CONTENIDO DEL CURSO: ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA

UNIDAD I
Introducción a la auditoria informática. Conceptos de auditoría y auditoria Informática. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los objetivos de la auditoría Informática son: * El control de la función informática * El análisis de la eficiencia de los Sistemas Informáticos * La verificación del cumplimiento de la Normativa en este ámbito * La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

- Gobierno corporativo - Administración del Ciclo de vida de los sistemas - Servicios de Entrega y Soporte - Protección y Seguridad - Planes de continuidad y Recuperación de desastres

1.2 Tipos de auditoría.            Auditoría contable (de estados financieros) – no es interés del curso. Auditoría interna. La lleva a cabo un departamento dentro de la organización y existe una relación laboral. Auditoría externa. No existe relación laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes. Auditoria administrativa. (William. P Leonard) es un examen completo y constructivo de la estructura organizativa de la empresa, institución o departamento gubernamental o de cualquier otra entidad y de sus métodos de control, medios de operación y empleo que dé a sus recursos humanos y materiales. Auditoria gubernamental. Auditoría Financiera: Consiste en una revisión exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador público. Auditoria de operaciones: Se define como una técnica para evaluar sistemáticamente de una función o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el área de estudio. Auditoría fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista físico (SHCP), direcciones o tesorerías de hacienda estatales o tesorerías municipales. Auditoria de resultados de programas: Esta auditoría la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas establecidas. Auditoria de legalidad: Este tipo de auditoría tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades. Auditoría integral: Es un examen que proporciona una evaluación objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales. 1.2.1 Auditoría interna y externa. La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos, pero las empresas generalmente requieren de la evaluación de su sistema de información financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el término Auditoría Externa a Auditoría de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir. Auditoría Externa del Sistema de Información Tributario, Auditoría Externa del Sistema de Información Administrativo, Auditoría Externa del Sistema de Información Automático etc. La auditoría Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con

2

3 Campo de la auditoria informática. El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo. en la planeación. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos.5 Modelos de control utilizados en auditoria informática. administradores IT. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. 1. usuarios y por supuesto. organización. corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Gestión administrativa: Automatiza las funciones de gestión típicas de una empresa. es decir. Los programas responden como previsiblemente lo haría una persona inteligente. 1. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir. orientado a todos los sectores de una organización. Instrumentación y control: Instrumentación electrónica. entre otros. Algunos campos de aplicación de la informática son las siguientes:       Investigación científica y humanística: Se usan la las computadoras para la resolución de cálculos matemáticos. recuentos numéricos. robots industriales. trazado de planos. dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía. los auditores involucrados en el proceso.el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objetives for Information Systems and related Technology). etc. etc. 1. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Pública. electro medicina. eficiencia y efectividad de los procesos operativos automatizados.4 Control interno. Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería y de productos comerciales. Documentación e información: Es uno de los campos más importantes para la utilización de computadoras. desarrollado por ISACA (Information Systems Audit and Control Association). El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología. El modelo es el resultado de una investigación con expertos de varios países. 3 .

Únicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido.Monitoreo Estos dominios agrupan objetivos de control de alto nivel.La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información. instalaciones y recurso humano. El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas. este último deberá evitar estar ligado en cualquier forma. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad. El conjunto de lineamientos y estándares internacionales conocidos como COBIT. y finalmente se realiza una evaluación sobre los procesos involucrados en la organización. confidencialidad. entre otros. se auditan los recursos que comprenden la tecnología de información. plataformas tecnológicas. estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas detectados en el sistema informático de esta última. lanzado en 1996. “Cualquier tipo de empresa puede adoptar una metodología COBIT. sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”. La adaptación del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo. como por ejemplo la seguridad y calidad. a saber: -Planificación y organización -Adquisición e implantación -Soporte y Servicios . como de la tecnología que la respalda. El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada. como por ejemplo el recurso humano. productos o equipos compatibles con los de su cliente. Vinculando tecnología informática y prácticas de control. tales como: datos. dañinas o que generen riesgos injustificados 4 . complejo y diversificado”. aconsejables y óptimos para su adecuación a la finalidad para la que ha sido diseñado. COBIT se aplica a los sistemas de información de toda la empresa. este podrá proponer un cambio cualitativamente significativo de determinados elementos o del propio sistema informático globalmente contemplado. como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente. sistemas. finalizó el informe de ETEK. a fin de adquirir un conocimiento pormenorizado de sus características intrínsecas. que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente. los profesionales de control y los auditores. En ningún caso está justificado que realice su trabajo el prisma del propio beneficio. Una vez estudiado el sistema informático a auditar. provee una herramienta automatizada. incluyendo los computadores personales y las redes. se deben tomar en cuenta los recursos que proporciona la tecnología de información. define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales. cumplimiento y confiabilidad. aplicaciones. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. instalaciones. es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. a intereses de determinadas marcas. “La adecuada implementación de un modelo COBIT en una organización. para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados.6 Principios aplicados a los auditores informáticos. el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia. que cubren tanto los aspectos de información. eficiencia. COBIT. disponibilidad. Asimismo. Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deberá considerarse como no ética. señaló un informe de ETEK. Para garantizar el beneficio del auditado como la necesaria independencia del auditor. el auditor deberá establecer los requisitos mínimos. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. integridad. 1.

la planeación es fundamental. organización y equipo. En el caso de la auditoría en informática. tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera 5 . pues habrá que hacerla desde el punto de vista de los dos objetivos: • Evaluación de los sistemas y procedimientos.1 Planeación. hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar. • Evaluación de los equipos de cómputo. los objetivos que debe cumplir. Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones 2.1. UNIDAD II Planeación de la auditoria Informática.1 Fases de la auditoria. éstos deberías poder tener acceso a los informes de los trabajos profesionales.1. del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa. es la referente a facilitar el derecho de las organizaciones auditadas a la libre elección del auditor. Si el auditado decidiera encomendar posteriores auditorías a otros profesionales. Para hacer una adecuada planeación de la auditoría en informática.para el auditado.2 Revisión preliminar. sus sistemas. Una de las cuestiones más controvertidas. éstos deberían poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado. respecto de la aplicación de este principio. 2. 2. En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar.

5 Pruebas de controles de usuario. Permite planificar y ejecutar pruebas relacionadas con los riesgos y controles definidos para esta auditoría. Cuando se utilicen bases subjetivas se deberá dejar constancia en los papeles de trabajo de las razones que han conducido a tal elección. justificando los criterios y bases de selección. herramientas y conocimientos previos.pérdidas sustanciosas). dependiendo fundamentalmente del resultado de estas pruebas en el periodo preliminar así como de la evidencia del cumplimiento. Evaluación del control interno Realizados los cuestionarios y representado gráficamente el sistema de acuerdo con los procedimientos vistos. En una auditoria existen los siguientes módulos para ayudarle a planificar y ejecutar pruebas:       Aéreas de Auditoria Registro de Riesgos y Controles Plan de Pruebas Realizar pruebas Permite especificar la estructura bajo la cual se agruparan las pruebas. todo aquello que representa un gasto para la empresa. hemos de conjugar ambos a fin de realizar un análisis e identificar los puntos fuertes y débiles del sistema.3 Revisión detallada. Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática. etc. Cuando éste sea el caso. El muestreo estadístico es. La determinación de la extensión de las pruebas de cumplimento se realizará sobre bases estadísticas o sobre bases subjetivas. Periodo en el que se desarrollan las pruebas y su extensión Los auditores independientes podrán realizar las pruebas de cumplimiento durante el periodo preliminar. y será preciso determinar si los errores tienen una repercusión directa en los estados financieros. 2. Es de tomarse en cuenta que el propietario de dicha empresa. el medio idóneo para expresar en términos cuantitativos el juicio del auditor respecto a la razonabilidad. con la esperanza de obtener mayor confianza por medio del sistema de control interno.1. así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. o si los puntos fuertes del control eliminarían el error. ejercicio de ventas. que puede obtenerse de las pruebas sustantivas realizadas por el auditor independiente. influye primordialmente la habilidad para entender el sistema y comprender los puntos fuertes y débiles de su control interno.1. La conjugación de ambas nos dará el nivel de confianza de los controles que operan en la empresa. determinando la extensión de las pruebas y evaluando su resultado. 2. ordena una auditoria cuando siente que un área tiene una falla o simplemente no trabaja productivamente como se sugiere. 6 . En esa labor de identificación. 2.1. por esta razón habrá puntos claves que se nos instruya sean revisados. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento. porque al fin de cuentas hablamos de tiempo y costo de producción. la aplicación de tales pruebas a todo el periodo restante puede no ser necesaria. en principio. dentro del periodo restante.4 Examen y evaluación de la información. hay que recordar que las auditorias parten desde un ámbito administrativo y no solo desde la parte tecnológica. o proceder directamente a revisión con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. Es decir.

etc. problemas y necesidades de los trabajadores. editar y borrar pruebas con independencia del Registro de Riesgos y Controles.2 Evaluación de los sistemas de acuerdo al riesgo. Ejemplo: Seguridad Social Conjunto de organismos. que puede cubrir un seguro. etc. Aquí no se verá el número de persona que deberán participar. que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad. 2. medidas. trabajadores y empresarios. peligro. medios. contingencia. revisadas o aprobadas).4 Personal participante. apuro. Se dice también de todos aquellos objetos.6 Pruebas sustantivas. Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar. lo que se deberá considerar son exactamente las características que debe cumplir cada uno del personal que habrá de participar en la auditoria. ya que esto depende de las dimensiones de la organización. Una Librería de Áreas y una Librería de Pruebas pueden también ser mantenida para proveer Áreas y Pruebas Standard para su selección en cada auditoria. El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el proceso de la información. Sinónimos: amenaza.1. dispositivos. 3 pruebas para identificar la inconsistencia de datos. cinturón de seguridad. urgencia. medidas. Riesgo    Proximidad o posibilidad de un daño. hechos desafortunados. emergencia. etc.. ya que se debe contar con un equipo seleccionado y con ciertas características que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. Permite registrar el resultado y el status de cada prueba (completadas. 2 prueba para asegurar la calidad de los datos. se financia con aportaciones del Estado.  Permite agregar. 2. 7 .. 7 prueba para determinar falta de seguridad. de los sistemas y de los equipos. accidentes laborales. etc. 2. Se pueden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Seguridad   Cualidad o estado de seguro Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo. como enfermedad. 4 prueba para comparar con los datos o contadores físicos. de la administración estatal para prevenir o remediar los posibles riesgos.. 5 confirmaciones de datos con fuentes externas 6 pruebas para confirmar la adecuada comunicación. Las Áreas de Auditoria estructuran sus pruebas en programas de trabajo lógicos y pueden usarse para capturar información relacionada con los objetivos de cada programa de trabajo. maternidad o jubilación. 8 pruebas para determinar problemas de legalidad. incapacidad. Cada uno de los imprevistos.

O. Existen ventajas y desventajas en el uso de cada una de estas herramientas. UNIDAD III Auditoria de la función informática.3 Entrevistas con el personal de informática. esta obtención de la información debe ser planeada en forma estructurada para garantizar una generación de datos que ayuden posteriormente su análisis. seguida de sugerencias para mejorar. Por medio de la comparación con el patrón pueden evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema. 3. tenga éxito debe comenzar por obtener un diagnostico con información verdadera y a tiempo de lo que sucede en la organización bajo análisis. La auditoría es un sistema de revisión y control para informar a la administración sobre la eficiencia y la eficacia del programa que lleva a cabo. se analiza. localizando prácticas y condiciones que son perjudiciales para la empresa o que no están justificando su costo.000 profesionales en sistemas entre nuestro equipo de selectores. al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Patrón en in criterio o un modelo que se establece previamente para permitir la comparación con los resultados o con los objetivos alcanzados. El entrevistador dirige la conversación e intenta obtener la máxima información posible del candidato. 3. ya que debemos analizar no sólo el punto de vista de la dirección de informática. Es un diálogo directo entre el entrevistador y entrevistado. 8 . También se deben contar con personas asignadas por los usuarios para que en el momento que se solicite información. Desde el otro lado del mostrador y habiendo entrevistado a 5.2 Evaluación de los recursos humanos La auditoría de recursos humanos puede definirse como el análisis de las políticas y prácticas de personal de una empresa y la evaluación de su funcionamiento actual. Es un ciclo continuo en el cual se planea la recolección de datos.Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga esté debidamente capacitado. El propósito principal de la auditoria de recursos humanos es mostrar cómo está funcionado el programa. y complementen el grupo multidisciplinario. Para que un proceso de D. la práctica profesional y la capacitación que debe tener el personal que intervendrá en la auditoria. se retroalimentan y se da un seguimiento. sino también el del usuario del sistema. nos proporcionen aquello que se está solicitando. su utilidad dependerá del objetivo que se busque y los medios para llevar a cabo esa recolección de datos en tiempo y forma para su posterior análisis. o bien se efectúe alguna entrevista de comprobación de hipótesis. que tenga un alto sentido de moralidad. Con estas bases debemos considerar los conocimientos. con el fin de que funcione mejor. el método de obtención de información está directamente ligado a la disponibilidad. La entrevista es uno de los eslabones finales para conseguir la posición deseada. te dejamos valiosos consejos en esta nota. dificultad y costo.1 Recopilación de la información organizacional. o prácticas y condiciones que deben incrementarse. El sistema de administración de recursos humanos necesita patrones capaces de permitir una continua evaluación y control sistemático de su funcionamiento. La recolección de datos puede darse de varias maneras: • Cuestionarios • Entrevistas • Observación • Información documental (archivo) Toda la información tiene un valor en sí misma. 3.

que surgen en función del desarrollo de la conversación. y luego seguir con preguntas generales. el auditor deberá considerar los siguientes aspectos: a. No estructurada (libre) El entrevistador te dará la iniciativa a ti. El estudio y evaluación del control interno deberá efectuarse conforme a lo dispuesto en el boletín 3050 “Estudio y Evaluación del Control Interno”. Existencia de un presupuesto anual autorizado b. con claridad y brevedad. A.Existencia de procedimientos relativos a autorización. por lo que el auditor para el cumplimiento de los objetivos deberá considerar lo siguiente: . habilidades. Aprovecha para llevar la conversación a los puntos fuertes que deseas destacar en relación con el puesto ofertado. Para efectos de estudio y evaluación del control interno en una revisión en una revisión de estados presupuestarios. control y reporte presupuestario 9 . y deberás desenvolverte por tu cuenta. salvaguarda física de documentación soporte y de verificación y evaluación.Te preguntará por tu currículum. y preguntas indirectas para sondearte respecto a tus motivaciones. Existencia e políticas. El entrevistador formulará las mismas preguntas a todos los candidatos. El entrevistador podría empezar con la pregunta: “Háblame de ti”. Intenta seguir un orden discursivo. Existencia de un sistema de registro presupuestario d.Vigilancia sobre el establecimiento y mantenimiento de controles internos con objeto de identificar si están operando efectivamente y si deben ser modificados cuando existan cambios importantes. Procedimientos de registro. éste servirá de base para determinar el grado de confianza que se depositará en él y le permita determinar la naturaleza. Se recomienda contestar a las preguntas aportando aquella información que se pide. Existencia de un procedimiento de autorizaciones e. emitido por la Comisión de Normas y Procedimientos de Auditoría del Instituto Mexicano de Contadores Públicos.4 Situación presupuestal y financiera. procesamiento y clasificación de transacciones.Existencia de riesgo en la información financiera Existencia de un sistema presupuestal que permita identificar. experiencias. . sé conciso e intenta relacionar tus respuestas y comentarios con las exigencias del puesto al que optas.Existencia de factores que aseguren un ambiente de control . Semi-estructurada (mixta) Es una combinación de las dos anteriores. aficiones e intentará ponerte en situaciones reales para estudiar tus reacciones. bases y lineamientos presupuestarios c. con el fin de tener más de un punto de vista a la hora de elegir el candidato final. reunir. El entrevistador utilizará preguntas directas para conseguir informaciones precisas sobre ti. registrar y producir información cuantitativa de las operaciones basadas en flujos de efectivo y partidas devengadas . alcance y oportunidad. 3. En ocasiones puede haber más de un entrevistador. analizar. Modalidades de la Entrevista Personal Estructurada (dirigida) El entrevistador dirige la conversación y hace las preguntas al candidato siguiendo un cuestionario o guión. que va a dar a los procedimientos de auditoría.. clasificar.C. También puedes preguntar si está interesado en conocer algo en particular. incluyendo los aplicables a la actualización de cifras y a los controles relativos al procesamiento electrónico de datos. Lo más aconsejable es empezar siguiendo el guión de tu historial profesional.

3 Seguridad personal. En consecuencia. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo. de las redes y terminales. etc. Generalidades de la seguridad del área física. Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos. (conceptos luego tratados). Identifica individualmente a cada usuario y sus actividades en el sistema. la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas. está subsumida en la gestión integral de la empresa. pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. 4. de uso específico. Si bien algunos de los aspectos tratados a continuación se prevén. tal como lo establecen los Términos de Referencia para auditorías a Órganos Desconcentrados y Entidades Paraestatales de la SFP. y por eso las normas y estándares propiamente informáticos deben estar. y restringe el acceso a datos. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema Informático. virus. así como el flujo de efectivo que detalle el origen y el destino de los egresos (Art. que intentar acceder vía lógica a la misma. La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora. otros. por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada. así como de controlar el mal uso de la información. sometidos a los generales de la misma. los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computación. no. Copias de programas y /o información. las 10 . La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización: Cambio de los datos antes o cuando se le da entrada a la computadora. por el software de desarrollo y por los programas en aplicación. Hackers. la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control. los Sistemas de Información de la empresa. como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma.103 de la Ley Federal de Presupuesto y Responsabilidad Hacendaria) UNIDAD IV Evaluación de la seguridad. Así. a los programas de uso general. La Informática hoy. como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial” (1). Código oculto en un programa Entrada de virus Un método eficaz para proteger sistemas de computación es el software de control de acceso. implementados para proteger el hardware y medios de almacenamiento de datos. A finales del siglo XX. por lo tanto. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala. 4.Obtener el estado analítico de recursos presupuestarios y el ejercicio presupuestario del gasto. Sin embargo. Los paquetes de control de acceso protegen contra el acceso no autorizado. los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial.2 Seguridad lógica y confidencial.

Software de aplicación. Software de base. ayuda a la toma de decisiones. control de accesos.organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Control de acceso.4 Clasificación de los controles de seguridad. asignación y cambio de derechos de acceso. A causa de esto. El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. Control de cambios y versiones. se distingue entre las medidas para restringir y controlar el acceso a dichos recursos. antes de realizarse la auditoría. ya se habían detectado fallas. control de uso de recursos y medición de 'performance'. 11 . 4. Clasificación general de los controles  Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo. debido a que la corrección de errores es en sí una actividad altamente propensa a errores. Para ello. debido a su importancia en el funcionamiento de una empresa. permitiendo cierto margen de violaciones. control de uso de programas de utilidad. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección. en dicha entidad.5 Seguridad en los datos y software de aplicación. los procedimientos para asegurar la fiabilidad del software (tanto operativo como de gestión) y los criterios a considerar para garantizar la integridad de la información. se ha tomado la frase "Tiene Auditoría" como sinónimo de que. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso  Controles detectives Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. existe la Auditoría Informática. Este apartado aborda los aspectos asociados al componente lógico del sistema: programas y datos. Por ende. El concepto de auditoría es mucho más que esto. Sistemas de identificación. Cabe aclarar que la Informática no gestiona propiamente la empresa. 4. una entidad. Son los más importantes para el auditor. un organismo. desconexión de la sesión. pero no decide por sí misma. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. etc. restricción de terminales. siendo necesaria la implantación de controles defectivos sobre los controles correctivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditoría Procedimientos de validación  Controles Correctivos Ayudan a la investigación y corrección de las causas del riesgo. limitación de reintento. La corrección adecuada puede resultar difícil e ineficiente.

condiciones. Sin ésta. y la lógica. . Control de calidad. . Debiendo identificar los distintos perfiles de usuario que accederán a los archivos de la aplicación y los subconjuntos de información que podrán modificar o consultar. Es importante la utilización de metodologías de diseño de datos. es accesible. deben definirse los procedimientos de seguridad. confidencialidad e integridad que se aplicarán a los datos: Procedimientos para recuperar los datos en casos de caída del sistema o de corrupción de los archivos. derechos. contratos. longitud y rango aceptable en cada caso. Procedimientos para mantener la consistencia y corrección de la información en todo momento. A partir de distintos factores como el número de usuarios que accederá a la información. Un sistema informático existe como tal desde el momento en que es capaz de tratar y suministrar información. Metodología. Básicamente existen dos niveles de integridad: la de datos. sean producto de desarrollo interno de la empresa o bien sean paquetes estándar adquiridos en el mercado. En la fase de diseño de datos. o bien orientada a objetos. se aplica. Debe realizarse una estimación previa del volumen necesario para el almacenamiento de datos basada en distintos aspectos tales como el número mínimo y máximo de registros de cada entidad del modelo de datos y las predicciones de crecimiento. licencias. Procedimientos para prohibir el acceso no autorizado a los datos. . . En la actualidad la inmensa mayoría de sistemas tienen la información organizada en sendas Bases de Datos. Desarrollo de software. Los criterios que se citan a continuación hacen referencia a la seguridad de los Sistemas de Gestión de Bases de Datos (SGBD) que cumplan normas ANSI. Para ello deberán identificarlos. Entornos real y de prueba. que se refiere al tipo. esta actualizada. soporte técnico. Los datos es decir. la necesidad de compartir información y las estimaciones de volumen se deberá elegir el SGBD más adecuado a las necesidades de la empresa o proyecto en cuestión. todo lo relativo a las aplicaciones de gestión. Control de cambios. . red. Metodología: existe. 12 .En este apartado se trata todo lo concerniente al software de aplicación. garantías. Participación de personal externo. pruebas. Procedimientos para restringir el acceso no autorizado a los datos. relacional. . Datos. Involucración del usuario. Adquisición de software estándar. la información que se procesa y se obtiene son la parte más importante de todo el sistema informático y su razón de ser. que hace referencia a las relaciones que deben existir entre las tablas y reglas del negocio. se reduciría a un conjunto de elementos lógicos sin ninguna utilidad. capacitación. si bien muchos de ellos pueden ser aplicables a los archivos de datos convencionales. la cual debe estar en concordancia con la arquitectura de la Base de Datos elegida jerárquica. como y quien lo controla. El equipo de analistas y diseñadores deben hacer uso de una misma metodología de diseño. Diseño de bases de datos. Estándares: se aplican. Documentación: existe. es decir. es satisfactoria.

Creación de bases de datos. comparado con 26 millones en 1995. el número de usuarios que se comunican. se revisara su existencia en las áreas fundamentales. a su vez. deben desarrollarse los procedimientos de seguridad. 4. el sabotaje informático. al menos en los sectores más importantes. 4. creación/eliminación de tablas. habrán de revisarse sucesivamente y en este orden: 1. En la fase de creación. Se verificará su existencia. realizan negocios y hasta consultan con sus médicos online supera los 200 millones. Se realizará una revisión inicial sin estudiar a fondo las contradicciones que pudieran existir. Las Normas Generales de la Instalación Informática. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en "paraísos informáticos" . incurriendo en delitos tales como el acceso sin autorización o "piratería informática". que consiste en la definición de los perfiles de usuario y las acciones que les son permitidas (lectura. A medida que se va ampliando la Internet.o sea. Debe crearse un entorno de desarrollo con datos de prueba. actualización. en países que carecen de leyes o experiencia para seguirles la pista -. ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningún documento de rastro. borrado. diseño de procedimientos de arranque. asimismo va aumentando el uso indebido de la misma. el segundo objetivo de la auditoría es la verificación de la observancia de las normas teóricamente existentes en el departamento de Informática y su coherencia con las del resto de la empresa. asesoramiento al personal de desarrollo entre algunos otros aspectos. Los denominados delincuentes cibernéticos se pasean a su aire por el mundo virtual.6 Controles para evaluar software de aplicación. Del mismo modo.Debe designarse un Administrador de Datos. 13 . Para ello. terroristas o figuras del crimen organizado. . Los Procedimientos Específicos Informáticos. de modo que las actividades del desarrollo no interfieran el entorno de explotación. En los años recientes las redes de computadoras han crecido de manera asombrosa. Estos delincuentes pueden pasar desapercibidos a través de las fronteras. deberá verificarse que no existe contradicción alguna con la Normativa y los Procedimientos Generales de la propia empresa. En todos los casos anteriores. Por ejemplo. 3. modificación de la estructura de las tablas). Así. Los datos de prueba deben estar dimensionados de manera que permitan la realización de pruebas de integración con otras aplicaciones. Construcción de los procedimientos de copia y restauración de datos. pagan sus cuentas. Construcción de los procedimientos de restricción y control de acceso. Hoy en día. Informática no está en contradicción con alguna Norma General no informática de la empresa. Una vez conseguida la Operatividad de los Sistemas. Existen dos enfoques para este tipo de procedimientos: Confidencialidad basada en roles. a los que la Informática debe estar sometida. y sobre todo verificando que esta Normativa General . la trata de niños con fines pornográficos y el acecho. la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación. pero registrando las áreas que carezcan de normativa. deberá comprobarse que los Procedimientos Específicos no se opongan a los Procedimientos Generales. puede tratarse de estudiantes. recuperación de datos. confidencialidad e integridad definidos en la etapa de diseño: .7 Controles para prevenir crímenes y fraudes informáticos. de rendimiento con volúmenes altos. ya que es importante centralizar en personas especializadas en el tema las tareas de redacción de normas referentes al gestor de datos utilizado. Igualmente. alta. Los delincuentes de la informática son tan diversos como sus delitos. Tampoco el alta de una nueva Aplicación podría producirse si no existieran los Procedimientos de Backup y Recuperación correspondientes. Explotación no debería explotar una Aplicación sin haber exigido a Desarrollo la pertinente documentación. definición de estándares y nomenclatura. el fraude. Los Procedimientos Generales Informáticos. hacen sus compras. 2.

14 . Por lo tanto. la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratégico de seguridad para una organización. Dichos números se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnéticas de tarjetas bancarias y de crédito. saldrán del negocio en dos o tres años. se ha demostrado que más del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperación ya en funcionamiento. y equipos asociados. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informáticos. periféricos. ya sea directamente o mediante los llamados "gusanos" o "virus". En sí. seguros. Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones. el mobiliario y equipo de oficina. Los procedimientos manuales. como consecuencia. si es que existen. este porcentaje seguramente crecerá. UNIDAD V Auditoria de la seguridad en la teleinformática. sobre todo si está implicada la responsabilidad de la gerencia de informática. también se están propagando últimamente por las redes. En caso de un desastre. Medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para manejar sus actividades. que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro.Según datos recientes del Servicio Secreto de los Estados Unidos. Los malhechores manipulan los datos o las operaciones.9 Técnicas y herramientas relacionadas con la seguridad física y del personal. Otros delincuentes de la informática pueden sabotear las computadoras para ganarle ventaja económica a sus competidores o amenazar con daños a los sistemas con el fin de cometer extorsión. es todo lo relacionado con la seguridad. la empresa puede terminar en un fracaso total. sólo serían prácticos por un corto periodo. con frecuencia camuflados en mensajes electrónicos o en programas "descargados" de la red. tales como el hardware. la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad. las instalaciones eléctricas. las instalaciones de comunicación y de datos. 4. señala el Manual de la ONU. 4. En un estudio realizado por la Universidad de Minnesota. SEGURIDAD FISICA Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa.8 Plan de contingencia. ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos. la interrupción prolongada de los servicios de computación puede llevar a pérdidas financieras significativas. la disponibilidad de los sistemas informáticos se ha vuelto crucial. Lo más grave es que se puede perder la credibilidad del público o los clientes y. que originalmente pasaron de una computadora a otra por medio de disquetes "infectados". la prevención de riesgos y protección de los recursos físicos informáticos de la empresa. Actualmente. se calcula que los consumidores pierden unos 500 millones de dólares al año debido a los piratas que les roban de las cuentas online sus números de tarjeta de crédito y de llamadas. Algunos virus dirigidos contra computadoras elegidas al azar. procedimientos de recuperación de desastres. así como la protección a los accesos al centro de sistematización.

Continuamos explicando las técnicas fundamentales de transmisión de datos. Tanto en la vida profesional como en las actividades cotidianas. y en los conceptos básicos sobre Programas de Comunicación y Gestión de Red. sesión. Comenzamos por introducir la historia y evolución de la teleinformática y de la manera en que fue desarrollándose. pero a su vez siendo precisos.1 Generalidades de la seguridad en el área de la teleinformática. transporte. Ibercom o La Telefonía Móvil. Este trabajo se basa en conceptos fundamentales expresados de la manera más simple posible. desde un simple terminal hasta una red. presentación y aplicación. En la actualidad tiene una gran trascendencia tanto técnica como social. es habitual el uso de expresiones y conceptos relacionados con la teleinformática. red. lo que se denomina teleinformática: la unión de la informática y las telecomunicaciones. desde las redes digitales hasta el proceso distribuido. enlace de datos. y a su vez. También. en lo que respecta a la educación. establecimos los últimos desarrollos y las tendencias de la teleinformática. Luego mencionamos de forma genérica los elementos que integran un sistema teleinformática. 15 . manifestamos la importancia de la relación que existe entre la teleinformática y la sociedad. la sanidad y la empresa. para comprender cómo viaja la información de un sistema a otro a través de los circuitos de telecomunicación. Explicaremos claramente la importancia de la teleinformática y su desarrollo a través de la historia desde el comienzo ya que es uno de los factores que ha constituido y constituye un elemento fundamental para la evolución de la humanidad: la comunicación. Además. proporcionando un panorama general del tema. Analizamos los servicios de valor añadido como el Video tex. Las técnicas de comunicación se estructuran en niveles: físico.5. Hicimos inca pié en la red Internet y su protocolo TCP/IP. mencionamos las redes de área local ya que son muy importantes en lo que a la teleinformática respecta. Por último.

Así. y el receptor. terremotos. de los servidores. probablemente hoy se enfrenta a uno de los cambios más importantes en su profesión. Como nunca. se considera: la ubicación del centro de procesos. Procedimientos. Ello ciertamente implica un muy fuerte compromiso. etc. Inundaciones. que recibe la información. Dijimos antes que la auditoría debía velar no sólo por los activos de la empresa sino además por su capacidad competitiva. Cuidar de esto último significa difundir. La primera técnica utilizada surgió con la aparición del telégrafo y el código morse que permitieron comunicaciones a través de cables a unas distancias considerables.. presupuesto. que permite la transmisión. entre otros problemas. terrorismo. el medio. o bien entre un barco y la costa.2 Objetivos y criterios de la auditoria en el área de la teleinformática. así a la hora de revisar el desarrollo se verá si se realiza en un entorno seguro. haciendo uso del benchmarking puede verificar y promover las mejores prácticas para el mantenimiento de la más alta competitividad. la auditoría interna se ve compelida a velar entre otras cosas por la aplicación y buen uso de las mismas. La primera comunicación que existió entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. Más tarde. el hombre tubo necesidad de realizar comunicaciones a distancia como por ejemplo. planes. PCs. en el cuál cada palabra significaba algo y cada frase tenía un contenido informativo. explosiones. Son los fundamentos de la seguridad: políticas. tienen un impacto mucho mayor que hace algunos años. Estos gestos iban acompañados de sonidos. hasta el punto de que en algunas entidades se creó inicialmente la función de auditoría informática para revisar la seguridad. computadoras 16 . El desarrollo de las políticas. Así ante la continua aparición de nuevas herramientas de gestión. debiendo abordar aspectos relacionados con el Gobierno Corporativo y los nuevos riesgos a los que se enfrentan las organizaciones. por lo que el impacto de las fallas. En la auditoría de otras áreas pueden también surgir revisiones solapadas con la seguridad. Amenazas físicas externas. La Auditoría de la Seguridad Para muchos la seguridad sigue siendo el área principal a auditar. de la misma forma el mundo del Auditor Interno es cada vez más amplio.En una comunicación se transmite información desde una persona a otra e intervienen tres elementos: el emisor. Posteriormente. normas y guías. entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas. especialmente relacionada con sistemas basados en el uso de tecnología de información y comunicaciones.    Los controles directivos. 5. Como brillantemente lo expresa Fernando Gaziano (Deloitte Chile).3 Síntomas de riesgo. posibles estándares. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa. huelgas. Más tarde la radio y la transmisión de imágenes a través de la televisión habilitaron un gran número de técnicas y métodos que luego fueron muy importantes a lo que respecta a la comunicación. "los auditores y los astrónomos compartimos plenamente una idea: el universo se expande. funciones. Es aquí donde aparecen las señales de humo. destellos con espejos entre innumerables métodos de comunicación. Así como después del "big bang" un universo de planetas y estrellas comenzó y continúa expandiéndose. apoyar y controlar las nuevas y buenas prácticas. comenzó la comunicación hablada a través de un determinado lenguaje. los accesos no autorizados. Cada día es mayor la importancia de la información. Con el paso del tiempo y la evolución tecnológica. incendios. así como si existen sistemas y métodos de evaluación periódica de riesgos. la revelación de la información. la comunicación a distancia comenzó a ser cada vez más importante. aunque después se hayan ido ampliando los objetivos. objetivos de control. Posteriormente se desarrolló la técnica que dio origen al teléfono para la comunicación directa de la voz a larga distancia. etc. 5. que da origen a la información. corte de líneas o suministros.

etc. diseño. sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos. funcionales y organizacionales que componen la problemática de seguridad en las redes teleinformáticas. Tanto físicos como lógicos. Protección de datos. riesgos por agua. contenido en paquetes}. Introducción General a la Seguridad en Redes . Origen del dato. Ataques Planeación de la Seguridad . Intrusos . Cumplimiento de contratos. clientes. Evaluación de riesgos Se trata de identificar riesgos. 17 . Topología y tipo de comunicaciones. la entidad misma y el momento. El desarrollo de aplicaciones en un entorno seguro. proceso. visitas. así como el comercio electrónico. protección de los soportes magnéticos en cuanto a acceso. Internet e Intranet. contratados. Con el uso de licencias (de los programas utilizados). Protección de conversaciones de voz en caso necesario. almacenamiento y transporte. técnicas y herramientas más usuales para garantizar privacidad. situaciones de bloqueo. estructura. cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Análisis de riesgos . Planes de contingencia o de Continuidad. el marco legal aplicable. ilustrando las operaciones. variación. borrado y copia. por accidentes atmosféricos. transferirse o asumirse. Generalidades . Comunicaciones y redes.      portátiles (incluso fuera de las oficinas). Para evaluarlos hay que considerar el tipo de información almacenada.4 Técnicas y herramientas de auditoría relacionadas con la seguridad en la teleinformática. correo electrónico. proveedores. bolsos o carteras que se introducen o salen de los edificios. salida de los datos. Definiciones . Modelo OSI para arquitecturas de Seguridad . protección de transmisiones por fax para contenidos clasificados. Definición de políticas de seguridad . La continuidad de las operaciones. y que se incorporen controles en los productos desarrollados y que éstos resulten auditables. Introducir al estudiante en los aspectos técnicos. Implantación de la seguridad Servicios de Seguridad . Tipos de transacciones. control sobre páginas web. Amenazas . el sector de la entidad. Los riesgos pueden disminuirse (generalmente no pueden eliminarse). outsourcing. ejecución. El entorno de producción. la criticidad de las operaciones. 5. cifrado de las mismas. amenazas de fuego. construcción y distribución de edificios. y quedando las pistas necesarias para el control y la auditoría. Uso de contraseñas. autenticación y seguridad. cifrado con comunicaciones. que se realicen sólo las operaciones permitidas al usuario: lectura. procesada y transmitida. No se trata de áreas no relacionadas. la tecnología usada. Control de accesos adecuado. Modelo TCP/IP UNIDAD VI Informe de la auditoria informática. posible uso de cifrado. Análisis del sistema actual . protecciones ante virus.

(conceptos luego tratados). Características del informe de auditoría: 1. virus. Objetivos. como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”(1). 18 . otros. etc. 6. Muestra el alcance del trabajo. Hackers. Si bien algunos de los aspectos tratados a continuación se prevén. no. Así. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. así como de los recursos obtenidos y aplicados durante el ejercicio. que intentar acceder vía lógica a la misma. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo. 2.6. la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control. de la situación financiera y del resultado de sus operaciones. implementados para proteger el hardware y medios de almacenamiento de datos. sobre si éstas muestran la imagen fiel del patrimonio. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala. Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos. la seguridad de la misma será nula si no se ha previsto como combatir un incendio.1 Generalidades de la seguridad del área física.2 Características del informe. como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma. características y afirmaciones que contiene el informe de auditoría El informe de auditoría financiera tiene como objetivo expresar una opinión técnica de las cuentas anuales en los aspectos significativos o importantes. Es un documento mercantil o público.

En algunas oportunidades puede ocurrir que. constituye el mejor medio para que las organizaciones puedan apreciar la forma como están operando. así como Recomendaciones constructivos para superar las debilidades en cuanto a políticas. cumplimiento de actividades y otras. con esto queremos hacer resaltar el hecho de que. en todos los aspectos significativos. así como los resultados obtenidos. incluye información suficiente sobre Observaciones. Despertar o motivar interés. conclusiones y recomendaciones. de la situación financiera. Redacción del Informe La Redacción se efectuará en forma corriente a fin de que su contenido sea comprensible al lector. como una forma de contribuir al cumplimiento de sus metas y objetivos programados. Concluido el Trabajo de Campo. pero inadvertidamente puede estar falto de sustentación y fundamento adecuado. 4. la imagen fiel del patrimonio. Se realiza conforme a un marco legal. Se opina también sobre la concordancia de la información contable del informe de gestión con la contenida en las cuentas anuales. 6. el Informe debe comunicar información útil para promover la toma de decisiones. Asimismo. también. Contiene la opinión del auditor. En su caso. se pierde la oportunidad de hacer conocer a la empresa lo que realmente desea o necesita conocer para optimizar su administración. en este sentido el Informe debe: . procedimientos. La Redacción del Informe debe merecer mucha atención cuidado de parte del auditor para que tenga la acogida y aceptación que los empresarios esperan de él. de los resultados y de los recursos obtenidos y aplicados. El Informe a través de sus observaciones. evitando párrafos largos y complicados. Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido formuladas de acuerdo con la legislación vigente y. a pesar de que se haya emitido un voluminoso informe. Podemos sintetizar que el informe es una presentación pública. información sustancial sobre su proceso administrativo. en consecuencia su contenido puede ser pobre. si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad. porque suministra a la administración de la empresa. El informe contendrá el mensaje del Auditor sobre lo que ha hecho y como lo ha realizado. debido a un descuido en su preparación. Concepto Es el documento emitido por el Auditor como resultado final de su examen y/o evaluación.     19 . así como expresiones grandilocuentes y confusas. reviste gran Importancia. Principales afirmaciones que contiene el informe:   Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de auditoría. evitando en lo posible el uso de terminología muy especializada. resumida y por escrito del trabajo realizado por los auditores y de su opinión sobre las cuentas anuales. expresa si las cuentas anuales reflejan.3 Estructura del informe. Importancia El Informe de Auditoría. Conclusiones de hechos significativos. Lamentablemente esto no se logrará si el informe revela pobreza de expresión y no se aportan comentarios constructivos.3. el auditor tendrá como responsabilidad la confección del Informe de Auditoría como un producto final de este trabajo. explica las desviaciones que presentan los estados financieros con respecto a unos estándares preestablecidos.

lo que el Auditor ha escrito o pensó escribir. A veces lo que ocasiona la deficiencia de claridad y simplicidad del informe es precisamente la falta de claridad en los conceptos que el Auditor tiene en mente. relacione los resultados obtenidos durante la realización del proyecto. Evitará ser muy breve. • Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. estos deben numerarse y adjuntarse como anexos del informe (ver cuadro No. deben ser entregados a la Dirección de Investigación de la sede. Requisitos del informe Claridad y simplicidad. etc.4 Formato para el informe. Evitará el uso de un lenguaje técnico. CONTENIDO DEL INFORME TÉCNICO 1. no hay una cabal comprensión de lo que realmente quiere comunicar. memorias. puede dar lugar a una doble interpretación. y de fortalecimiento de la investigación y creación en la Sede Bogotá (máximo dos páginas). • El informe técnico final deberá presentarse en versión impresa y magnética (CD o disquete). florido o vago. certificaciones. familiares al lector. 1). asimismo cuando el Informe está falto de claridad.. los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones. patentes. Sinopsis divulgativa: Con el propósito de promover la divulgación de las actividades investigativas que adelanta la Sede Bogotá y para dar mayor difusión a los proyectos. • El informe debe contener un índice. es decir. normas. formación de recurso humano. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado. Centro o Instituto al que pertenece 3. para que el informe logre su objetivo de informar o comunicar al cliente. Evitará incluir mucho detalle. Además de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtención de los resultados esperados y de las actividades de investigación científica. La Claridad y Simplicidad. organización y/o participación en eventos científicos. • Los informes finales técnico y financiero. Convencer mediante información sencilla. de aporte para el desarrollo del país. de fortalecimiento de la capacidad científica. deben incluir un resumen de una cuartilla que servirá de base para la elaboración de notas académicas dirigidas a los medios de comunicación de la Universidad.. El formato para informes finales está enfocado a apoyar y facilitar el proceso de evaluación de los resultados de los proyectos financiados por la sede Bogotá. el Auditor: . Nombre del investigador principal y de la Facultad. 2. 6. Descripción del impacto actual o potencial de los resultados: En términos de generación de nuevo conocimiento a nivel mundial. Utilizará palabras simples. . Cada página del informe debe estar numerada. Título y código del proyecto 2. Centro o Instituto. Fecha de entrega del Informe 4. 6. Resumen técnico de los resultados obtenidos durante la realización del proyecto y de las principales conclusiones (máximo cinco páginas). En consecuencia. . registros. con respecto a los compromisos adquiridos en el proyecto aprobado. capacitación. es decir. • El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad. 7. de contribución a la solución de problemas específicos. 5. 20 . I. . ocasionando de este modo que. al finalizar el periodo de ejecución del proyecto. se torne inútil y pierda su utilidad. veraz y objetiva. escribirá en el idioma que el lector entiende. significan introducir sin mayor dificultad en la mente del lector del informe.

Sign up to vote on this title
UsefulNot useful