Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LIC. EN INFPRMATICA
ASIGNATURA:
AUDITORIA INFORMATICA
TRABAJO:
AUDITORIA INFORMATICA
CATEDRATICO:
ALUMNO:
30 NOVIEMBRE 2011
Pgina 1
AUDITORIA INFORMTICA
INDICE
Presentacin.1
Incide2
Introduccin3
1.- Introduccin a la Auditoria
1.1 Conceptos de auditoria y auditoria Informtica3
1.2 Tipos de auditoria.7
1.2.1 Auditoria interna y externa.7
1.3 Campo de la auditoria informtica..8
1.4 Control interno10
1.5 Modelos de control utilizados en auditoria informtica11
1.6 Principios aplicados a los auditores informticos..16
1.7 Responsabilidades de los administradores y del auditor.19
2 Planeacin de la auditoria Informtica.
2.1 Fases de la auditoria23
2.1.1 Planeacin...25
2.1.2 Revisin preliminar...25
2.1.3 Revisin detallada. 26
2.1.4 Examen y evaluacin de la informacin26
2.1.5 Pruebas de controles de usuario.27
2.1.6 Pruebas sustantivas.27
2.2 Evaluacin de los sistemas de acuerdo al riesgo28
2.3 Investigacin preliminar.34
2.4 Personal participante. 36
3 Auditoria de la funcin informtica.
3.1 Recopilacin de la informacin organizacional..38
3.2 Evaluacin de los recursos humanos43
3.3 Entrevistas con el personal de informtica......47
3.4 Situacin presupuestal y financiera50
3.4.1 Presupuestos50
3.4.2 Recursos financieros y materiales..51
4 Evaluacin de la seguridad.
4.1 Generalidades de la seguridad del rea fsica52
Pgina 2
AUDITORIA INFORMTICA
4.2 Seguridad lgica y confidencial. ..54
4.3 Seguridad personal. ..55
4.4 Clasificacin de los controles de seguridad. 55
4.5 Seguridad en los datos y software de aplicacin...57
4.6 Controles para evaluar software de aplicacin..59
4.7 Controles para prevenir crmenes y fraudes informticos..62
4.8 Plan de contingencia, seguros, procedimientos de recuperacin de
desastres...64
4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del
personal. 68
4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y
software de aplicacin. .69
5 Auditoria de la seguridad en la teleinformtica.
5.1 Generalidades de la seguridad en el rea de la teleinformtica70
5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica73
5.3 Sntomas de riesgo76
5.4 Tcnicas y herramientas de auditoria relacionadas con la seguridad en la
teleinformtica..80
6 Informe de la auditoria informtica.
6.1 Generalidades de la seguridad del rea fsica82
6.2 Caractersticas del informe. 85
6.3 Estructura del informe90
6.4 Formato para el informe. 106
Conclusin..111
Bibliografa.112
INTRODUCCION
Para dar un mejor servicio a la comunidad, nuestro pas desde los aos 60 ya
empez a utilizar las procesadoras para procesar informaciones En 1982, el Yuan
Legislativo empez a promover el uso del sistema informativo, construyendo redes
informativas entre la informtica industrial y su progreso, nominando al grupo de
trabajo " Grupo de promocin de la informtica", en casi todos los lugares,
empezando por instalacin de grupos de trabajos en el procesamiento de datos e
informaciones en las provincias, ciudades y otras reas, enfocando principalmente
en las reas financieras, medicas, sistema de seguro social, impuestos,
oportunidades de trabajo y otras informaciones para facilitar el trabajo del pblico.
El Ministerio de la Auditoria, llamado tambin La Oficina de la Auditoria (NAO), por
el cambio del ambiente de trabajo tradicional a la nueva de la informtica, en estos
aos de promover la Auditoria Informtica se han obtenido muy buenos resultados
dentro de esta rea, se han hecho planes, tcticas de trabajo y lo ms importante
procesar los resultados de las inspecciones de la auditoria para poder analizarlos
despus.
CONCEPTO DE AUDITORIA:
Pgina 4
AUDITORIA INFORMTICA
La auditora es el examen crtico y sistemtico que realiza una persona o grupo de
personas independientes del sistema auditado.
CONCEPTO DE INFORMTICA
es el campo que se encarga del estudio y aplicacin prctica de la tecnologa,
mtodos, tcnicas y herramientas relacionados con las computadoras y el manejo
de la informacin por medios electrnicos, el cual comprende las reas de la
tecnologa de informacin orientadas al buen uso y aprovechamiento de los
recursos computacionales para asegurar que la informacin de las organizaciones
fluya (entidades internas y externas de los negocios) de manera oportuna y veraz
Pgina 5
AUDITORIA INFORMTICA
Pgina 6
AUDITORIA INFORMTICA
Crdito.
Fiscales
LA AUDITORA INTERNA
LA AUDITORA EXTERNA
Pgina 7
AUDITORIA INFORMTICA
Puede actuar peridicamente como parte de su Plan Anual.
Los auditados conocen estos planes y se habitan a las Auditoras.
Las Recomendaciones habidas benefician su trabajo.
El auditor no tiene relacin con la empresa
Pgina 8
AUDITORIA INFORMTICA
Contabilidad.
Facturacin.
Control de existencias.
Pgina 9
AUDITORIA INFORMTICA
Los modelos de control interno COSO y COBIT son los dos modelos ms
difundidos en la actualidad.
Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
se centra en el entorno IT, contempla de forma especfica la seguridad de la
informacin como uno de sus objetivos, cosa que COSO no hace. Adems el
modelo de control interno que presenta COBIT es ms completo, dentro de su
mbito.
COBIT DEFINICIN
Es un marco de control interno de TI.
Parte de la premisa de que la TI requiere proporcionar informacin para
lograr los objetivos de la organizacin.
Promueve el enfoque y la propiedad de los procesos.
Apoya a la organizacin al proveer un marco que asegura que:
La Tecnologa de Informacin (TI) est alineada con la misin y visin.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
COBIT PRINCIPIOS
Pgina 11
AUDITORIA INFORMTICA
COBIT ESTRUCTURA
Pgina 12
AUDITORIA INFORMTICA
Pgina 13
AUDITORIA INFORMTICA
PRINCIPIO DE CALIDAD
En el auditor deber prestar sus servicios conforme las posibilidades de la
ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin
de dichos medios y en unas condiciones tcnicas adecuadas para el idneo
cumplimiento de su labor.
PRINCIPIO DE CONFIANZA
El auditor deber facilitar e incrementar la confianza del auditor en base a
una actuacin de transparencia en su actividad profesional sin alardes
cientficos-tcnicos.
PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la realizacin de la auditora
encomendada, maximice teniendo en cuenta que, a los auditados en algunos
Pgina 14
AUDITORIA INFORMTICA
casos les puede ser extremadamente difcil verificar sus recomendaciones y
evaluar correctamente la precisin de las mismas.
PRINCIPIO DE DISCRECIN
El auditor deber en todo momento mantener una cierta discrecin en la
divulgacin de datos, aparentemente inocuos, que se le hayan puesto de
manifiesto durante la ejecucin de la auditoria.
PRINCIPIO DE ECONOMA
Pgina 15
AUDITORIA INFORMTICA
Este principio impone a los auditores el deber y la responsabilidad de mantener
una permanente actualizacin de sus conocimientos y mtodos a fin de
adecuarlos a las necesidades de la demanda y a las exigencias de la competencia
de la oferta.
PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN
PRINCIPIO DE INDEPENDENCIA
Esta relacionado con el principio de criterio propio, obliga al auditor, tanto si acta
como profesional externo o con dependencia laboral respecto a la empresa en la
que deba realizar la auditoria informtica, a exigir una total autonoma e
independencia en su trabajo.
PRINCIPIO DE LEGALIDAD
Pgina 16
AUDITORIA INFORMTICA
La primaca de esta obligacin exige del auditor un comportamiento activo de
oposicin a todo intento, por parte del auditado o de terceras personas,
tendente a infringir cualquier precepto integrado en el derecho positivo.
PRINCIPIO DE NO DISCRIMINACIN
PRINCIPIO DE NO INJERENCIA
PRINCIPIO DE PRECISIN
PRINCIPIO DE RESPONSABILIDAD
Pgina 17
AUDITORIA INFORMTICA
La confidencia y confianza entre el auditor y el auditado e imponen al primero la
obligacin de guardar en secreto los hechos e informaciones que conozca en el
ejercicio de su actividad profesional.
PRINCIPIO DE VERACIDAD
El Auditor en sus comunicaciones con el auditado deber tener siempre presente
la obligacin de asegurar la veracidad de sus manifestaciones con los limites
impuestos por los deberes de respeto, correccin, y secreto profesional.
El auditor informtico debe ser una persona con un alto grado de calificacin
tcnica y al mismo tiempo estar integrado a las corrientes organizativas
empresariales. Es responsable de realizar las siguientes actividades:
Verificacin del control interno tanto de las aplicaciones como de los SI,
perifricos, etc.
Anlisis de la administracin de Sistemas de Informacin, desde un punto de
vista de riesgo de seguridad, administracin y efectividad de la administracin.
Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del
anlisis de aplicaciones.
Auditora del riesgo operativo de los circuitos de informacin
Anlisis de la administracin de los riesgos de la informacin y de la seguridad
implcita.
Verificacin del nivel de continuidad de las operaciones.
Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las
consecuencias empresariales que un desfase tecnolgico puede acarrear.
Pgina 18
AUDITORIA INFORMTICA
La funcin de la auditora informtica se hconvertido en una funcin que desarrolla
un trabajo ms acorde con la importancia que para las organizaciones tienen los
SI, que son su objeto de estudio y anlisis. El auditor informtico pasa a ser
auditor y consultor de empresas en materias de:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologas de Informacin
Continuidad de operaciones
Administracin de riesgos
Debe ser un grupo independiente del de auditora interna, con acceso total a los
SI y dems tecnologa, que depende de la misma persona que la auditora
interna (Director General o Consejero).
Los recursos humanos con los que debe contar el departamento debe ser una
mezcla equilibrada de personas con formacin en auditora y organizacin y con
perfil informtico (especialidades).
Pgina 19
AUDITORIA INFORMTICA
Para hacer una adecuada planeacin de la auditora en informtica hay que seguir
una serie de pasos previos que permitirn dimensionar el tamao y caractersticas
del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con
ello podremos determinar el nmero y caractersticas del personal de auditora, las
herramientas necesarias, el tiempo y costo, as como definir los alcances de la
auditora para, en caso necesario, poder elaborar el contrato de servicios.
2.1.1. PLANEACIN
La planeacin de la auditora
1. Planeacin (Cont.)
Pgina 21
AUDITORIA INFORMTICA
Realizar una revisin detallada de los controles internos de los sistemas con la
esperanza de que se deposite la confianza en los controles de los sistemas y de
que una serie de pruebas sustantivas puedan reducir las consecuencias.
Decidir el no confiar en los controles internos del sistema. Existen dos razones
posibles para esta decisin. Primero, puede ser ms eficiente desde el punto de
vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los
controles del rea de informtica pueden duplicar los controles existentes en el
rea del usuario.
Pgina 22
AUDITORIA INFORMTICA
stas. Al terminar la revisin detallada el auditor debe evaluar en qu momento los
controles establecidos reduce las prdidas esperadas a un nivel aceptable. Los
mtodos de obtencin de informacin al momento de la evaluacin detallada son
los mismos usados en la investigacin preliminar,
deben apoyar las bases de los hallazgos de auditora y las recomendaciones que
se harn.
Pgina 23
AUDITORIA INFORMTICA
Los auditores debern reportar los resultados del trabajo de auditora: El auditor
deber discutir las conclusiones y recomendaciones en los niveles apropiados de
la administracin antes de emitir su informe final. Los informes debern ser
objetivos, claros, concisos, constructivos y oportunos. Los informes presentarn el
propsito, alcance y resultados de la auditora y, cuando se considere apropiado,
contendrn la opinin del auditor.
Pgina 24
AUDITORIA INFORMTICA
Pruebas para confirmar la adecuada comunicacin.
Uso de la Computadora
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los
accesos a las computadoras de acuerdo a:
Pgina 25
AUDITORIA INFORMTICA
PERSONAL
Pgina 26
AUDITORIA INFORMTICA
Se debe observar este punto con mucho cuidado, ya que hablamos de las
personas que estn ligadas al sistema de informacin de forma directa y se
deber contemplar principalmente:
MEDIOS DE CONTROL
Pgina 27
AUDITORIA INFORMTICA
INSTALACIONES
Pgina 28
AUDITORIA INFORMTICA
Hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los sistemas de seguridad incluyendo datos y archivos
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas (simulacin)
Planificacin de equipos de contingencia con carcter peridico
Control de desechos de los nodos importantes del sistema:
Poltica de destruccin de basura copias, fotocopias, etc.
Consideracin de las normas ISO 14000
Etapas para Implementar un Sistema de Seguridad
Pgina 29
AUDITORIA INFORMTICA
Debe contemplar reas de uso exclusivo
Debe proteger y conservar los activos de desastres provocados por la
mano del hombre y los actos abiertamente hostiles
Debe asegurar la capacidad de la organizacin para sobrevivir accidentes
Debe proteger a los empleados contra tentaciones o sospechas
innecesarias
Debe contemplar la administracin contra acusaciones por imprudencia
* Administracin
* Sistemas
ADMINISTRACIN
Pgina 30
AUDITORIA INFORMTICA
Se recopila la informacin para obtener una visin general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del
rea de informtica
Pgina 31
AUDITORIA INFORMTICA
SISTEMAS
Descripcin general de los sistemas instalados y de los que estn por instalarse
que contengan volmenes de informacin.
* Manual de formas.
* Manual de procedimientos de los sistemas.
* Descripcin genrica.
* Diagramas de entrada, archivos, salida.
* Salidas.
* Fecha de instalacin de los sistemas.
* Proyecto de instalacin de nuevos sistemas.
* En el momento de hacer la planeacin de la auditora o bien su realizacin,
debemos evaluar que pueden presentarse las siguientes situaciones.
* No tiene y se necesita
* No se tiene y no se necesita.
* Se tiene la informacin pero:
* No se usa.
* Es incompleta.
* No esta actualizada.
* No es la adecuada.
Pgina 32
AUDITORIA INFORMTICA
2.4.-PERSONAL PARTICIPANTE
Pgina 33
AUDITORIA INFORMTICA
personas del rea a auditar, ser casi imposible obtener informacin en el
momento y con las caractersticas deseadas.
Tambin se deben contar con personas asignadas por los usuarios para que en el
momento que se solicite informacin, o bien se efecte alguna entrevista de
comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y
complementen el grupo multidisciplinario, ya que debemos analizar no slo el
punto de vista de la direccin de informtica, sino tambin el del usuario del
sistema.
Lo anterior no significa que una sola persona deba tener los conocimientos y
experiencias sealadas, pero si que deben intervenir una o varias personas con
las caractersticas apuntadas.
Pgina 34
AUDITORIA INFORMTICA
La carta convenio es un compromiso que el auditor dirige a su cliente para su
confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la
auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad
y los informes que se han de entregar.
A) Estructura Orgnica
B) Se deber revisar la situacin de los recursos humanos.
C) Entrevistas con el personal de procesos electrnicos.
D) Se deber conocer la situacin presupuestal y financiera.
E) Se har un levantamiento del censo de recursos humanos y anlisis de
situacin.
F) Por ltimo, se deber revisar el grado de cumplimiento de los
documentos administrativos.
Pgina 35
AUDITORIA INFORMTICA
A) Estructura Orgnica
Jerarquas (Definicin de la autoridad lineal, funcional y de asesora)
Estructura orgnica
Funciones
Objetivos
Pgina 36
AUDITORIA INFORMTICA
Pgina 37
AUDITORIA INFORMTICA
E) Se har un levantamiento del censo de recursos humanos y anlisis
de situacin en cuanto a:
Pgina 38
AUDITORIA INFORMTICA
Si el control organizacional es el adecuado
Si se tienen los objetivos y polticas adecuadas, se encuentran vigentes y estn
bien definidas
Pgina 39
AUDITORIA INFORMTICA
Las organizaciones suelen realizar una valoracin del rendimiento con fines
administrativos y de desarrollo. Segn Gmez-Meja, Balkin & Cardy la valoracin
del rendimiento se utiliza administrativamente como punto de partida para tomar
decisiones sobre las condiciones laborales de un empleado, considerando las
promociones, los despidos y las recompensas.
Para poder identificar los puntos que van a ser evaluados dentro de una
organizacin, es necesario conocer cul es la situacin general de la empresa,
definir la poltica, establecer objetivos y obtener informacin sobre las
evaluaciones previas y sus resultados.
Por otro lado para obtener un diagnstico de las situaciones de las empresas con
relacin a su desempeo, se pueden hacer entrevistas, cuestionarios, informes,
documentacin escrita y programas de accin.
Pgina 40
AUDITORIA INFORMTICA
La evaluacin se hace por una razn. La enciclopedia mediana y pequea
empresa enfatiza una serie de objetivos sobre la evaluacin, como:
Gmez-Meja, Balkin & Cardy sugieren que se pueden establecer segn dos
modelos:
Pgina 41
AUDITORIA INFORMTICA
4. Listados de caractersticas: Se confecciona una lista con las caractersticas y
los objetivos de cada puesto de trabajo y grado de ejecucin de los empleados.
5. Evaluacin abierta: Consiste dejar abierto el campo de los aspectos que se
deben evaluar.
6. Evaluacin del personal jerrquico: Puede hacerse de manera directa, a travs
de un protocolo de preguntas que los empleados contestarn.
7. Autovaloracin: Puede ser estructurada o abierta. En el primer caso se pasar
un protocolo que el empleado deber cumplimentar, mientras que en el segundo
caso ste tendr que exponer cules son a su parecer sus logros y cules son sus
puntos dbiles.
8. Evaluacin entre reas: Cada miembro de los sectores dentro de una
organizacin evaluar a los empleados del otro departamento.
Pgina 42
AUDITORIA INFORMTICA
Pgina 43
AUDITORIA INFORMTICA
Puede entrevistarse a un grupo de personas elegidas, sus opiniones deben ser
debidamente fundamentadas.
Gua de entrevista
1.-Nombre del puesto
Ingeniero en sistemas
2.-Puesto del jefe inmediato
Directora
3.-puestos a que reporta
Directora del plantel
4.-Puestos de las personas que reportan al entrevistado
Docentes de la institucin.
5.-Numero de personas que reportan al entrevistado
5 personas
6.-Describa brevemente las actividades diarias de su puesto
Atender a los alumnos en diversas actividades en el laboratorio como son :
impresiones, investigacin, practicas , tres das de la semana clase a alumnos de
primeros semestre, un da de la semana exclusivo para mantenimiento de equipo
(hardware, software)
7.-Actividas peridicas
__Mantenimiento de equipo
__Limpieza y orden
__Revisin de inventario
Pgina 44
AUDITORIA INFORMTICA
8.-Actividades eventuales
Capacitacin a docentes y alumnos (Inicio de semestre)
Exmenes en lnea
Registro de calificaciones (Docentes)
Consulta de calificaciones (Alumnos)
9.-Con que manuales cuenta para el desempeo de su puesto?
__Manual de organizacin
__Manual de mantenimiento de hardware
__Instructivo de equipos
10.-Cules polticas se tienen establecidas para el puesto?
Tener el perfil para las actividades a realizar en el laboratorio.
Lic. en informtica
Ing. En sistemas
11.-Seale las lagunas que considere que hay en la organizacin.
La insistencia en una gestin de equipo de computo para cubrir las necesidades
de la institucin.
12.-En caso de que el entrevistado mencione cargas de trabajo Como las
establece?
Cargas de trabajo se dan en periodos de examen y fin de semestre. (uso
frecuente de laboratorio para investigacin y practica).
13.-Cmo las controla?
Haciendo horarios para cada grupo en los cuales se establece tiempo de
impresin, investigacin y practica, pidiendo apoyo a alumnos de servicio social.
14.-Como se deciden las polticas que han que implementarse?
Estas polticas se deciden de acuerdo a la reforma y alas necesidades que se
presenten lo establece direccin general, direccin administrativa y direccin
acadmica de colegio de bachilleres del estado de Tlaxcala.
15.-como recibe las instrucciones de los trabajos recomendados?
En reunin de academia se toman acuerdos y posteriormente el jefe de
materia (rea comunicaciones) gira un oficio anexando un cronograma de
Pgina 45
AUDITORIA INFORMTICA
actividades y tiempo limite. Estas reuniones se realizan en receso de semestre
con el fin de que la informacin sea actualizada.
16.-Con que frecuencia recibe capacitacin y de que tipo?
La capacitacin se realiza en receso de semestre tomando como base la
planeacin para nuevo ingreso,. esta capacitacin mas que nada es para
establecer forma de trabajo, actualizar informacin por medio de cursos o talleres,
de acuerdo a las asignaturas.
17.-Sobre que tema le gustara recibir capacitacin?
Sobre como administrar un laboratorio de informtica.
18.-Mencione la capacitacin obtenida y dada a su personal durante el ltimo ao.
En la actualidad lo que se pretende es apegarse a los lineamientos que
establece la RIEMS (Reforma integral del la educacin media superior).
19.-Cmo considera el ambiente de trabajo?
Lo considero bueno y satisfactorio.
Aunque existen necesidades en esta rea de trabajo pero se puede improvisar.
20.-Observaciones.
Al realizar la entrevista la relacin fue de confianza y cordialidad esto nos
permiti obtener una informacin mas real.
Pgina 46
AUDITORIA INFORMTICA
La auditora presupuestaria tiene como objetivo analizar la forma de clculo de las
cifras, as como verificar que tengan relacin con las circunstancias, supuestos o
hiptesis bajo las cuales fueron determinadas.
Lo anterior para otorgar una opinin profesional sobre la certeza de las cifras
presupuestadas en el caso de darse los supuestos bajo los cuales fueron
estimadas o proyectadas.
3.4.1.- PRESUPUESTOS.
Recursos financieros
Recursos Financieros
Pgina 48
AUDITORIA INFORMTICA
La administracin financiera consiste en:
Proteger los activos ante desastres provocados por la mano del hombre y de
actos hostiles
Contar con los seguros necesarios que cubran las prdidas econmicas encaso
de desastre. Los motivos de los delitos por computadora normalmente son por:
Beneficio personal
Pgina 49
AUDITORIA INFORMTICA
Sndrome de Robn Hood (por beneficiar a otra persona)
Fcil de desfalcar
Equivocacin de ego
Mentalidad turbada Se consideran que hay cinco factores que han permitido el
incremento de los crmenes por computadora
.Se encarga de los controles de acceso que estn diseados para salvaguardar la
integridad de la informacin almacenada de una computadora, as como controlar
el mal uso de su informacin. Estos controles reducen el riesgo de caer en
situaciones adversas. seguridad lgica se encarga de controlar y salvaguardar la
informacin generada por los sistemas, por el software de desarrollo y por los
Pgina 50
AUDITORIA INFORMTICA
programas en aplicacin; identifica individualmente a cada usuario y sus
actividades en el sistema, y restringe el acceso a datos, a los programas de uso
general, de uso especifico, e la redes y terminales. La falta de seguridad lgica o
su violacin puede traer las siguientes consecuencias a la organizacin:
Entrada de virus
Elementos administrativos
Pgina 51
AUDITORIA INFORMTICA
Propietario.- Es el dueo de la informacin y responsable de sta, y puede
realizar cualquier funcin:
Patrones de la retina
Geometra de la mano
Dinmica de la firma
Patrones de la voz
Ruta de acceso
Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema. Como
se ha sealado, un usuario puede pasar por uno o mltiples niveles de seguridad
antes de obtener el acceso a los programas y datos. Los tipos derestricciones de
acceso son:
Slo de lectura
Pgina 53
AUDITORIA INFORMTICA
Slo de escritura
Lectura y consulta
Este puede ser definido como el software diseado para emitir el manejo de
control y acceso a los siguientes recursos.
Programas de libreras
Archivos de datos
Jobs
Programas de aplicacin
Mdulos de funciones
Utileras
Diccionario de datos
Archivos
Programas
Comunicacin
Definicin de usuarios
Existen otros tipos de software de control de acceso como son los siguientes:
Sistemas operativos
Telecomunicaciones
Aplican para todos los tipos de software y recursos relacionados y sirven para:
Pgina 55
AUDITORIA INFORMTICA
Controles de acceso a programas y datos
Cambios realizados
Asignacin de responsabilidades
Se presentan algunos de los controles usados por los diferentes tipos de software
especfico:
Pgina 56
AUDITORIA INFORMTICA
Los password e identificadores debern ser confidenciales
Los administradores de seguridad debern ser los nicos con autoridad para
modificar funciones del sistema
El acceso a los archivos de datos deber ser restringido en una vista de datos
lgica
Software de libreras.
Pgina 57
AUDITORIA INFORMTICA
Software de utileras.
Pgina 58
AUDITORIA INFORMTICA
Controles que incluye:
Debern restringirse el acceso a archivos de utileras
Asegurar que nicamente personal autorizado tenga acceso a corre
aplicaciones
Software de telecomunicaciones.
Controles que incluye:
Controles de acceso a datos sensibles y recursos de la red
El acceso diario al sistema debe ser monitoreado y protegido
PLAN DE CONTINGENCIAS
El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la
organizacin de requerimientos para su recuperacin ante desastres. La
metodologa tiene como finalidad conducir de la manera ms efectiva un plan de
recuperacin ante una contingencia sufrida por la organizacin. El plan de
contingencia es definido como: la identificacin y proteccin de los procesos
crticos de la organizacin y los recursos requeridos para mantener un aceptable
nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando
procedimientos para asegurar la sobrevivencia de la organizacin encaso de
desastre.
Pgina 61
AUDITORIA INFORMTICA
Los centros de cmputo no deben colocarse en stanos o en reas de planta baja,
sino de preferencia en las partes altas de una estructura de varios pisos aunque
hay que cuidar que en zonas ssmicas no queden en lugares donde o peso
ocasionado por equipos o papel pueda provocar problemas. Se debe evaluar la
mejor opcin, dependiendo de la seguridad de acceso al centro de cmputo,
cuando en la zona existen problemas de inundaciones o son ssmicas. En caso de
ser zona de inundaciones o con problemas de drenaje la mejor opcin es colocar
el centro de cmputo en reas donde el riesgo de inundacin no sea evidente.
Algunas causas de esto pueden ser la ruptura de caeras o el bloqueo del
drenaje, por lo tanto, la ubicacin de las caeras en un centro de cmputo es una
decisin importante, as como considerar el nivel del manto fretico. Debe
considerarse el riesgo que representa el drenaje cuando el centro de cmputo se
localiza en un stano. Deben instalarse, si es el caso, detectores de agua o
inundacin, as como bombas de emergencia para resolver inundaciones
inesperadas. Otro de los cuidados que se deben tener para evitar daos por agua
es poseer aspersores contra incendio especiales que no sean de agua.
Pgina 62
AUDITORIA INFORMTICA
Puerta electrnica. El sistema ms comn es el que usa una tarjeta de plstico
magntica como llave de entrada.
Puertas sensoriales. Son activadas por los propios individuos con alguna parte
de su cuerpo, como puede ser la huella dactilar, voz, retina, geometra de la mano
o bien por la firma.
Registros de entrada. Todos los visitantes deben firmar el registro de visitantes
indicando su nombre, su compaa, la razn para la visita, la persona a la que
visita.
Videocmaras. stas deben ser colocadas en puntos estratgicos para que se
pueda monitorear el centro
Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser
acompaados por un empleado responsable.
Puertas dobles. Este equipo es recomendable para lugares de alta seguridad: se
trata de dos puertas, donde la segunda slo se pueda abrir cuando la primera est
cerrada.
Alarmas. Todas las reas deben estar protegidas contra robo o accesos fsicos
no autorizados. Las alarmas contra robo deben ser usadas hasta donde sea
posible en forma discreta, de manera que no se atraiga la atencin hacia este
dispositivo de alta seguridad
Seguros
Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino,
aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que
entraa la computacin, ya que en ocasiones el riesgo no es claro para las
compaas de seguros, debido a lo nuevo de la herramienta, a la poca experiencia
existente sobre desastres y al rpido avance de la tecnologa. Como ejemplo de lo
anterior tenemos las plizas de seguros contra desastres, ya que algunos
conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual
hace que se duplique el seguro, o bien que sobrevengan desastres que no son
normales en cualquier otro tipo de ambiente. El seguro debe cubrir todo el equipo
y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el
equipo con las diferentes caractersticas (existe equipo que puede ser
Pgina 63
AUDITORIA INFORMTICA
transportado, como computadoras personales, y otras que no se pueden mover,
como unidades de disco duro), por lo que tal vez convenga tener dos o ms
plizas por separado, cada una con las especificaciones necesarias. Como
ejemplo y en forma genrica, por lo comn un seguro de equipo de cmputo
considera lo siguiente:
Pgina 65
AUDITORIA INFORMTICA
La operacin y seguridad del software.
La administracin del software.
Detectar el grado de confiabilidad:
Grado de confianza, satisfaccin y desempeo.
Investigar si existen polticas con relacin al software.
Detectar si existen controles de seguridad.
Introduccin
Pgina 66
AUDITORIA INFORMTICA
La informtica ha facilitado este hecho, pero sucede, cada vez ms, que la
informacin que se obtiene o produce en un lugar, se precisa en otro lugar distinto,
a veces muy lejano.
En la actualidad tiene una gran trascendencia tanto tcnica como social, lo que se
denomina teleinformtica: la unin de la informtica y las telecomunicaciones.
Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso
de expresiones y conceptos relacionados con la teleinformtica.
Pgina 67
AUDITORIA INFORMTICA
Con la introduccin de las computadoras la necesidad de herramientas
automatizadas para la proteccin de archivos y otra informacin almacenada fue
evidente, especialmente en el caso de sistemas compartidos por ejemplo sistemas
que pueden ser accesados va telefnica o redes de informacin.
Pgina 68
AUDITORIA INFORMTICA
Integridad La informacin debe ser consistente, fiable y no propensa a
alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificacin
no autorizada de saldos en un sistema bancario o de calificaciones en un sistema
escolar.
Por tanto, el primer punto de una auditora es determinar que la funcin de gestin
de redes y comunicaciones est claramente definida, debiendo ser responsable,
en general, de las siguientes reas
Pgina 69
AUDITORIA INFORMTICA
Revisin de costos y su asignacin de proveedores y servicios de
transporte, balanceo de trfico entre rutas y seleccin de equipamiento.
En una primera divisin, se establecen distintos riesgos para los datos que
circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de
auditarse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y
han o estudiadas las vulnerabilidades existentes.
En general, muchas veces se parte del supuesto de que si no existe acceso fsico
desde el exterior ala red interna de una empresa las comunicaciones internas
quedan a salvo.
Pgina 70
AUDITORIA INFORMTICA
Slo personas con responsabilidad y conocimientos estn incluidas en la
lista de personas permanentemente autorizadas para entrar en las salas
de equipos de comunicaciones.
Facilidades de traza y registro del trfico de datos que posean los equipos
de monitorizacin.
Las lneas telefnicas usadas para datos, cuyos nmeros no deben ser
pblicos, tienen dispositivos/procedimientos de seguridad tales como retro-
llamada, cdigos de conexin o interruptores para impedir accesos no
autorizados al sistema informtico.
Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro
equipo, de manera que sea la red de comunicaciones el substrato comn que les
Pgina 71
AUDITORIA INFORMTICA
une. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar
indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y
por tanto, al resto de los equipos de la instalacin.
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que
se dan, son las races de la incertidumbre y el riesgo que las organizaciones
confrontan.
PREVISIN DE RIESGOS
Pgina 72
AUDITORIA INFORMTICA
Tener en cuenta lo siguiente:
La evaluacin de los riesgos inherentes a los diferentes subprocesos de la
Auditora.
EJECUCIN DE AUDITORAS
TIPOS DE RIESGO:
Riesgo de Control: Es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control
Interno.
Riesgo de Deteccin: Es aquel que se asume por parte de los auditores que en su
revisin no detecten deficiencias en el Sistema de Control Interno.
b) Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotacin.
VERIFICAR FUNCIONES
Pgina 73
AUDITORIA INFORMTICA
Aspectos:
OBJETIVOS
Pgina 74
AUDITORIA INFORMTICA
5. Alcanzar el crecimiento a travs del desarrollo estratgico que busque la
innovacin y nuevas opciones a medio y largo plazo.
NIVELES
a) todas las Unidades de Negocio y reas de actividad.
b) todos los niveles de responsabilidad
c) todos los tipos de operaciones.
GESTIN DE RIESGOS
Servicios de Auditora.
OBJETIVOS
GESTIN DE RIESGOS
Pgina 75
AUDITORIA INFORMTICA
Servicios de Consultora.
Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de
los trabajos de Consultora en los procesos de identificacin, anlisis y evaluacin
de las exposiciones de riesgo significativa en la organizacin.
Teleinformtica
La ciencia que estudia el conjunto de tcnicas que es necesario usar para
poder transmitir datos dentro de un sistema informtico o entre puntos de l
situados en lugares remotos o usando redes de telecomunicaciones
Objetivos
Reducir tiempo y esfuerzo.
Capturar datos en su propia fuente.
Centralizar el control.
Aumentar la velocidad de entrega de la informacin.
Reducir costos de operacin y de captura de datos.
Pgina 76
AUDITORIA INFORMTICA
Aumentar la capacidad de las organizaciones, a un costo incremental
razonable.
Aumentar la calidad y la cantidad de la informacin.
Mejorar el sistema administrativo
Niveles: fsico
Enlace de datos
Red
Transporte
Sesin
Presentacin
Aplicacin.
Redes de rea local
Red Internet y su protocolo TCP/IP
Programas de Comunicacin y Gestin de Red.
Utilizando Tcnicas teleinformticas:
EVALUACIN DE RIESGOS
Pgina 78
AUDITORIA INFORMTICA
robos, atentados, desastres naturales, y cualesquiera otros agentes que atenten
directamente contra su integridad fsica.
Son muchos los agentes que pueden acabar con la buena salud de nuestro
hardware (una sobrecarga de tensin, un pequeo accidente) o incluso hacerlo
desaparecer (un robo, un incendio).
Adems existe otra serie de agentes que pueden tener origen humano y que
tambin tienen la capacidad deteriorar seriamente o destruir la funcionalidad de
nuestros equipos, como las sobrecargas de tensin, los campos
electromagnticos fuertes o los movimientos bruscos.
Por ltimo, los desastres como el fuego, las inundaciones, las explosiones o los
terremotos tienen para los ordenadores las mismas consecuencias devastadoras
que para la generalidad de los equipos elctricos y electrnicos. En el caso del
agua, a los daos que pueden sufrir los equipos hay que aadir el riesgo de
electrocucin para el personal que los manipula.
Pgina 79
AUDITORIA INFORMTICA
Por ello es absolutamente necesario que el primer paso a dar para asegurar
fsicamente nuestras instalaciones sea formular un plan escrito de las
necesidades de seguridad fsica y de las medidas destinadas a cubrirlas en el
futuro.
Este plan debe incluir los siguientes elementos:
Descripcin de los dispositivos fsicos a proteger, incluyendo
ordenadores,
perifricos, cables, conexiones, soportes de datos, etc.
Descripcin del rea fsica en el que estn localizados esos dispositivos.
Descripcin del permetro de seguridad y de sus posibles agujeros.
Pgina 80
AUDITORIA INFORMTICA
Descripcin de las amenazas contra las que nos queremos proteger, incluyendo
una
estimacin de su probabilidad.
Descripcin de nuestras defensas.
Enumeracin de los medios para mejorarlas.
Estimacin del coste de las mejoras.
3. Cuerpo expositivo
Pgina 81
AUDITORIA INFORMTICA
c) Puntos dbiles y amenazas. Debern explicarse por s mismos, sin referencias
a otros lugrares del informe.
Pgina 82
AUDITORIA INFORMTICA
4. La recomendacin del auditor sobre el hecho en cuestin ha de mantener o
mejorar las Normas y estndares existentes en la instalacin.
1.Hecho encontrado
Deber ser concreta y exacta en el tiempo, para que pueda ser seguida y
verificada su implementacin.
As como pueden existir tantas copias del Informe Final como solicite el cliente,
siempre que ste especifique los nombres de los destinatarios, la Auditora no
har copias de la citada Carta de Introduccin.
Pgina 84
AUDITORIA INFORMTICA
La misma, poseer los siguientes atributos:
Prrafos: En cada prrafo debe tratarse un solo asunto. Cada prrafo debe tener 8
10 lneas como mximo. Cuando exceda de esta cantidad, se dividir en dos.
Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por
el verbo. Por ello, cada frase contendr un verbo, dos como mximo.
No deben cambiarse verbos por nombres. No se debe escribir "... hemos realizado
un examen..."; hay que escribir "... hemos examinado...".
Otros:
Pgina 85
AUDITORIA INFORMTICA
- Utilizar lenguaje sobrio normal, no excesivamente culto. Se permiten anglicismos
y palabras tcnicas muy conocidas.
INFORME DE AUDITORA
El informe es el documento escrito mediante el cual la comisin de auditora
expone el resultado final de su trabajo, a travs de juicios fundamentados en las
evidencias obtenidas durante la fase de ejecucin, con la finalidad de brindar
suficiente informacin a los funcionarios de la entidad auditada y estamentos
pertinentes, sobre las deficiencias o desviaciones ms significativas, e incluir las
recomendaciones que permitan promover mejoras en la conduccin de las
actividades operaciones del rea o reas examinadas.
Pgina 86
AUDITORIA INFORMTICA
La comisin auditora deber adecuarse a los plazos estipulados en el programa
correspondiente, a fin que el informe pueda emitirse en el tiempo previsto,
permitiendo que la informacin en l revelada sea utilizada oportunamente por el
Titular de la entidad y/o autoridades de los niveles apropiados del Estado.
El informe debe ser oportuno a fin de que sea til por la entidad, siendo necesario
el estricto cumplimiento de las fechas programadas para las distintas fases de la
accin de control.
Pgina 87
AUDITORIA INFORMTICA
. INTRODUCCIN.
Comprender informacin general concerniente a la accin de control y a la
entidad examinada.
1. Origen del Examen
Referido a los antecedentes o razones que motivaron la accin de control,
es el caso de: planes anuales de control, denuncias, solicitudes (del titular de la
entidad, de la CGR, del Congreso, etc.), entre otros; debiendo hacerse mencin al
documento y fecha de acreditacin.
Pgina 88
AUDITORIA INFORMTICA
Asimismo, de considerarlo pertinente la comisin auditora revelar las
limitaciones de informacin u otras relativas al alcance del examen que se
hubieran presentado y afectado el proceso de la accin de control, as como las
modificaciones efectuadas al enfoque o curso de la misma como consecuencia de
dichas limitaciones.
5. Comunicacin de hallazgos
Se deber indicar haberse dado cumplimiento a la comunicacin oportuna
de los hallazgos efectuada al personal que labora o haya laborado en la entidad
comprendido en ellos. Asimismo, se indicar la inclusin de un Anexo en el
Informe con la relacin del personal al servicio de la entidad examinada,
finalmente considerado en las observaciones contenidas en el mismo,
consignndose en dicha nmina los nombres y apellidos, documento de identidad,
cargo(s) desempeado(s), periodo(s) de gestin, condicin laboral y domicilio
correspondientes, con indicacin de aquellas en que estuvieren incursos en cada
caso.
6. Memorndum de Control Interno
Pgina 89
AUDITORIA INFORMTICA
de las acciones correctivas que en virtud del mismo se hayan adoptado, se deber
adjuntar como Anexo del Informe.
. Otros aspectos de importancia
Se revelar aquella informacin que la comisin auditora basada en su opinin
profesional competente, considere de importancia o significacin, para fines del
Informe, dar a conocer hechos, acciones o circunstancias que por su naturaleza e
implicancias, tengan relacin con la situacin evidenciada en la entidad o los
objetivos de la accin de control y, cuya revelacin permita mostrar la objetividad e
imparcialidad del trabajo desarrollado por la comisin, tales como:
a) El reconocimiento de las dificultades o limitaciones, de carcter
excepcional, en las que se desenvolvi la gestin realizada por los responsables
de la entidad o rea examinada.
b) El reconocimiento de logros significativos alcanzados durante la gestin
examinada.
c) La adopcin de correctivos por la propia administracin, durante la
ejecucin de la accin de control, que hayan permitido superar hechos
observables.
d) Informar de aquellos asuntos importantes que requieran un trabajo
adicional, siempre que no se encuentren directamente comprendidos en los
objetivos de la accin de control.
e) Eventos posteriores a la ejecucin del trabajo de campo que hayan sido de
conocimiento de la comisin auditora y que afecten o modifiquen el
funcionamiento de la entidad o de las reas examinadas.
Si algunos de los aspectos considerados en este punto por la comisin auditora
demandara una exposicin o desarrollo extenso, ser incluido como anexo del
Informe. Dichos aspectos, podrn lugar a la formulacin de conclusiones y
recomendaciones, si hubiera mrito para ello.
II. OBSERVACIONES
III. La Comisin Auditora desarrollar las observaciones que, como
consecuencia del trabajo de campo y la aplicacin de procedimientos,
Pgina 90
AUDITORIA INFORMTICA
hayan sido determinadas como tales, una vez concluido el proceso de
evaluacin y contrastacin de los hallazgos comunicados con los
comentarios y/o aclaraciones formulados por el personal comprendido en
los mismos, as como la documentacin y evidencia sustentatoria
respectiva.
IV. Las observaciones se debern referir a hechos o situaciones de carcter
significativo y de inters para la entidad examinada, cuya naturaleza
deficiente permita oportunidades de mejora y/o correccin, incluyendo
informacin suficiente y competente relacionada con los resultados de la
evaluacin efectuada a la gestin de la entidad examinada.
V. Se presentarn de forma ordenada, lgica y numerada correlativamente,
evitando el uso de calificativos innecesarios y describiendo apropiadamente
sus elementos o atributos caractersticos. Se debe considerar aspectos
esenciales: Sumilla, Elementos de la observacin, comentarios y/o
aclaraciones y su evaluacin.
Sumilla
Es el ttulo o encabezamiento que identifica el asunto materia de
observacin.
2. Elementos de la observacin
Condicin: Hecho o situacin deficiente detectada.
Criterio: Norma, disposicin o parmetro de medicin aplicable al hecho
observado.
Efecto: Consecuencia real o potencial, cuantitativa o cualitativa,
ocasionada por el hecho o situacin observada, indispensable para establecer su
importancia y recomendar a la entidad que adopte las acciones correctivas
requeridas.
Causa: Motivo que dio lugar el hecho o situacin observada, cuya
identificacin requiere de la habilidad y juicio profesional de la comisin auditora y
es necesaria para la formulacin de una recomendacin constructiva que
prevenga la recurrencia de la condicin.
Pgina 91
AUDITORIA INFORMTICA
3. Comentarios y/o aclaraciones del personal comprendido en las
observaciones
Son las respuestas brindadas a la comunicacin de los hallazgos
respectivos, por el personal comprendido en la observacin, las cuales deben ser
expuestas brevemente, indicndose si se acompa documentacin sustentatoria.
De no haber respuesta a la comunicacin de hallazgos o de ser extempornea, se
referenciar dicha circunstancia.
4. Evaluacin de los comentarios y/o aclaraciones
Es el resultado del anlisis realizado por la comisin auditora sobre los
comentarios y/o aclaraciones y documentacin presentada por el personal
comprendido en la observacin, debiendo sustentarse los argumentos invocados y
consignarse la opinin resultante de dicha evaluacin.
Dicha opinin incluir al trmino del desarrollo de cada observacin, la
determinacin de responsabilidades administrativas a que hubiera lugar, de haber
mrito para ello.
En caso de considerarse la existencia de indicios razonables de la comisin
de delito o de perjuicio econmico, se dejar constancia expresa que tal aspecto
es tratado en el Informe Especial correspondiente.
III. CONCLUSIONES
Se indicarn los juicios de carcter profesional, basados en las
observaciones establecidas, que se formulan como consecuencia del examen
realizado a la entidad auditada. Al final de cada conclusin se identificar el
nmero de la(s) observacione(s) correspondiente(s) a cuyos hechos se refiere.
La comisin auditora, en casos debidamente justificados, podr formular
conclusiones sobre aspectos distintos a las observaciones, verificados en el curso
del trabajo, siempre que stos hayan sido expuestos en el Informe.
Pgina 92
AUDITORIA INFORMTICA
IV. RECOMENDACIONES
Constituyen medidas especficas y posibles que, con el propsito de mostrar los
beneficios que reportar la accin de control, se sugieren a la administracin de la
entidad para promover la superacin de las causas y las deficiencias evidenciadas
durante el examen. Estarn dirigidas al Titular o en su caso a los funcionarios que
tengan competencia para disponer su aplicacin.
Las recomendaciones se formularn con orientacin constructiva para propiciar el
mejoramiento de la gestin de la entidad y el desempeo de los funcionarios y
servidores pblicos a su servicio, con nfasis en contribuir al logro de los objetivos
institucionales dentro de parmetros de economa, eficiencia y eficacia; aplicando
criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de
costo proporcional a los beneficios esperados.
Para efecto de su presentacin, las recomendaciones se realizarn siguiendo el
orden jerrquico de los funcionarios responsables a quienes va dirigida,
referencindolas en su caso a las conclusiones, o aspectos distintos a stas, que
las han originado.
V. ANEXOS
Pgina 93
AUDITORIA INFORMTICA
FIRMA
El Informe una vez efectuado el control de calidad correspondiente previo a su
aprobacin, deber ser firmado por el Jefe de Comisin, el Supervisor y el nivel
gerencial competente de la CGR. En el caso de los rganos de Auditora Interna
del SNC, por el Jefe de Comisin, el Supervisor y el Jefe del respectivo rgano.
Los Informes emitidos por las SOAs sern suscritos por el socio participante y
auditor responsable de la auditora.
De ameritarlo por la naturaleza y contenido del Informe, tambin ser suscrito por
el abogado u otro profesional y/o especialista participante en la accin de control.
Pgina 94
AUDITORIA INFORMTICA
Sntesis Gerencial
Adicionalmente al Informe de la accin de control, podr emitirse una Sntesis
Gerencial del Informe, de contenido necesariamente breve y preciso.
La Alta Direccin de la CGR y el Titular del rgano de Auditora Interna, segn el
caso y dentro de su mbito de competencia, podrn eximir a la comisin auditora
de la emisin de dicha sntesis.
Conforme a los alcances de la NAGU 4.50
Cuando en la ejecucin de la accin de control se evidencien indicios razonables
de la comisin de delito, la comisin auditora, en cautela de los intereses del
Estado, sin perjuicio de la continuidad de la respectiva accin de control, y previa
evaluacin de las aclaraciones y comentarios a que se refiere la NAGU 3.60,
emitir con la celeridad del caso, un informe especial con el debido sustento
tcnico y legal.
El objetivo de la presente norma es garantizar y facilitar la oportuna, efectiva y
adecuada implementacin de las acciones correctivas legales pertinentes en los
casos que, durante el desarrollo de la accin de control, se evidencien indicios
razonables de comisin de delito as como, excepcionalmente, la existencia de
perjuicio econmico no sujeto a recupero administrativo.
Su aplicacin permitir a la comisin auditora, a travs de su personal responsable
y especializado competente, realizar apropiada y oportunamente su labor a en los
casos indicados, basada en su opinin profesional debidamente sustentada en los
respectivos fundamentos tcnicos y legales aplicables. En ejercicio de las
atribuciones establecidas en la Ley del SNC, la comisin auditora formular el
Informe Especial para revelar especficamente, con orden y claridad, los hechos y
circunstancias que configuran la presunta responsabilidad penal o civil, las
consideraciones jurdicas que los califican y las pruebas sustentatorias
correspondientes, recomendando la adopcin de las acciones legales respectivas
por la instancia competente.
Pgina 95
AUDITORIA INFORMTICA
DENOMINACIN
El Informe ser denominado Informe Especial, con indicacin de los datos
correspondientes a su numeracin e incluyendo adicionalmente un ttulo, el cual
deber ser breve, especfico y estar referido a la materia abordada en el informe.
En ningn caso, incluir informacin confidencial o nombres de personas.
ESTRUCTURA
I. INTRODUCCIN
II. FUNDAMENTOS DE HECHO
III. FUNDAMENTOS DE DERECHO
IV. IDENTIFICACIN DE PARTCIPES EN LOS HECHOS
V. PRUEBAS
VI. RECOMENDACIN
ANEXOS
I. INTRODUCCIN
Origen, motivo y alcance de la accin de control, con indicacin del Oficio de
acreditacin o, en su caso, de la Resolucin de Contralora de designacin,
entidad, periodo, reas y mbito geogrfico materia de examen, haciendo
referencia a las disposiciones que sustentan la emisin del Informe Especial (Ley
Pgina 96
AUDITORIA INFORMTICA
del SNC y NAGU 4.50), as como su carcter de prueba preconstituida para el
inicio de acciones legales.
II. FUNDAMENTOS DE HECHO
Breve sumilla y relato ordenado y objetivo de los hechos y circunstancias que
constituyen indicios de la comisin de delito o responsabilidad civil, en su caso,
con indicacin de los atributos: condicin, criterio, efecto y causa, cuando esta
ltima sea determinable, incluyndose las aclaraciones o comentarios que
hubieran presentado las personas comprendidas, as como el resultado de la
evaluacin de los mismos; salvo los casos de excepcin previstos en la NAGU
3.60, debiendo incidirse en la materialidad y/o importancia relativa, as como el
carcter doloso de su comisin, de ser el caso. En los casos de responsabilidad
penal, los hechos sern necesariamente revelados en trminos de indicios.
Tratndose responsabilidad civil, el perjuicio econmico deber ser cuantificado,
sealndose que el mismo no es materialmente posible de recupero por la entidad
en la va administrativa.
III. FUNDAMENTOS DE DERECHO
Anlisis del tipo de responsabilidad que se determina, sustentando la tipificacin
y/o elementos antijurdicos de los hechos materia de la presunta responsabilidad
penal y/o responsabilidad civil incurrida, con indicacin de los artculos pertinentes
del Cdigo Penal y/o civil u otra normativa adicional considerada, segn
corresponda, por cada uno de los hechos, con la respectiva exposicin de los
fundamentos jurdicos aplicables. De haber sido identificado, se sealar el plazo
de prescripcin para el inicio de la accin penal o civil.
Pgina 97
AUDITORIA INFORMTICA
Individualizacin de las personas que prestan o prestaron servicios en la entidad,
con participacin y/o competencia funcional en cada uno de los hechos calificados
como indicios en los casos de responsabilidad penal, o constitutivos del perjuicio
econmico determinado en los casos de responsabilidad civil. Incluye, asimismo, a
los terceros identificados que hayan participado en dichos hechos. Se indicar los
nombres y apellidos completos, documento de identidad, el cargo o funcin
desempeada, el rea y/o dependencia de actuacin, as como el periodo o
fechas de sta.
V. PRUEBAS
Identificacin de las pruebas en forma ordenada y detallada por cada hecho,
refiriendo el anexo correspondiente en que se adjuntan, debidamente autenticadas
en su caso.
Adicionalmente, de ser pertinente, se incluir el Informe Tcnico de los
profesionales especializados que hubieren participado en apoyo a la Comisin
Auditora, el cual deber ser elaborado con observancia de las formalidades
exigibles para cada profesin (Ejemplos: tasacin, informe de ingeniera, informe
bromatolgico, informe grafotcnico, etc.).
VI. RECOMENDACIN
Pgina 98
AUDITORIA INFORMTICA
Este rubro consigna la recomendacin para que se interponga la accin legal
respectiva, segn el tipo de responsabilidad determinada, penal o civil, la cual
deber estar dirigida a los funcionarios que, en razn a su cargo o funcin, sern
responsables de la correspondiente autorizacin e implementacin para su
ejecucin.
Si la accin de control es realizada por la CGR o por las SOAs designadas o
autorizadas, el Informe Especial recomendar al nivel correspondiente, el inicio de
los rganos que ejerzan la representacin legal para la defensa judicial de los
intereses del Estado en dicha entidad.
Cuando se considere que existan razones justificadas para ello, podr
recomendarse alternativamente, se autorice al Procurador Pblico encargado de
los asuntos judiciales de la CGR, el inicio de las acciones legales que
corresponda. En este ltimo caso, el Informe Especial ser puesto en
conocimiento del Titular de la entidad auditada, en la misma fecha de iniciada la
accin legal, siempre que el titular no se encuentre comprendido en los indicios de
la comisin de delito o en la responsabilidad civil establecida. De encontrarse
comprendido el Titular de la entidad el Informe se remitir al Titular del Sector, u
otro estamento que resulte competente de no pertenecer la entidad a ningn
Sector.
VII. ANEXOS
Contienen las pruebas que sustentan los hechos que son materia del Informe
Especial. Necesariamente deben ser precedidos de una relacin que indique su
numeracin y asunto a que se refiere cada anexo, guardando un debido
ordenamiento a la exposicin de los hechos contenidos en el Informe.
En tales casos, se deber incluir como Anexo N 01, la nmina de las personas
identificadas como partcipes en los hechos revelados, con indicacin de su cargo,
documento de identidad, periodo de desempeo de la funcin y domicilio
NIVELES DE APROBACIN DEL INFORME ESPECIAL
Pgina 99
AUDITORIA INFORMTICA
1. El Informe Especial formulado por la comisin auditora de la CGR, ser
suscrito por el auditor y/o abogado interviniente(s), el Jefe de Comisin, el
Supervisor y los niveles gerenciales competentes.
2. El Informe Especial formulado por el OAI del SNC ser suscrito por el
auditor y/o abogado, Jefe de Comisin y Supervisor interviniente(s), segn sea el
caso, as como por el Titular del respectivo rgano. Cuando por razones de
capacidad operativa, alguna de dichas funciones haya recado en una misma
persona, se referir el cargo de mayor nivel de responsabilidad.
3. Tratndose de SOAs designadas o autorizadas por la CGR, el Informe
Especial que pudiera formularse ser suscrito por el abogado y socio participante.
SITUACIONES ESPECIALES
- Cuando se determine la existencia de perjuicio econmico que a juicio de la
comisin auditora sea susceptible de ser recuperado en la va
administrativa, los hechos relativos a dicho perjuicio econmico seguirn
siendo tratados por la comisin auditora y revelados en el correspondiente
informe de la accin de control, recomendndose en el mismo las medidas
inmediatas para materializar dicho recupero.
- Cuando se determine que en los hechos que constituyen los indicios
razonables de comisin de delito y/o responsabilidad civil, los partcipes son
nicamente terceros y no funcionarios o servidores que presten o hayan
prestado servicios en la entidad, tales hechos sern revelados en el informe
de la accin de control, recomendando en ste las acciones
correspondientes.
Pgina 100
AUDITORIA INFORMTICA
- De ser necesario se podr formular ms de un Informe Especial emergente
de la misma accin de control, siempre que resulte justificado por la
conveniencia procesal de tratar por separado los hechos de connotacin
penal y los relativos a responsabilidad civil, as como en razn de la
oportunidad de la accin legal respectiva o no ser posible la acumulacin.
En todos los casos que se produzca la emisin de un Informe Especial, la
Comisin Auditora ser responsable que el correspondiente informe de la accin
de control contenga las referencias necesarias sobre dicha emisin y las
recomendaciones orientadas a corregir las causas que dieron lugar a los hechos
contenidos en el Informe Especial.
QUE LOS INFORMES DE AUDITORA CONTENGAN LA REALIDAD DE LOS
HECHOS INSTAR A LAS AUTORIDADES, FUNCIONARIOS, SERVIDORES Y
USUARIOS UN USO TRANSPARENTE DE LOS RECURSOS.
Pgina 102
AUDITORIA INFORMTICA
Pgina 103
AUDITORIA INFORMTICA
Pgina 104
AUDITORIA INFORMTICA
Pgina 105
AUDITORIA INFORMTICA
CONCLUSIONES
En el proceso de promover la auditora informtica se necesita de un buen
planeamiento, mantenimiento de la ejecucin y estar preparados para
cualquier cambio que pueda traer con el pasar del tiempo, el entrenamiento
de l personal para nuevos enfrentamientos tambin es un labor de suma
prioridad. En la oficina de la Auditoria con los esfuerzos que se ha puesto
se han obtenido muy buenos resultados, como meta para el futuro es el de
poner mas esfuerzo en el entrenamiento del personal de la auditoria
informtica, crear secciones especialmente encargadas de la auditoria
informtica, tambin a la vez crear un Sistema de Soporte a la Tecnologa
de la Informacin ( Information Technology Support ) y reglamentos para el
progreso de la auditoria informtica, todo esto son metas para entrar al ao
2000, elevar y brindar un mejor servicio de calidad poner los esfuerzos que
se debe en el trabajo de la Auditoria.
Se profundizo sobre cual es la informacin que el auditor requiere para
realizar este tipo de trabajo y con que tcnicas y herramientas la
organizacin protege su informacin, que controles se realiza al evaluar la
seguridad del software de aplicacin, y los generales.
Pgina 106
AUDITORIA INFORMTICA
La informacin y observaciones vertidos en el informe deben contener un
sustento y no pueden ser en ningn caso subjetivos.
BIBLIOGRAFIA
ECHENIQUE, Garca Jos Antonio. Auditoria en Informtica. Edit. Mc Graw-
Hill. 2001.2 Edicin
http:// www.buenastareas.com/ensayo/Informe-Final
http://es.scribd.com/doc/19505290/Auditoria-Informatica
Auditoria Informtica
Un enfoque practico
2 edicin amplia y revisada
Mario Gerardo Piattini Velthuis
Emilio del ]peso Navarro
Auditoria en Informtica
Segunda Edicin
Pagina 20
Jos Antonio Echenique Garca
Universidad Nacional autnoma de Mxico
Universidad autnoma Metropolitana
Editorial McGraw-Hill
Auditoria en sistemas computacionales, Segunda edicin, Editorial
Pearson, Pg. 18 a 25.
Libro: Auditoria informtica
Autor: Jos Antonio Echenique Garca
Editorial: Mcmagrafi
2da Edicin
Pgina 107
AUDITORIA INFORMTICA
http://www.slideboom.com/presentations/299541/PRESENTACION-
AUDITORIA-INFORMATICA
http://muziek-film-kunst.blogspot.com/2010/12/22-evaluacion-
sistemas-de-acuerdo-al.html
http://muziek-film-kunst.blogspot.com/2010/12/23-investigacion-
preliminar-auditoria.html
Enciclopedia prctica de la pequea y mediana empresa. (S.F.)
Pgina 108