsos o carteras que se introducen o salen de los edificios. el marco legal aplicable. Comunicaciones y redes. Tipos de transacciones. 5. Implantación de la seguridad Servicios de Seguridad . la criticidad de las operaciones. posible uso de cifrado. Cumplimiento de contratos. Uso de contraseñas. autenticación y seguridad. salida de los datos. control sobre páginas web. construcción y distribución de edificios. Internet e Intranet. protección de transmisiones por fax para contenidos clasificados. sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos. transferirse o asumirse. y que se incorporen controles en los productos desarrollados y que éstos resulten auditables. correo electrónico. Modelo OSI para arquitecturas de Seguridad . No se trata de áreas no relacionadas. Tanto físicos como lógicos. cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.      portátiles (incluso fuera de las oficinas). y quedando las pistas necesarias para el control y la auditoría.4 Técnicas y herramientas de auditoría relacionadas con la seguridad en la teleinformática. Introducción General a la Seguridad en Redes . Intrusos . situaciones de bloqueo. outsourcing. etc.

Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo. la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control. como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”(1). implementados para proteger el hardware y medios de almacenamiento de datos. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. etc. la seguridad de la misma será nula si no se ha previsto como combatir un incendio. otros. virus. 18 . que intentar acceder vía lógica a la misma. Así. Características del informe de auditoría: 1. no. sobre si éstas muestran la imagen fiel del patrimonio.1 Generalidades de la seguridad del área física.6. así como de los recursos obtenidos y aplicados durante el ejercicio. Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos. (conceptos luego tratados). 6. como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma. Hackers. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala.2 Características del informe. Muestra el alcance del trabajo. 2. Objetivos. Es un documento mercantil o público. Si bien algunos de los aspectos tratados a continuación se prevén. de la situación financiera y del resultado de sus operaciones. características y afirmaciones que contiene el informe de auditoría El informe de auditoría financiera tiene como objetivo expresar una opinión técnica de las cuentas anuales en los aspectos significativos o importantes.

Concluido el Trabajo de Campo. Redacción del Informe La Redacción se efectuará en forma corriente a fin de que su contenido sea comprensible al lector. Conclusiones de hechos significativos. explica las desviaciones que presentan los estados financieros con respecto a unos estándares preestablecidos. en este sentido el Informe debe: . en todos los aspectos significativos. se pierde la oportunidad de hacer conocer a la empresa lo que realmente desea o necesita conocer para optimizar su administración. también. el Informe debe comunicar información útil para promover la toma de decisiones. información sustancial sobre su proceso administrativo. evitando en lo posible el uso de terminología muy especializada. como una forma de contribuir al cumplimiento de sus metas y objetivos programados. porque suministra a la administración de la empresa. cumplimiento de actividades y otras. Principales afirmaciones que contiene el informe:   Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de auditoría. debido a un descuido en su preparación. en consecuencia su contenido puede ser pobre. conclusiones y recomendaciones. 6. constituye el mejor medio para que las organizaciones puedan apreciar la forma como están operando.3. reviste gran Importancia. Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido formuladas de acuerdo con la legislación vigente y. Podemos sintetizar que el informe es una presentación pública. 4.     19 . resumida y por escrito del trabajo realizado por los auditores y de su opinión sobre las cuentas anuales. así como expresiones grandilocuentes y confusas. Concepto Es el documento emitido por el Auditor como resultado final de su examen y/o evaluación. de la situación financiera. con esto queremos hacer resaltar el hecho de que. En su caso. pero inadvertidamente puede estar falto de sustentación y fundamento adecuado. el auditor tendrá como responsabilidad la confección del Informe de Auditoría como un producto final de este trabajo. expresa si las cuentas anuales reflejan. La Redacción del Informe debe merecer mucha atención cuidado de parte del auditor para que tenga la acogida y aceptación que los empresarios esperan de él. En algunas oportunidades puede ocurrir que. así como los resultados obtenidos. procedimientos. El Informe a través de sus observaciones. si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad. evitando párrafos largos y complicados. Despertar o motivar interés. a pesar de que se haya emitido un voluminoso informe. Se realiza conforme a un marco legal. de los resultados y de los recursos obtenidos y aplicados. la imagen fiel del patrimonio.3 Estructura del informe. Contiene la opinión del auditor. Importancia El Informe de Auditoría. Lamentablemente esto no se logrará si el informe revela pobreza de expresión y no se aportan comentarios constructivos. Asimismo. incluye información suficiente sobre Observaciones. así como Recomendaciones constructivos para superar las debilidades en cuanto a políticas. El informe contendrá el mensaje del Auditor sobre lo que ha hecho y como lo ha realizado. Se opina también sobre la concordancia de la información contable del informe de gestión con la contenida en las cuentas anuales.

veraz y objetiva. patentes. certificaciones. Centro o Instituto al que pertenece 3. Convencer mediante información sencilla. 7. de fortalecimiento de la capacidad científica.4 Formato para el informe. Descripción del impacto actual o potencial de los resultados: En términos de generación de nuevo conocimiento a nivel mundial. ocasionando de este modo que. para que el informe logre su objetivo de informar o comunicar al cliente. 2. 6. 20 . es decir. Utilizará palabras simples. normas. memorias. organización y/o participación en eventos científicos. los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones. de aporte para el desarrollo del país. es decir. Cada página del informe debe estar numerada. florido o vago. • El informe técnico final deberá presentarse en versión impresa y magnética (CD o disquete). registros. deben incluir un resumen de una cuartilla que servirá de base para la elaboración de notas académicas dirigidas a los medios de comunicación de la Universidad. Título y código del proyecto 2. de contribución a la solución de problemas específicos. Resumen técnico de los resultados obtenidos durante la realización del proyecto y de las principales conclusiones (máximo cinco páginas). significan introducir sin mayor dificultad en la mente del lector del informe. Nombre del investigador principal y de la Facultad. familiares al lector. y de fortalecimiento de la investigación y creación en la Sede Bogotá (máximo dos páginas). con respecto a los compromisos adquiridos en el proyecto aprobado. escribirá en el idioma que el lector entiende. . Sinopsis divulgativa: Con el propósito de promover la divulgación de las actividades investigativas que adelanta la Sede Bogotá y para dar mayor difusión a los proyectos. estos deben numerarse y adjuntarse como anexos del informe (ver cuadro No.. • Los informes finales técnico y financiero. no hay una cabal comprensión de lo que realmente quiere comunicar. . al finalizar el periodo de ejecución del proyecto. La Claridad y Simplicidad. Evitará el uso de un lenguaje técnico. capacitación. • El informe debe contener un índice. En consecuencia. formación de recurso humano. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado. . El formato para informes finales está enfocado a apoyar y facilitar el proceso de evaluación de los resultados de los proyectos financiados por la sede Bogotá. lo que el Auditor ha escrito o pensó escribir. el Auditor: . • Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. I. Requisitos del informe Claridad y simplicidad. puede dar lugar a una doble interpretación.. Además de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtención de los resultados esperados y de las actividades de investigación científica. se torne inútil y pierda su utilidad. Centro o Instituto. etc. deben ser entregados a la Dirección de Investigación de la sede. 1). Fecha de entrega del Informe 4. asimismo cuando el Informe está falto de claridad. Evitará incluir mucho detalle. 6. CONTENIDO DEL INFORME TÉCNICO 1. 5. Evitará ser muy breve. A veces lo que ocasiona la deficiencia de claridad y simplicidad del informe es precisamente la falta de claridad en los conceptos que el Auditor tiene en mente. • El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad. relacione los resultados obtenidos durante la realización del proyecto.

Sign up to vote on this title
UsefulNot useful