Auditoria Informática Todas Las Unidades

AUDITORIA INFORMTICA
INSTITUTO TECNOLGICO DE APIZACO
LIC. EN INFPRMATICA
ASIGNATURA:
AUDITORIA INFORMATICA
TRABAJO:
AUDITORIA INFORMATICA
CATEDRATICO:
LIC. MARTIN ROJAS RAMIREZ
ALUMNO:
AGUSTIN DE GANTE PERALTA
30 NOVIEMBRE 2011
Pgina 1
INDICE
Presentacin.1
Incide2
Introduccin3
1.- Introduccin a la Auditoria
1.1 Conceptos de auditoria y auditoria Informtica3
1.2 Tipos de auditoria.7
1.2.1 Auditoria interna y externa.7
1.3 Campo de la auditoria informtica..8
1.4 Control interno10
1.5 Modelos de control utilizados en auditoria informtica11
1.6 Principios aplicados a los auditores informticos..16
1.7 Responsabilidades de los administradores y del auditor.19
2 Planeacin de la auditoria Informtica.
2.1 Fases de la auditoria23
2.1.1 Planeacin...25
2.1.2 Revisin preliminar...25
2.1.3 Revisin detallada. 26
2.1.4 Examen y evaluacin de la informacin26
2.1.5 Pruebas de controles de usuario.27
2.1.6 Pruebas sustantivas.27
2.2 Evaluacin de los sistemas de acuerdo al riesgo28
2.3 Investigacin preliminar.34
2.4 Personal participante. 36
3 Auditoria de la funcin informtica.
3.1 Recopilacin de la informacin organizacional..38
3.2 Evaluacin de los recursos humanos43
3.3 Entrevistas con el personal de informtica......47
3.4 Situacin presupuestal y financiera50
3.4.1 Presupuestos50
3.4.2 Recursos financieros y materiales..51
4 Evaluacin de la seguridad.
4.1 Generalidades de la seguridad del rea fsica52
Pgina 2
4.2 Seguridad lgica y confidencial. ..54
4.3 Seguridad personal. ..55
4.4 Clasificacin de los controles de seguridad. 55
4.5 Seguridad en los datos y software de aplicacin...57
4.6 Controles para evaluar software de aplicacin..59
4.7 Controles para prevenir crmenes y fraudes informticos..62
4.8 Plan de contingencia, seguros, procedimientos de recuperacin de
desastres...64
4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del
personal. 68
4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y
software de aplicacin. .69
5 Auditoria de la seguridad en la teleinformtica.
5.1 Generalidades de la seguridad en el rea de la teleinformtica70
5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica73
5.3 Sntomas de riesgo76
5.4 Tcnicas y herramientas de auditoria relacionadas con la seguridad en la
teleinformtica..80
6 Informe de la auditoria informtica.
6.1 Generalidades de la seguridad del rea fsica82
6.2 Caractersticas del informe. 85
6.3 Estructura del informe90
6.4 Formato para el informe. 106
Conclusin..111
Bibliografa.112
INTRODUCCION
En un ambiente donde la informtica esta encabezando el trabajo en las diferentes

oficinas e instituciones, el almacenamiento, ejecucin y procesamiento de los
datos se esta haciendo va computadoras, por lo tanto en el trabajo de la auditoria
Pgina 3
tambin es algo indispensable. Aunque en el ambiente de la informtica la
computadora es el medio principal para auditar pero no hay que olvidar que es a la
persona junto a la informacin la cual estamos auditando y no la computadora en
si, no se cambi el espirito de la auditora tradicional, solamente se cambi el
mtodo.
Para dar un mejor servicio a la comunidad, nuestro pas desde los aos 60 ya
empez a utilizar las procesadoras para procesar informaciones En 1982, el Yuan
Legislativo empez a promover el uso del sistema informativo, construyendo redes
informativas entre la informtica industrial y su progreso, nominando al grupo de
trabajo " Grupo de promocin de la informtica", en casi todos los lugares,
empezando por instalacin de grupos de trabajos en el procesamiento de datos e
informaciones en las provincias, ciudades y otras reas, enfocando principalmente
en las reas financieras, medicas, sistema de seguro social, impuestos,
oportunidades de trabajo y otras informaciones para facilitar el trabajo del pblico.
El Ministerio de la Auditoria, llamado tambin La Oficina de la Auditoria (NAO), por
el cambio del ambiente de trabajo tradicional a la nueva de la informtica, en estos
aos de promover la Auditoria Informtica se han obtenido muy buenos resultados
dentro de esta rea, se han hecho planes, tcticas de trabajo y lo ms importante
procesar los resultados de las inspecciones de la auditoria para poder analizarlos
despus.
UNIDAD 1 INTRODUCCIN A LA AUDITORIA INFORMTICA.
1.1 CONCEPTOS DE AUDITORIA Y AUDITORIA INFORMTICA.
CONCEPTO DE AUDITORIA:
Pgina 4
La auditora es el examen crtico y sistemtico que realiza una persona o grupo de
personas independientes del sistema auditado.
FUNCIN A DESARROLLAR DE UNA AUDITORIA

Investigacin constante de planes y objetivos
Estudio de las polticas y sus prcticas
Revisin constante de la estructura orgnica
Estudio constante de las operaciones de la empresa
Analizar la eficiencia de la utilizacin de recursos humanos y materiales .
Revisin del equilibrio de las cargas de trabajo
Revisin constante de los mtodos de control
CONCEPTO DE INFORMTICA
es el campo que se encarga del estudio y aplicacin prctica de la tecnologa,
mtodos, tcnicas y herramientas relacionados con las computadoras y el manejo
de la informacin por medios electrnicos, el cual comprende las reas de la
tecnologa de informacin orientadas al buen uso y aprovechamiento de los
recursos computacionales para asegurar que la informacin de las organizaciones
fluya (entidades internas y externas de los negocios) de manera oportuna y veraz
CONCEPTOS DE AUDITORIA INFORMTICA

Proceso metodolgico ejecutado por especialistas del rea de auditora y de
informtica.
Orientado a la verificacin y aseguramiento de que las polticas y procedimientos
establecidos para el manejo y uso adecuado de la tecnologa de informacin, se
lleven a cabo de manera oportuna y eficiente.
Que operen en un ambiente se seguridad y control para generar confiabilidad,
integridad, exactitud, etc. en los datos..
Debe generar un informe que indique las observaciones, recomendaciones y
reas de oportunidad para el mejoramiento y optimizacin de las Tecnologas de
Informacin.
Pgina 5
Los objetivos de la auditora Informtica son:

El control de la funcin informtica
El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.
La auditora informtica sirve para mejorar ciertas caractersticas en la
empresa como:
- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad
Importancia de la auditoria en informtica:

La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es una
herramienta estratgica que brinda rentabilidad y ventajas competitivas a los
negocios frente a otros negocios similares en el mercado, pero puede originar
costos y desventajas si no es bien administrada por el personal encargado.
La solucin clara es entonces realizar evaluaciones oportunas y completas de la

funcin informtica, a cargo de personal calificado, consultores externos, auditores
en informtica o evaluaciones peridicas realizadas por el mismo personal de
informtica
Tambin es un conjunto de tareas realizadas por un especialista para la

evaluacin o revisin de polticas y procedimientos relacionados con las
diferentes reas de una empresa
Administrativas.
Financieras.
Operativas.
Informtica.
Pgina 6
Crdito.
Fiscales
1.2 TIPOS DE AUDITORIA.
1.2.1 AUDITORIA INTERNA Y EXTERNA.
LA AUDITORA INTERNA
Es la realizada con recursos materiales y personas que pertenecen a la empresa

auditada. Los empleados que realizan esta tarea son remunerados
econmicamente. La auditora interna existe por expresa decisin de la Empresa,
o sea, que puede optar por su disolucin en cualquier momento. Por otro lado,
LA AUDITORA EXTERNA
Es realizada por personas afines a la empresa auditada; es siempre

remunerada. Se presupone una mayor objetividad que en la Auditora
Interna, debido al mayor distanciamiento entre auditores y auditados.
El auditor tiene relacin con la empresa.

La relacin con la empresa puede influir en la emisin del juicio sobre la
Evaluacin de las reas de la empresa.
Informe para uso interno.

Permite detectar problemas y desviaciones.
Pgina 7
Puede actuar peridicamente como parte de su Plan Anual.
Los auditados conocen estos planes y se habitan a las Auditoras.
Las Recomendaciones habidas benefician su trabajo.
El auditor no tiene relacin con la empresa
Revisin independiente con total libertad de criterio sin ninguna influencia.
Realizadas por despachos de auditores
Generalmente solicitado por instituciones gubernamentales
1.3.- CAMPO DE LA AUDITORIA INFORMTICA
Algunos campos de aplicacin de la informtica son las siguientes:
Investigacin cientfica y humanstica: Se usan las computadoras para

la resolucin de clculos matemticos, recuentos numricos, etc. Algunas
de estas operaciones:
Resolucin de ecuaciones.
Anlisis de datos de medidas experimentales, encuestas etc.
Anlisis automticos de textos.
Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y
de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:
Anlisis y diseo de circuitos de computadora.

Clculo de estructuras en obras de ingeniera.
Minera.
Cartografa.
Documentacin e informacin: Es uno de los campos ms importantes para la

utilizacin de computadoras.
Estas se usan para el almacenamiento de grandes cantidades de datos y la
recuperacin controlada de los mismos en bases de datos.
Ejemplos de este campo de aplicacin son:
Documentacin cientfica y tcnica.
Archivos automatizados de bibliotecas.
Bases de datos jurdicas.
Gestin administrativa: Automatiza las funciones de gestin tpicas de una

empresa. Existen programas que realizan las siguientes actividades:
Pgina 8
Contabilidad.
Facturacin.
Control de existencias.
Inteligencia artificial: Las computadoras se programan de forma que emulen el

comportamiento de la mente humana. Los programas responden como
previsiblemente lo hara una persona inteligente.
Aplicaciones como:
Reconocimiento de lenguaje natural.
Programas de juego complejos (ajedrez).
Instrumentacin y control: Instrumentacin electrnica, electro medicina,
robots industriales, entre otros.
1.4.- CONTROL INTERNO.
Se puede definir el control interno como "cualquier actividad o accin realizada

manual y/o automticamente para prevenir, corregir errores o irregularidades que
puedan afectar al funcionamiento de un sistema para lograr o conseguir sus
objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de

seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer

cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han

producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir
de las copias de seguridad.
Para la implantacin de un sistema de controles internos informticos habr que

definir:
Gestin de sistema de informacin: polticas, pautas y normas tcnicas que

sirvan de base para el diseo y la implantacin de los sistemas de
informacin y de los controles correspondientes.
Pgina 9
Administracin de sistemas: Controles sobre la actividad de los centros de

datos y otras funciones de apoyo al sistema, incluyendo la administracin de las
redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el
software del sistema, integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.
Gestin del cambio: separacin de las pruebas y la produccin a nivel del

software y controles de procedimientos para la migracin de programas
software aprobados y probados.
1.5.- MODELOS DE CONTROL
En la actualidad existen una gran cantidad de modelos de control interno.
Los modelos de control interno COSO y COBIT son los dos modelos ms
difundidos en la actualidad.
COSO est enfocado a toda la organizacin, contempla polticas, procedimientos y

estructuras organizativas adems de procesos para definir el modelo de control
interno.
Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
se centra en el entorno IT, contempla de forma especfica la seguridad de la
informacin como uno de sus objetivos, cosa que COSO no hace. Adems el
modelo de control interno que presenta COBIT es ms completo, dentro de su
mbito.
Existen otros tipos de modelos los cuales se mencionan a continuacin:

OECD (Organization for Economic Cooperation and Development)
GAPP (Generaly Accepted Principles and Practices). National Institute of
Standards and Technology (NIST)
Pgina 10
BS 7799 (British Standard Institute)

SAC (Security Auditability and Control). The Inst. of Internal Audit.
COSO (Internal Control Integrated Framework. Committee of Sponsoring
Organizations)
SSE CMM (Systems Security Engineering Capability Maturity Model)
National Security Agency (NSA) Defense- Canada.
CoCo (Criteria of Control Board of The Canadian Instituteof Chartered
Accountants.)
ITCG (Information Technology Control Guidelines). Canadian Institute of
Chartered Accountants(CICA)
GASSP (Generaly Accepted System Security Principles). International
Information Security Foundation (IISF)
Cobit (Control Objectives for Information and Related Technologies)

FISCAM (Federal Information Systems Controls Audit Manual).
GAO
SysTrust (AICPA/CICA SysTrust Principles and Criteria for System
Reliability)
SSAG (System Self-Assessment Guide for Information Technology
Systems). NIST
COBIT DEFINICIN
Es un marco de control interno de TI.
Parte de la premisa de que la TI requiere proporcionar informacin para
lograr los objetivos de la organizacin.
Promueve el enfoque y la propiedad de los procesos.
Apoya a la organizacin al proveer un marco que asegura que:
La Tecnologa de Informacin (TI) est alineada con la misin y visin.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
COBIT PRINCIPIOS
Pgina 11
COBIT ESTRUCTURA
COBIT REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO
COBIT combina los principios contenidos por modelos existentes y conocidos,

como COSO, SAC Y SAS.
Pgina 12
COBIT REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

Efectividad: Informacin relevante y pertinente, proporcionada en forma
oportuna, correcta, consistente y utilizable
Eficiencia: Empleo ptimo de los recursos.
Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin
no autorizada
Integridad: Informacin exacta y completa, as como vlida de acuerdo con
las expectativas de la organizacin.
Disponibilidad: accesibilidad a la informacin y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y compromisos contractuales.
Confiabilidad: Apropiada para la toma de decisiones adecuadas y el
cumplimiento normativo
COBIT PROCESOS DE TI TRES NIVELES
Pgina 13
1.6.- PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS
PRINCIPIO DE BENEFICIO DE AUDITADO

En este principio el auditor debe conseguir la mxima eficacia y rentabilidad
de los medios informticos de la empresa auditada, no debe de
ningn modo obtener beneficio propio.
PRINCIPIO DE CALIDAD
En el auditor deber prestar sus servicios conforme las posibilidades de la
ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin
de dichos medios y en unas condiciones tcnicas adecuadas para el idneo
cumplimiento de su labor.
PRINCIPIO DE CONFIANZA
El auditor deber facilitar e incrementar la confianza del auditor en base a
una actuacin de transparencia en su actividad profesional sin alardes
cientficos-tcnicos.
PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la realizacin de la auditora
encomendada, maximice teniendo en cuenta que, a los auditados en algunos
Pgina 14
casos les puede ser extremadamente difcil verificar sus recomendaciones y
evaluar correctamente la precisin de las mismas.
PRINCIPIO DE COMPORTAMIENTO PROFESIONAL

El auditor, tanto en sus relaciones con el auditado como con terceras personas,
deber, en todo momento, actuar conforma a las normas, implcitas o explcitas,
de dignidad de la profesin y de correccin en el trato personal.
PRINCIPIO DE CRITERIO PROPIO

El auditor durante la ejecucin deber actuar con criterio propio y no permitir que
est subordinado al de otros profesionales, aun de reconocido prestigio, que no
coincidan con el mismo.
PRINCIPIO DE CONCENTRACION EN EL TRABAJO

El auditor deber evitar que un exceso de trabajo supere sus posibilidades de
concentracin y precisin en cada una de las tareas a l encomendadas, y a que
la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente
controlada, provocar la conclusin de los mismos sin las
debidas garantas de seguridad.
PRINCIPIO DE DISCRECIN
El auditor deber en todo momento mantener una cierta discrecin en la
divulgacin de datos, aparentemente inocuos, que se le hayan puesto de
manifiesto durante la ejecucin de la auditoria.
PRINCIPIO DE ECONOMA
El auditor deber proteger, en la medida de sus conocimientos, los derechos

econmicos del auditado evitando generar gastos innecesarios en el ejercicio de
su actividad.
PRINCIPIO DE FORMACIN CONTINUADA
Pgina 15
Este principio impone a los auditores el deber y la responsabilidad de mantener
una permanente actualizacin de sus conocimientos y mtodos a fin de
adecuarlos a las necesidades de la demanda y a las exigencias de la competencia
de la oferta.
PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN
La defensa de los auditados pasa por el fortalecimiento de la profesin de los

auditores informticos, lo que exige un respeto por el ejercicio, globalmente
considerado, de la actividad desarrollada por los mismos y un comportamiento
acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de
las auditorias.
PRINCIPIO DE INDEPENDENCIA
Esta relacionado con el principio de criterio propio, obliga al auditor, tanto si acta
como profesional externo o con dependencia laboral respecto a la empresa en la
que deba realizar la auditoria informtica, a exigir una total autonoma e
independencia en su trabajo.
PRINCIPIO DE INFORMACIN SUFICIENTE
Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e

inteligible para el auditado, informacin de los puntos y conclusiones
relacionados con la auditoria.
PRINCIPIO DE INTEGRIDAD MORAL
Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor

a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a
las normas morales de justicia y prioridad.
PRINCIPIO DE LEGALIDAD
Pgina 16
La primaca de esta obligacin exige del auditor un comportamiento activo de
oposicin a todo intento, por parte del auditado o de terceras personas,
tendente a infringir cualquier precepto integrado en el derecho positivo.
PRINCIPIO DE LIBRE COMPETENCIA
La actual economa de mercado exige que el ejercicio de la profesin se realice en

el marco de la libre competencia siendo rechazables, por tanto, las prcticas
colusorias tendentes a impedir o limitar la legtima competencia de otros
profesionales.
PRINCIPIO DE NO DISCRIMINACIN
El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar

cualquier tipo de condicionantes personalizados y actuar en todos
los casos con similar diligencia.
PRINCIPIO DE NO INJERENCIA
El auditor, deber evitar injerencias en los trabajos de otros profesionales, respetar

su labor y eludir hacer comentarios que pudieran interpretarse como
despreciativos de la misma, deber igualmente evitar aprovechar los datos.
PRINCIPIO DE PRECISIN
Este principio exige del auditor la no conclusin de su trabajo hasta estar

convencido, en la medida de lo posible, de la viabilidad de sus propuestas.
PRINCIPIO DE PUBLICIDAD ADECUADA
La oferta y promocin de los servicios de auditoria debern en todo momento

ajustarse a las caractersticas, condiciones y finalidad perseguidas.
PRINCIPIO DE RESPONSABILIDAD
El auditor deber, como elemento intrnseco de todo comportamiento profesional,

responsabilizarse de lo que haga, diga o aconseje.
PRINCIPIO DE SECRETO PROFESIONAL
Pgina 17
La confidencia y confianza entre el auditor y el auditado e imponen al primero la
obligacin de guardar en secreto los hechos e informaciones que conozca en el
ejercicio de su actividad profesional.
PRINCIPIO DE SERVICIO PBLICO
La aplicacin de este principio debe incitar al auditor a hacer lo que este en su

mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales.
PRINCIPIO DE VERACIDAD
El Auditor en sus comunicaciones con el auditado deber tener siempre presente
la obligacin de asegurar la veracidad de sus manifestaciones con los limites
impuestos por los deberes de respeto, correccin, y secreto profesional.
1.7.- RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR
El auditor informtico debe ser una persona con un alto grado de calificacin
tcnica y al mismo tiempo estar integrado a las corrientes organizativas
empresariales. Es responsable de realizar las siguientes actividades:
Verificacin del control interno tanto de las aplicaciones como de los SI,
perifricos, etc.
Anlisis de la administracin de Sistemas de Informacin, desde un punto de
vista de riesgo de seguridad, administracin y efectividad de la administracin.
Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del
anlisis de aplicaciones.
Auditora del riesgo operativo de los circuitos de informacin
Anlisis de la administracin de los riesgos de la informacin y de la seguridad
implcita.
Verificacin del nivel de continuidad de las operaciones.
Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las
consecuencias empresariales que un desfase tecnolgico puede acarrear.
RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR
Organizacin de la funcin de Auditora Informtica
Pgina 18
La funcin de la auditora informtica se hconvertido en una funcin que desarrolla
un trabajo ms acorde con la importancia que para las organizaciones tienen los
SI, que son su objeto de estudio y anlisis. El auditor informtico pasa a ser
auditor y consultor de empresas en materias de:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologas de Informacin
Continuidad de operaciones
Administracin de riesgos
Su localizacin puede estar ligada a la auditora interna operativa y financiera

(aunque exista una coordinacin lgica entre ambos departamentos), con
independencia de objetivos, planes de formacin y presupuestos.
Debe ser un grupo independiente del de auditora interna, con acceso total a los
SI y dems tecnologa, que depende de la misma persona que la auditora
interna (Director General o Consejero).
La dependencia debe ser del mximo responsable de la organizacin, nunca del

departamento de sistemas o del financiero. Esto es para que no se pueda
sospechar que exista sesgo al momento de realizar el trabajo de auditora y
ofrecer conclusiones y recomendaciones.
Los recursos humanos con los que debe contar el departamento debe ser una
mezcla equilibrada de personas con formacin en auditora y organizacin y con
perfil informtico (especialidades).
UNIDAD 2.- PLANEACIN DE LA AUDITORA INFORMTICA
2.1 FASES DE LA AUDITORIA.
Pgina 19
LAS NORMAS DE LA AUDITORA INTERNA COMPRENDEN
Las actividades auditadas y la objetividad de los auditores internos.
El alcance del trabajo de auditora interna en el rea de informtica.
El departamento de auditora interna deber asignara cada auditora a aquellas

personas que en su conjunto posean los conocimientos, la experiencia y la
disciplina necesarios para conducir apropiadamente la auditora.
El departamento de auditora interna deber asegurarse:
Que las auditoras sean supervisadas en forma apropiada. La supervisin es un

proceso continuo que comienza con la planeacin y termina con el trabajo de
auditora.
Que los informes de auditora sean precisos, objetivos, claros, concisos,

constructivos y oportunos.
Que se cumplan los objetivos de la auditora.

Pgina 20
Que la auditora sea debidamente documentada y que se conserve la evidencia
apropiada de la supervisin.
Que los auditores cumplan con las normas profesionales de conducta.
Que los auditores en informtica posean los conocimientos, experiencias y

disciplinas esenciales para realizar sus auditoras.
Para una adecuada planeacin
Para hacer una adecuada planeacin de la auditora en informtica hay que seguir
una serie de pasos previos que permitirn dimensionar el tamao y caractersticas
del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con
ello podremos determinar el nmero y caractersticas del personal de auditora, las
herramientas necesarias, el tiempo y costo, as como definir los alcances de la
auditora para, en caso necesario, poder elaborar el contrato de servicios.
2.1.1. PLANEACIN
El trabajo de auditora deber incluir:
La planeacin de la auditora
El examen y la evaluacin de la informacin
La comunicacin de los resultados y el seguimiento
1. Planeacin (Cont.)
La planeacin deber ser documentada e incluir:
Pgina 21
2.1.2. REVISIN PRELIMINAR
El objetivo de la revisin preliminar es el de obtener la informacin necesaria para

que el auditor pueda tomar la decisin de cmo proceder en la auditora. Al
terminar la revisin preliminar el auditor puede proceder en uno de los tres
caminos siguientes: Diseo de la auditora. Puede haber problemas debido a la
falta de competencia tcnica para realizar la auditora.
Realizar una revisin detallada de los controles internos de los sistemas con la
esperanza de que se deposite la confianza en los controles de los sistemas y de
que una serie de pruebas sustantivas puedan reducir las consecuencias.
Decidir el no confiar en los controles internos del sistema. Existen dos razones
posibles para esta decisin. Primero, puede ser ms eficiente desde el punto de
vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los
controles del rea de informtica pueden duplicar los controles existentes en el
rea del usuario.
2.1.3. REVISIN DETALLADA
Los objetivos de la fase detallada son los de obtener la informacin necesaria
para que el auditor tenga un profundo entendimiento de los controles usados

dentro del rea de informtica. En la fase de evaluacin detallada es importante
para el auditor identificar las causas de las prdidas existentes dentro de la
instalacin y los controles para reducir las prdidas y los efectos causados por
Pgina 22
stas. Al terminar la revisin detallada el auditor debe evaluar en qu momento los
controles establecidos reduce las prdidas esperadas a un nivel aceptable. Los
mtodos de obtencin de informacin al momento de la evaluacin detallada son
los mismos usados en la investigacin preliminar,
y lo nico que difiere es la profundidad con se obtiene la informacin y se evala.
2.1.4. EXAMEN Y EVALUACIN DE LA INFORMACIN.
Los auditores internos debern obtener, analizar, interpretar y documentar la

informacin para apoyar los resultados de la auditora. El proceso de examen y
evaluacin de la informacin es el siguiente:
Se debe obtener la informacin de todos los asuntos relacionados con los

objetivos y alcances del auditor. La informacin relevante apoya los hallazgos y
recomendaciones de auditora y es consistente con los objetivos de sta. La
informacin til ayuda a la organizacin a lograr sus metas. El proceso de recabar,
analizar, interpretar y documentar la informacin deber supervisarse para
proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo
y que las metas de auditora se cumplieron. Los documentos de trabajo de la
auditora debern ser preparados por los auditores y revisados por la gerencia de
auditora. Estos documentos debern registrar la informacin obtenida y el anlisis
realizado, y
deben apoyar las bases de los hallazgos de auditora y las recomendaciones que
se harn.
Pgina 23
Los auditores debern reportar los resultados del trabajo de auditora: El auditor
deber discutir las conclusiones y recomendaciones en los niveles apropiados de
la administracin antes de emitir su informe final. Los informes debern ser
objetivos, claros, concisos, constructivos y oportunos. Los informes presentarn el
propsito, alcance y resultados de la auditora y, cuando se considere apropiado,
contendrn la opinin del auditor.
2.1.5. PRUEBAS DE CONTROLES DE USUARIO.
En algunos casos el auditor puede decidir el no confiaren los controles internos

dentro de las instalaciones informticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles de informtica. Estas
pruebas que compensan las deficiencias de los controles internos se pueden
realizar mediante cuestionarios, entrevistas, visitas y evaluaciones hechas
directamente con los usuarios.
2.1.6 PRUEBAS SUSTANTIVAS
El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente
que permita al auditor emitir su juicio en las conclusiones acerca de cundo

pueden ocurrir prdidas materiales durante el procesamiento de la informacin. El
auditor externo expresar este juicio en forma de opinin sobre cundo puede
existir un proceso equivocado o falta de control de la informacin. Se pueden
identificar ocho diferentes pruebas sustantivas:
Pruebas para identificar errores en el procesamiento o de falta de seguridad o

confidencialidad.
Pruebas para asegurar la calidad de los datos.
Pruebas para identificar la inconsistencia de los datos.
Pruebas para comparar con los datos o contadores fsicos.
Confirmacin de datos con fuentes externas.
Pgina 24
Pruebas para confirmar la adecuada comunicacin.
Pruebas para determinar falta de seguridad.
Pruebas para determinar problemas de legalidad
2.2 EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO

Son aquellos objetos, dispositivos, medidas, etc. que contribuyen a hacer mas
seguro el funcionamiento o el uso.
CONSIDERACIONES INMEDIATAS PARA LA AUDITORA DE LA SEGURIDAD
Uso de la Computadora
Se debe observar el uso adecuado de la computadora y su software que puede

ser susceptible a:
copia de programas de la organizacin para fines de comercializacin

(copia pirata).
acceso directo o telefnico a bases de datos con fines fraudulentos
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los
accesos a las computadoras de acuerdo a:
Pgina 25
nivel de seguridad de acceso

empleo de las claves de acceso
evaluar la seguridad contemplando la relacin costo, ya que a mayor
tecnologa de acceso mayor costo.
CANTIDAD Y TIPO DE INFORMACIN
El tipo y la cantidad de informacin que se introduce en las computadoras debe

considerarse como un factor de alto riesgo ya que podran producir que:
la informacin este en manos de algunas personas

la alta dependencia en caso de perdida de datos
PERSONAL
Pgina 26
Se debe observar este punto con mucho cuidado, ya que hablamos de las
personas que estn ligadas al sistema de informacin de forma directa y se
deber contemplar principalmente:
*contemplar la cantidad de personas con acceso operativo y administrativo

*conocer la capacitacin del personal en situaciones de emergencia
MEDIOS DE CONTROL
Se debe contemplar la existencia de medios de control para conocer cuando se

produce un cambio o un fraude en el sistema. Tambin se debe observar con
detalle el sistema ya que podra generar indicadores que pueden actuar como
elementos de auditora inmediata, aunque esta no sea una especificacin del
sistema.
RASGOS DEL PERSONAL
Se debe ver muy cuidadosamente el carcter del personal relacionado con el

sistema, ya que pueden surgir:
malos manejos de administracin

malos manejos por negligencia
malos manejos por ataques deliberados
Pgina 27
INSTALACIONES
Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan

un alto grado de riesgo. Para lo cual se debe verificar:
la continuidad del flujo elctrico

efectos del flujo elctrico sobre el software y hardware
evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc.
verificar si existen un diseo, especificacin tcnica, manual o algn tipo de
documentacin sobre las instalaciones
ESTABLECER LAS REAS Y GRADOS DE RIESGO
Es muy importante el crear una conciencia en los usuarios de la organizacin

sobre el riesgo que corre la informacin y hacerles comprender que la seguridad
es parte de su trabajo.
SISTEMA INTEGRAL DE SEGURIDAD
Un sistema integral debe contemplar:
Definir elementos administrativos

Definir polticas de seguridad
A nivel departamental
A nivel institucional
Organizar y dividir las responsabilidades
Contemplar la seguridad fsica contra catstrofes (incendios, terremotos,
inundaciones, etc.)
Pgina 28
Definir prcticas de seguridad para el personal:
Plan de emergencia (plan de evacuacin, uso de recursos de emergencia

como extinguidores.
Nmeros telefnicos de emergencia
Definir el tipo de plizas de seguros
Definir elementos tcnicos de procedimientos
Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los sistemas de seguridad incluyendo datos y archivos
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas (simulacin)
Planificacin de equipos de contingencia con carcter peridico
Control de desechos de los nodos importantes del sistema:
Poltica de destruccin de basura copias, fotocopias, etc.
Consideracin de las normas ISO 14000
Etapas para Implementar un Sistema de Seguridad
PLAN DE SEGURIDAD IDEAL (O NORMATIVO)
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
El plan de seguridad debe asegurar la integridad y exactitud de los datos

Debe permitir identificar la informacin que es confidencial
Pgina 29
Debe contemplar reas de uso exclusivo
Debe proteger y conservar los activos de desastres provocados por la
mano del hombre y los actos abiertamente hostiles
Debe asegurar la capacidad de la organizacin para sobrevivir accidentes
Debe proteger a los empleados contra tentaciones o sospechas
innecesarias
Debe contemplar la administracin contra acusaciones por imprudencia
BENEFICIOS DE UN SISTEMA DE SEGURIDAD
Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya

que el la organizacin trabajar sobre una plataforma confiable, que se refleja en
los siguientes puntos:
Aumento de la productividad.
Aumento de la motivacin del personal.
Compromiso con la misin de la compaa.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales para los RR.HH.
2.3 INVESTIGACION PRELIMINAR

Se deber observar el estado general del rea, su situacin dentro de la
organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de
su ltima actualizacin.
Se debe hacer la investigacin preliminar solicitando y revisando la informacin de
cada una de las reas basndose en los siguientes puntos:
* Administracin
* Sistemas
ADMINISTRACIN
Pgina 30
Se recopila la informacin para obtener una visin general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del
rea de informtica
Objetivos a corto y largo plazo.

Recursos materiales y tcnicos
Solicitar documentos sobre los equipos, nmero de ellos, localizacin y
caractersticas.
Nmero de equipos, localizacin y las caractersticas (de los equipos
instalados y por instalar y programados)
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas de uso de los equipos.
Pgina 31
SISTEMAS
Descripcin general de los sistemas instalados y de los que estn por instalarse
que contengan volmenes de informacin.
* Manual de formas.
* Manual de procedimientos de los sistemas.
* Descripcin genrica.
* Diagramas de entrada, archivos, salida.
* Salidas.
* Fecha de instalacin de los sistemas.
* Proyecto de instalacin de nuevos sistemas.
* En el momento de hacer la planeacin de la auditora o bien su realizacin,
debemos evaluar que pueden presentarse las siguientes situaciones.
Se solicita la informacin y se ve que:
* No tiene y se necesita
* No se tiene y no se necesita.
* Se tiene la informacin pero:
* No se usa.
* Es incompleta.
* No esta actualizada.
* No es la adecuada.
Se usa, est actualizada, es la adecuada y est completa.
El xito del anlisis crtico depende de las consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la

informacin sin fundamento)
Pgina 32
Investigar las causas, no los efectos.

Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.
2.4.-PERSONAL PARTICIPANTE
Una de las partes ms importantes en la planeacin de la auditoria en informtica

es el personal que deber participar, ya que se debe contar con un equipo
seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria
de manera correcta y en el tiempo estimado.
Aqu no se vera el nmero de persona que debern participar, ya que esto

depende de las dimensiones de la organizacin, de los sistemas y de los equipos,
lo que se deber considerar son exactamente las caractersticas que debe cumplir
cada uno del personal que habr de participar en la auditoria.
Uno de los esquemas generalmente aceptados para tener un adecuado control es

que el personal que intervenga este debidamente capacitado, que tenga un alto
sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y
se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar los conocimientos, la prctica profesional y

la capacitacin que debe tener el personal que intervendr en la auditoria.
Primeramente, debemos pensar que hay personal asignado por la organizacin,

que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria,
proporcionarnos toda la informacin que se solicite y programar las reuniones y
entrevistas requeridas.
Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin,

ni contar con un grupo multidisciplinario en el cual estn presentes una o varias
Pgina 33
personas del rea a auditar, ser casi imposible obtener informacin en el
momento y con las caractersticas deseadas.
Tambin se deben contar con personas asignadas por los usuarios para que en el
momento que se solicite informacin, o bien se efecte alguna entrevista de
comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y
complementen el grupo multidisciplinario, ya que debemos analizar no slo el
punto de vista de la direccin de informtica, sino tambin el del usuario del
sistema.
Para complementar el grupo, como colaboradores directos en la realizacin de la

auditoria, se deben tener personas con las siguientes caractersticas:
Tcnico en informtica. Conocimientos de Admn., contadura y finanzas.

Experiencia en el rea de informtica. Experiencia en operacin y anlisis de
sistemas. Conocimientos y experiencias en psicologa industrial.
Conocimientos de los sistemas operativos, bases de datos, redes y
comunicaciones, dependiendo del rea y caractersticas a auditar.
Conocimientos de los sistemas ms importantes.
En el caso de sistemas complejos se deber contar con personal con

conocimientos y experiencias en reas especficas como base de datos, redes y
comunicaciones, etctera.
Lo anterior no significa que una sola persona deba tener los conocimientos y
experiencias sealadas, pero si que deben intervenir una o varias personas con
las caractersticas apuntadas.
Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad

de presenta la carta (convenio de servicios profesionales en el caso de auditores
externos -) y el plan de trabajo.
Pgina 34
La carta convenio es un compromiso que el auditor dirige a su cliente para su
confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la
auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad
y los informes que se han de entregar.
UNIDAD 3.- AUDITORIA DE LA FUNCIN INFORMTICA
3.1 RECOPILACIN DE LA INFORMACIN ORGANIZACIONAL
Una vez elaborada la planeacin de la auditora, la cual servir como plan

maestro de los tiempos, costos y prioridades, y como medio de control de la
auditora, se debe empezar la recoleccin de la informacin.
Se proceder a efectuar la revisin sistematizada del rea a travs de

la observacin y entrevistas de fondo en cuanto a:
A) Estructura Orgnica
B) Se deber revisar la situacin de los recursos humanos.
C) Entrevistas con el personal de procesos electrnicos.
D) Se deber conocer la situacin presupuestal y financiera.
E) Se har un levantamiento del censo de recursos humanos y anlisis de
situacin.
F) Por ltimo, se deber revisar el grado de cumplimiento de los
documentos administrativos.
Pgina 35
A) Estructura Orgnica
Jerarquas (Definicin de la autoridad lineal, funcional y de asesora)
Estructura orgnica
Funciones
Objetivos
B) Se deber revisar la situacin de los recursos humanos.
Pgina 36
C) Entrevistas con el personal de procesos electrnicos:

a) Jefatura
b) Anlisis
c) Programadores
d) Operadores
e) Capturistas
f) Personal administrativo
D) Se deber conocer la situacin presupuestal y financiera en cuanto

a:
- Presupuesto
- Recursos financieros
- Recursos materiales
- Mobiliario y equipo
Pgina 37
E) Se har un levantamiento del censo de recursos humanos y anlisis
de situacin en cuanto a:
Nmero de personas y distribucin por reas

Denominacin de puestos
Salario
Capacitacin
Conocimientos
Escolaridad
Experiencia profesional
Antigedad
Historial de trabajo
Salario y conformacin
Movimientos salariales
ndice de rotacin del personal
Programa de capacitacin (vigente y capacitacin dada en el ltimo ao)
F) Por ltimo, se deber revisar el grado de cumplimiento de los

documentos administrativos.
Normas y polticas
Planes de trabajo
Controles
Estndares
Procedimientos
La informacin nos servir para determinar:

Si las responsabilidades en la organizacin estn definidas adecuadamente
Si la estructura organizacional est adecuada a las necesidades
Pgina 38
Si el control organizacional es el adecuado
Si se tienen los objetivos y polticas adecuadas, se encuentran vigentes y estn
bien definidas
Si existe la documentacin de las actividades, funciones y responsabilidades

Si los puestos se encuentran definidos y sealadas sus responsabilidades
Si el anlisis y descripcin de puestos est de acuerdo con el personal que los
ocupa
Si se cumplen los lineamientos organizacionales
Si el nivel de salarios comparado con el mercado de trabajo
Si los planes de trabajo concuerdan con los objetivos de la empresa
Si se cuenta con los recursos humanos necesarios que garanticen la continuidad
de la operacin o se cuenta con "indispensables
Si se evalan los planes y se determinan las desviaciones
Se utilizan varios patrones, esto pueden ser:
1) Patrones de cantidad: son los que se expresan en nmeros o en cantidades,

como nmero de empleados, porcentaje de rotacin de empleados, numero de
admisiones, ndice de accidentes, etc.
2) Patrones de calidad: son los que se relacionan con aspectos no cuantificables,

como mtodos de seleccin de empleados, resultados de entrenamiento,
funcionamiento de la evaluacin del desempeo. Etc.,
3) Patones de tiempo: consisten en la rapidez con que se integra e personal recin

admitido, la permanencia promedio del empleado en la empresa, el tiempo de
procesamiento de las requisiciones de personal, etc.
4) Patones de costo: son los costos, directos e indirectos, de la rotacin de

personal
Pgina 39
3.2.- EVALUACIN DE RECURSOS HUMANOS
La evaluacin esta presente en todo momento de la ejecutoria de un empleado

dentro de una organizacin. Desde la entrevista inicial, la valoracin del
desempeo, hasta la carta de recomendacin cuando se desea mover a otro
empleo, las personas estn siendo evaluadas.
Las organizaciones suelen realizar una valoracin del rendimiento con fines
administrativos y de desarrollo. Segn Gmez-Meja, Balkin & Cardy la valoracin
del rendimiento se utiliza administrativamente como punto de partida para tomar
decisiones sobre las condiciones laborales de un empleado, considerando las
promociones, los despidos y las recompensas.
La evaluacin del desempeo o valoracin del rendimiento, implica identificar,

medir, y gestionar el rendimiento de las personas dentro de una organizacin.
Ante este particular la evaluacin se convierte en un proceso de mejora continua
debido a que permite proyectar acciones futuras para un mayor desarrollo del
individuo y de la organizacin.
Para poder identificar los puntos que van a ser evaluados dentro de una
organizacin, es necesario conocer cul es la situacin general de la empresa,
definir la poltica, establecer objetivos y obtener informacin sobre las
evaluaciones previas y sus resultados.
Por otro lado para obtener un diagnstico de las situaciones de las empresas con
relacin a su desempeo, se pueden hacer entrevistas, cuestionarios, informes,
documentacin escrita y programas de accin.
Pgina 40
La evaluacin se hace por una razn. La enciclopedia mediana y pequea
empresa enfatiza una serie de objetivos sobre la evaluacin, como:
1. Mejorar el desarrollo y comunicacin de los trabajadores.

2. Desarrollar y mejorar el conjunto de los sistemas de la organizacin.
3. Logra un mayor ajuste persona/puesto y en el conocimiento profesional del
propio evaluado.
Los criterios de evaluacin son de importancia consideracin para ser

aplicados en las diversas organizaciones:
Gmez-Meja, Balkin & Cardy sugieren que se pueden establecer segn dos
modelos:
1. En funcin de los objetivos: Consiste en la identificacin por parte del jefe y

empleado de las reas de responsabilidad y los indicadores para medir resultados.
2. En funcin de los factores de valor: Se trata de evaluar el desempeo segn el

perfil socio profesional (habilidades, capacidades, actitudes, organizacin,
resolucin de problemas, toma de decisiones, etc.) de cada puesto de trabajo.
Gmez-Meja, Balkyn y Cardy sugieren varios mtodos para evaluar, como:
1. Clasificacin: Se trata de elaborar una lista de los evaluados en orden de

sucesin segn su mbito profesional.
2. Comparacin: Una vez agrupados los empleados segn puestos de trabajo o
reas, se efecta un anlisis comparativo entre los individuos del mismo grupo.
3. Curva de rendimiento: Se ubica a los empleados segn su rendimiento en la
parte correspondiente de una curva.
Pgina 41
4. Listados de caractersticas: Se confecciona una lista con las caractersticas y
los objetivos de cada puesto de trabajo y grado de ejecucin de los empleados.
5. Evaluacin abierta: Consiste dejar abierto el campo de los aspectos que se
deben evaluar.
6. Evaluacin del personal jerrquico: Puede hacerse de manera directa, a travs
de un protocolo de preguntas que los empleados contestarn.
7. Autovaloracin: Puede ser estructurada o abierta. En el primer caso se pasar
un protocolo que el empleado deber cumplimentar, mientras que en el segundo
caso ste tendr que exponer cules son a su parecer sus logros y cules son sus
puntos dbiles.
8. Evaluacin entre reas: Cada miembro de los sectores dentro de una
organizacin evaluar a los empleados del otro departamento.
Obstculos para medir eficazmente el rendimiento:
1. Los errores y el sesgo de la persona que realiza la evaluacin.

2. La influencia de los gustos.
3. La poltica de la organizacin.
4. El enfoque hacia el individuo o hacia el grupo.
5. Las cuestiones legales
La enciclopedia prctica de la pequea y mediana empresa presenta varias

claves para los directivos sobre como informar a los empleados de su
rendimiento, entre estas:
* Documentar el rendimiento del empleado.

*Solicite la participacin del empleado.
*Cntrese en los comportamientos.
*Sea especfico y de tiempo.
*Dirija su informacin slo a facetas de la situacin de rendimiento que el
empleado puede cambiar.
Pgina 42
La enciclopedia prctica de la pequea y mediana empresa presenta varias

claves que el empleado puede utilizar para obtener informacin sobre su
rendimiento personal, entre estas:
*En el momento oportuno pida a su director y a los dems que contribuyan a

valorar su rendimiento.
*Mantenga un registro de sus logros y de sus fallos.
*Invite a su director/evaluador a ofrecer sus sugerencias para mejorar.
*Si recibe comentarios crticos no discuta ni se ponga sensible. Analice como
puede mejorar.
Gestin del rendimiento:
Como punto final se puede mencionar la valoracin de la gestin del rendimiento.

Enfatizan que el objetivo de la evaluacin radica en gestionar y mejorar el
rendimiento de los empleados. Este hecho enfatiza el que los directivos tienen que
analizar las causas de los problemas relacionados al rendimiento, dirigir la
atencin a esas causas, desarrollar planes de accin y facilitar el que los
empleados encuentren soluciones, as como utilizar una comunicacin centrada
en el rendimiento.
Para mejorar el rendimiento se recomienda:

*Analizar las causas de los problemas de rendimiento.
*Atender directamente las causas de los problemas.
*Desarrollar un plan de accin para facilitar que los trabajadores alcancen una
solucin.
*Comunicacin directamente sobre el rendimiento e informacin eficaz.
3.3.- ENTREVISTA CON EL PERSONAL DE INFORMTICA
Pgina 43
Puede entrevistarse a un grupo de personas elegidas, sus opiniones deben ser
debidamente fundamentadas.
Las opiniones determinan:

Grado de cumplimiento de la estructura organizacional administrativa.
Grado de cumplimiento de las polticas y los procesos administrativos
Satisfaccin e insatisfaccin
Capacitacin
Observaciones generales
Gua de entrevista
1.-Nombre del puesto
Ingeniero en sistemas
2.-Puesto del jefe inmediato
Directora
3.-puestos a que reporta
Directora del plantel
4.-Puestos de las personas que reportan al entrevistado
Docentes de la institucin.
5.-Numero de personas que reportan al entrevistado
5 personas
6.-Describa brevemente las actividades diarias de su puesto
Atender a los alumnos en diversas actividades en el laboratorio como son :
impresiones, investigacin, practicas , tres das de la semana clase a alumnos de
primeros semestre, un da de la semana exclusivo para mantenimiento de equipo
(hardware, software)
7.-Actividas peridicas
__Mantenimiento de equipo
__Limpieza y orden
__Revisin de inventario
Pgina 44
8.-Actividades eventuales
Capacitacin a docentes y alumnos (Inicio de semestre)
Exmenes en lnea
Registro de calificaciones (Docentes)
Consulta de calificaciones (Alumnos)
9.-Con que manuales cuenta para el desempeo de su puesto?
__Manual de organizacin
__Manual de mantenimiento de hardware
__Instructivo de equipos
10.-Cules polticas se tienen establecidas para el puesto?
Tener el perfil para las actividades a realizar en el laboratorio.
Lic. en informtica
Ing. En sistemas
11.-Seale las lagunas que considere que hay en la organizacin.
La insistencia en una gestin de equipo de computo para cubrir las necesidades
de la institucin.
12.-En caso de que el entrevistado mencione cargas de trabajo Como las
establece?
Cargas de trabajo se dan en periodos de examen y fin de semestre. (uso
frecuente de laboratorio para investigacin y practica).
13.-Cmo las controla?
Haciendo horarios para cada grupo en los cuales se establece tiempo de
impresin, investigacin y practica, pidiendo apoyo a alumnos de servicio social.
14.-Como se deciden las polticas que han que implementarse?
Estas polticas se deciden de acuerdo a la reforma y alas necesidades que se
presenten lo establece direccin general, direccin administrativa y direccin
acadmica de colegio de bachilleres del estado de Tlaxcala.
15.-como recibe las instrucciones de los trabajos recomendados?
En reunin de academia se toman acuerdos y posteriormente el jefe de
materia (rea comunicaciones) gira un oficio anexando un cronograma de
Pgina 45
actividades y tiempo limite. Estas reuniones se realizan en receso de semestre
con el fin de que la informacin sea actualizada.
16.-Con que frecuencia recibe capacitacin y de que tipo?
La capacitacin se realiza en receso de semestre tomando como base la
planeacin para nuevo ingreso,. esta capacitacin mas que nada es para
establecer forma de trabajo, actualizar informacin por medio de cursos o talleres,
de acuerdo a las asignaturas.
17.-Sobre que tema le gustara recibir capacitacin?
Sobre como administrar un laboratorio de informtica.
18.-Mencione la capacitacin obtenida y dada a su personal durante el ltimo ao.
En la actualidad lo que se pretende es apegarse a los lineamientos que
establece la RIEMS (Reforma integral del la educacin media superior).
19.-Cmo considera el ambiente de trabajo?
Lo considero bueno y satisfactorio.
Aunque existen necesidades en esta rea de trabajo pero se puede improvisar.
20.-Observaciones.
Al realizar la entrevista la relacin fue de confianza y cordialidad esto nos
permiti obtener una informacin mas real.
3.4.- SITUACIN PRESUPUESTAL Y FINANCIERA.
La informacin financiera presupuestada est basada en diversos eventos e

hiptesis que se espera ocurran en un futuro.
Dicha informacin puede referirse a una cuenta, proyecto o estados financieros
futuros de una entidad
A su vez ste tipo de informacin financiera puede estar elaborada bajo

circunstancias que no necesariamente se espera que ocurran, con el propsito de
determinar diversos escenarios financieros (pesimista, esperado y optimista) para
ayudar a la toma de decisiones
Pgina 46
La auditora presupuestaria tiene como objetivo analizar la forma de clculo de las
cifras, as como verificar que tengan relacin con las circunstancias, supuestos o
hiptesis bajo las cuales fueron determinadas.
Lo anterior para otorgar una opinin profesional sobre la certeza de las cifras
presupuestadas en el caso de darse los supuestos bajo los cuales fueron
estimadas o proyectadas.
3.4.1.- PRESUPUESTOS.
Un presupuesto es una herramienta de gestin conformada por un documento en

donde se cuantifican pronsticos o previsiones de diferentes elementos de un
negocio.
Los presupuestos se suelen relacionar exclusivamente con los ingresos o egresos
que realizar una empresa, sin embargo, podemos hacer uso de estas
herramientas para cuantificar pronsticos o previsiones de cualquiera de los
elementos de un negocio, por ejemplo, podemos presupuestar los cobros que
realizaremos, los pagos de nuestras de deudas, los productos que fabricaremos,
los materiales que requeriremos para producir dichos productos, etc.
Los presupuestos son herramientas fundamentales para un negocio ya que nos
permiten planificar, coordinar y controlar nuestras operaciones:
planeacin: los presupuestos nos permiten planificar actividades, planificar

objetivos, recursos, estrategias, cursos a seguir; anticipndose a los hechos
y, por tanto, ayudndonos a reducir la incertidumbre y los cambios.
coordinacin: los presupuestos sirven como gua para coordinar
actividades, permitindonos armonizar e integrar todas las secciones o
reas del negocio, tanto entre stas, como con los objetivos de la empresa.
control: los presupuestos sirven como instrumento de control y evaluacin,
nos permiten comparar los resultados obtenidos con los presupuestados
para que, de ese modo, por ejemplo, saber en qu reas o actividades
Pgina 47
existen desviaciones o variaciones (diferencias entre lo obtenido y lo
presupuestado).
3.4.2.- RECURSOS FINANCIEROS Y MATERIALES
Recursos financieros
Estos resultan fundamentales para el xito o fracaso de una gestin

administrativa, lo bsico en su administracin es lograr el equilibrio en su
utilizacin. Tan negativo es para la empresa en su escasez como su abundancia.
Cualquiera de las dos situaciones resulta antieconmica; de ah que la
administracin de recursos materiales haya cobrado tanta importancia
actualmente.
La administracin de recursos materiales consiste en:
Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo,

y en la cantidad y calidad requerida, los bienes y servicios para cada unidad
orgnica de la empresa de que se trate, con el propsito de que se ejecuten las
tareas y de elevar la eficiencia en las operaciones.
Recursos Financieros
La administracin de recursos financieros supone un control presupuestal y

significa llevar a cabo toda la funcin de tesorera (ingresos y egresos). Es decir,
todas las salidas o entradas de efectivo deben estar previamente controladas por
el presupuesto.
Para estar en condiciones de evitar fallas y de aplicar correcciones

oportunamente, corresponde al rea financiera realizar los registros contables
necesarios. Estos registros contables deben corresponder al presupuesto
efectundose por unidad organizacional.
Pgina 48
La administracin financiera consiste en:
Obtener oportunamente y en las mejores condiciones de costo, recursos

financieros para cada unidad orgnica de la empresa que se trate, con el propsito
de que se ejecuten las tareas, se eleve la eficiencia en las operaciones y se
satisfagan los intereses de quienes reciben los bienes o servicios.
4.- EVALUACIN DE LA SEGURIDAD.
4.1GENERALIDADES DE LA SEGURIDAD DEL REA FSICA
Durante mucho tiempo se considero que los procedimientos de auditora y

seguridad era responsabilidad de la persona que elabora los sistemas, sin
considerar que es responsabilidad del rea de informtica en cuanto a la
utilizacin que se le da a la informacin y a la forma de accesarla y del
departamento de auditora interna en cuanto a la supervisin y diseo de los
controles necesarios. La seguridad del rea de informtica tiene como objetivos:
Proteger la integridad, exactitud y confidencialidad de la informacin
Proteger los activos ante desastres provocados por la mano del hombre y de
actos hostiles
Proteger la organizacin contra situaciones externas como desastres naturales y

sabotajes
En caso de desastre, contar con los planes y polticas de contingencias para

lograr una pronta recuperacin
Contar con los seguros necesarios que cubran las prdidas econmicas encaso
de desastre. Los motivos de los delitos por computadora normalmente son por:
Beneficio personal
Beneficios para la organizacin
Pgina 49
Sndrome de Robn Hood (por beneficiar a otra persona)
Jugando a jugar Auditoria Informtica
Fcil de desfalcar
El individuo tiene problemas financieros
La computadora no tiene sentimientos
El departamento es deshonesto odio a la organizacin
Equivocacin de ego
Mentalidad turbada Se consideran que hay cinco factores que han permitido el
incremento de los crmenes por computadora
El aumento del nmero de personas que se encuentran estudiando computacin
El aumento del nmero de empleados que tienen acceso a los equipos
La facilidad en los equipos de cmputo
El incremento en la concentracin del nmero de aplicaciones y,

consecuentemente, de la informacin.
En la actualidad las compaas cuentan con grandes dispositivos para seguridad

fsica de las computadoras, y se tiene la idea que los sistemas no puedan ser
violados si no se entra en el centro de cmputo, olvidando que se pueden usar
terminales y sistemas de teleproceso.
4.2.- SEGURIDAD LGICA Y CONFIDENCIAL
.Se encarga de los controles de acceso que estn diseados para salvaguardar la
integridad de la informacin almacenada de una computadora, as como controlar
el mal uso de su informacin. Estos controles reducen el riesgo de caer en
situaciones adversas. seguridad lgica se encarga de controlar y salvaguardar la
informacin generada por los sistemas, por el software de desarrollo y por los
Pgina 50
programas en aplicacin; identifica individualmente a cada usuario y sus
actividades en el sistema, y restringe el acceso a datos, a los programas de uso
general, de uso especifico, e la redes y terminales. La falta de seguridad lgica o
su violacin puede traer las siguientes consecuencias a la organizacin:
Cambio de los datos antes o cuando se le da entrada a la computadora
Copias de programas y/o informacin
Cdigo oculto en un programa
Entrada de virus
El tipo de seguridad puede comenzar desde una simple llave de acceso

(contraseas) hasta los sistemas ms complicados, pero se debe evaluar que
cuanto ms complicados sean los dispositivos de seguridad ms costosos
resultan. Los sistemas de seguridad normalmente no se consideran la posibilidad
defraude cometida por los empleados en el desarrollo de sus funciones. Un
mtodo eficaz para proteger los sistemas de computacin el software de control de
acceso. Estos paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a
informacin confidencial. El sistema integral de seguridad debe comprender:
Elementos administrativos
Definicin de una poltica de seguridad Auditoria
Organizacin y divisin de responsabilidades
4.3.- SEGURIDAD PERSONAL
Uno de los punto ms importantes a considerar para poder definir la seguridad de

un sistema es el grado de actuacin que puede tener un usuario dentro de un
sistema, ya que la informacin se encuentra en un archivo normal o en una base
de datos, o bien que se posea una minicomputadora, o un sistema de red. Para
esto podemos definir los siguientes tipos de usuarios:
Pgina 51
Propietario.- Es el dueo de la informacin y responsable de sta, y puede
realizar cualquier funcin:
Administrador.- Solo puede actualizar o modificar el software con la debida

autorizacin
Usuario principal.- Esta autorizado por el propietario para hacer modificaciones,

cambios, lecturas y utilizacin de los datos, pero no da autorizacin para que otros
usuarios entren
Usuario de consulta.- Solo puede leer la informacin
Usuario de explotacin.- Puede leer la informacin y usarla para explotacin de la

misma
Usuario de auditora.- Puede usar la informacin y rastrearla dentro del sistema

para fines de auditora Se recomienda que solo exista un usuario propietario y que
el administrador sea una persona designada por la gerencia de informtica.
4.4.- CLASIFICACIN DE LOS CONTROLES DE SEGURIDAD
El gran crecimiento de las redes, interconexiones y telecomunicaciones en

general, incluido el uso de Internet de forma casi corriente, ha demostrado que la
seguridad fsica no lo es todo. Es un punto que debe complementarse
necesariamente con la implementacin de controles para la seguridad lgica delos
sistemas y computadoras. Es esa tendencia de interconexin de redes con otras
redes, o de una simple PC a Internet la que nos da la pauta de que an si usamos
tarjetas electrnicas para acceder a nuestra oficina, hay otras puertas traseras
mucho menos evidentes que debemos controlar porque nuestros sistemas estn
virtualmente a la espera de que alguien intente utilizarlos. Los controles:
Identificacin y autenticacin de usuarios.- Identificacin es el proceso de

distinguir una persona de otra; y autenticacin es validar por algn medio que esa
persona es quien dice ser.
Los controles biomtricos:

Pgina 52
Huellas dactilares
Patrones de la retina
Geometra de la mano
Dinmica de la firma
Patrones de la voz
Programas de control de acceso.- Programas diseados para administrar los

permisos de acceso a los recursos del sistema de informacin.
Controles para el software.- Sirven para asegurar la seguridad y confiabilidad del

software.
Controles para el hardware.- Controles que aseguran la seguridad fsica y el

correcto funcionamiento del hardware de cmputo.
4.5.- SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIN
Ruta de acceso
El acceso a la computadora no significa tener una entrada sin restricciones. Limitar

el acceso slo a los niveles apropiados puede proporcionar una mayor seguridad.
Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema. Como
se ha sealado, un usuario puede pasar por uno o mltiples niveles de seguridad
antes de obtener el acceso a los programas y datos. Los tipos derestricciones de
acceso son:
Slo de lectura
Pgina 53
Slo de escritura
Lectura y consulta
Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar El esquema de

las rutas de acceso sirve para identificar todos los puntos de control que pueden
ser usados para proteger los datos en el sistema.
Software de control de acceso
Este puede ser definido como el software diseado para emitir el manejo de
control y acceso a los siguientes recursos.
Programas de libreras
Archivos de datos
Jobs
Programas de aplicacin
Mdulos de funciones
Utileras
Diccionario de datos
Archivos
Programas
Comunicacin
Controla el acceso a la informacin, grabando e investigando los eventos

realizados y el acceso a los recursos, por medio de identificacin del usuario. El
software de control de acceso tiene las siguientes funciones:
Definicin de usuarios
Definicin de las funciones del usuario despus de accesar el sistema

Pgina 54
El software de seguridad protege los recursos mediante la identificacin de los
usuarios autorizados con llaves de acceso, que son archivadas y guardadas por
este software. Algunos paquetes de seguridad pueden ser usados para restringir el
acceso a programas, libreras y archivo de datos; otros pueden limitar el uso de
terminales o restringir el acceso a base de datos. La mayor ventaja del software de
seguridad es la capacidad de proteger los recursos de acceso no autorizados,
incluyendo los siguientes:
Proceso en espera de modificacin por un programa de aplicacin
Acceso por los editores en lnea
Acceso por utileras de software
Acceso a archivos de las base de datos
Acceso a terminales o estaciones no autorizadas
Existen otros tipos de software de control de acceso como son los siguientes:
Sistemas operativos
Manejadores de base de datos
Software de consolas o terminales maestras
Software de libreras software de utileras
Telecomunicaciones
4.6.- CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN
Controles del software de seguridad general
Aplican para todos los tipos de software y recursos relacionados y sirven para:
El control de acceso a programas y a la instalacin
Vigilar los cambios realizados
Pgina 55
Controles de acceso a programas y datos
Cambios realizados
Diseo y cdigo de modificaciones
Coordinacin de otros cambios
Asignacin de responsabilidades
Revisin de estndares y aprobacin
Requerimientos mnimos de prueba
Procedimientos del respaldo en el evento de interrupcin
Controles de software especifico
Se presentan algunos de los controles usados por los diferentes tipos de software
especfico:
El acceso al sistema debe de ser restringido para individuos no autorizados
Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los

usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas
no autorizadas logren el acceso.
Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo

especifico de acceso de datos.
Para asegurar las rutas de acceso deber restringirse el acceso a secciones o

tablas de seguridad, mismas que debern ser encriptados. Debern restringirse
las modificaciones o cambios al software de control de acceso, y stos debern
ser realizados de acuerdo y a procedimientos no autorizados:
Software de sistemas operativos.
Controles que incluye:
Pgina 56
Los password e identificadores debern ser confidenciales
El acceso al software de sistema operativo deber ser restringido
Los administradores de seguridad debern ser los nicos con autoridad para
modificar funciones del sistema
Software manejador de base de datos.
El acceso a los archivos de datos deber ser restringido en una vista de datos
lgica
Deber controlar el acceso al diccionario de datos
La base de datos debe ser segura y se usaran las facilidades de control de

acceso construidas dentro del software DBMS
Software de consolas o terminales maestras.
Los cambios realizados al software de consolas o terminales maestras debern

ser protegidas y controlados
Software de libreras.
Tiene la facilidad de compara dos versiones de programas en cdigo fuente y

reportar las diferencias
Deben limitarse el acceso a programas o datos almacenados por el software de

libreras
Las versiones correctas de los programas de produccin deben corresponder a

los programas objetos
Pgina 57
Software de utileras.
Debern restringirse el acceso a archivos de utileras
Software de sistemas operativos.

Los password e identificadores debern ser confidenciales
El acceso al software de sistema operativo deber ser restringido
Los administradores de seguridad debern ser los nicos con autoridad para
modificar funciones del sistema
Software manejador de base de datos.
El acceso a los archivos de datos deber ser restringido en una vista de datos
lgica
Deber controlar el acceso al diccionario de datos
La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software DBMS
Software de consolas o terminales maestras.
Los cambios realizados al software de consolas o terminales maestras
debern ser protegidas y controlados
Software de libreras.
Tiene la facilidad de compara dos versiones de programas en cdigo fuente y
reportar las diferencias
Deben limitarse el acceso a programas o datos almacenados por el software
de libreras
Las versiones correctas de los programas de produccin deben corresponder
a los programas objetos
Software de utileras.
Pgina 58
Debern restringirse el acceso a archivos de utileras
Asegurar que nicamente personal autorizado tenga acceso a corre
aplicaciones
Software de telecomunicaciones.
Controles de acceso a datos sensibles y recursos de la red
El acceso diario al sistema debe ser monitoreado y protegido
4.7.-CONTROLES PARA PREVENIR CRMENES Y FRAUDES INFORMTICOS
Como hablamos de realizar la evaluacin de la seguridad es importante tambin

conocer cmo desarrollar y ejecutar el implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y
controlar las actividades relacionadas a mantener y garantizar la integridad fsica
de los recursos implicados en la funcin informtica, as como el resguardo de los
activos de la empresa."Por lo cual podemos ver las consideraciones de un sistema
de integral de seguridad.
Sistema Integral de Seguridad
Definir elementos administrativos
Definir polticas de seguridad
A nivel departamental
A nivel institucional
Organizar y dividir las responsabilidades
Contemplar la seguridad fsica contra catstrofes (incendios, terremotos,
inundaciones, etc.)
Definir prcticas de seguridad para el personal:
Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como
extinguidores.
Nmeros telefnicos de emergencia
Definir el tipo de plizas de seguros
Pgina 59
Definir elementos tcnicos de procedimientos
Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los sistemas de seguridad incluyendo datos y archivos
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas(simulacin)
Planificacin de equipos de contingencia con carcter peridico
Control de desechos de los nodos importantes del sistema:
Poltica de destruccin de basura copias, fotocopias, etc.
Etapas para Implementar un Sistema de Seguridad
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe

considerar los siguientes puntos:
Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad.

Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la
informacin en la organizacin a nivel software, hardware, recursos humanos, y
ambientales.
Elaborar un plan para un programa de seguridad. El plan debe elaborarse

contemplando:
Plan de Seguridad Ideal (o Normativo)

Un plan de seguridad para un sistema de seguridad integral debe contemplar:
El plan de seguridad debe asegurar la integridad y exactitud de los datos
Debe permitir identificar la informacin que es confidencial
Debe contemplar reas de uso exclusivo .
Debe proteger y conservar los activos de desastres provocados por la mano del
hombre y los actos abiertamente hostiles
Pgina 60
Debe asegurar la capacidad de la organizacin para sobrevivir accidentes
Debe proteger a los empleados contra tentaciones o sospechas innecesarias
Debe contemplar la administracin contra acusaciones por imprudencia
4.8.- PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTO DE

RECUPERACIN DE DESASTRES
PLAN DE CONTINGENCIAS
El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la
organizacin de requerimientos para su recuperacin ante desastres. La
metodologa tiene como finalidad conducir de la manera ms efectiva un plan de
recuperacin ante una contingencia sufrida por la organizacin. El plan de
contingencia es definido como: la identificacin y proteccin de los procesos
crticos de la organizacin y los recursos requeridos para mantener un aceptable
nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando
procedimientos para asegurar la sobrevivencia de la organizacin encaso de
desastre.
Entre los objetivos del plan de contingencia se encuentran:
Minimizar el impacto del desastre en la organizacin.

Establecer tareas para evaluar los procesos indispensables de la organizacin.
Evaluar los procesos de la organizacin, con el apoyo y autorizacin respectivos
a travs de una buena metodologa.
Determinar el costo del plan de recuperacin, incluyendo la capacitacin y la

organizacin para restablecer los procesos crticos de la organizacin cuando
ocurra una interrupcin de las operaciones.
Seguridad contara desastres provocada por agua
Pgina 61
Los centros de cmputo no deben colocarse en stanos o en reas de planta baja,
sino de preferencia en las partes altas de una estructura de varios pisos aunque
hay que cuidar que en zonas ssmicas no queden en lugares donde o peso
ocasionado por equipos o papel pueda provocar problemas. Se debe evaluar la
mejor opcin, dependiendo de la seguridad de acceso al centro de cmputo,
cuando en la zona existen problemas de inundaciones o son ssmicas. En caso de
ser zona de inundaciones o con problemas de drenaje la mejor opcin es colocar
el centro de cmputo en reas donde el riesgo de inundacin no sea evidente.
Algunas causas de esto pueden ser la ruptura de caeras o el bloqueo del
drenaje, por lo tanto, la ubicacin de las caeras en un centro de cmputo es una
decisin importante, as como considerar el nivel del manto fretico. Debe
considerarse el riesgo que representa el drenaje cuando el centro de cmputo se
localiza en un stano. Deben instalarse, si es el caso, detectores de agua o
inundacin, as como bombas de emergencia para resolver inundaciones
inesperadas. Otro de los cuidados que se deben tener para evitar daos por agua
es poseer aspersores contra incendio especiales que no sean de agua.
Seguridad de autorizacin de acceso

Es importante asegurarse que los controles de acceso sean estrictos durante todo
el da, y que stos incluyan a todo el personal de la organizacin, en especial
durante los descansos y cambios de turno. El personal de informtica, as como
cualquier otro ajeno a la instalacin, se debe identificar antes de entrar a sta. El
riesgo que proviene de alguien de la organizacin es tan grande como el de
cualquier otro visitante. Solamente el personal autorizado por medio de una llave
de acceso o por la gerencia debe ingresar a dichas instalaciones.
En los centros de cmputo se pueden utilizar los siguientes recursos:
Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe ser
difcil de duplicar.
Puerta de combinacin. En este sistema se usa una combinacin de nmeros
para permitir el acceso.
Pgina 62
Puerta electrnica. El sistema ms comn es el que usa una tarjeta de plstico
magntica como llave de entrada.
Puertas sensoriales. Son activadas por los propios individuos con alguna parte
de su cuerpo, como puede ser la huella dactilar, voz, retina, geometra de la mano
o bien por la firma.
Registros de entrada. Todos los visitantes deben firmar el registro de visitantes
indicando su nombre, su compaa, la razn para la visita, la persona a la que
visita.
Videocmaras. stas deben ser colocadas en puntos estratgicos para que se
pueda monitorear el centro
Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser
acompaados por un empleado responsable.
Puertas dobles. Este equipo es recomendable para lugares de alta seguridad: se
trata de dos puertas, donde la segunda slo se pueda abrir cuando la primera est
cerrada.
Alarmas. Todas las reas deben estar protegidas contra robo o accesos fsicos
no autorizados. Las alarmas contra robo deben ser usadas hasta donde sea
posible en forma discreta, de manera que no se atraiga la atencin hacia este
dispositivo de alta seguridad
Seguros
Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino,
aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que
entraa la computacin, ya que en ocasiones el riesgo no es claro para las
compaas de seguros, debido a lo nuevo de la herramienta, a la poca experiencia
existente sobre desastres y al rpido avance de la tecnologa. Como ejemplo de lo
anterior tenemos las plizas de seguros contra desastres, ya que algunos
conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual
hace que se duplique el seguro, o bien que sobrevengan desastres que no son
normales en cualquier otro tipo de ambiente. El seguro debe cubrir todo el equipo
y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el
equipo con las diferentes caractersticas (existe equipo que puede ser
Pgina 63
transportado, como computadoras personales, y otras que no se pueden mover,
como unidades de disco duro), por lo que tal vez convenga tener dos o ms
plizas por separado, cada una con las especificaciones necesarias. Como
ejemplo y en forma genrica, por lo comn un seguro de equipo de cmputo
considera lo siguiente:
Bienes que se pueden amparar.

Riesgos cubiertos.
Riesgos excluidos
Exclusiones
Suma asegurada.
Primas, cuotas y deducibles.
Indemnizacin en caso de siniestro
4.9.-TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD

FSICA Y DEL PERSONAL
Proteccin a los procedimientos de procesamiento y los equipos contra las

intervenciones exteriores:
Slo se debe permitir al personal autorizado que maneje los equipos de

procesamiento.
Slo se permitir la entrada al personal autorizado y competente
Seleccionar al personal mediante la aplicacin de exmenes integrales: mdico,
psicolgico, aptitudes, etc.
Contratar personal que viva en zonas cercanas a la empresa.
Acondicionar los locales, de acuerdo con las normas de seguridad.
Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la
manera de evitarlos.
Practicar con periodicidad exmenes mdicos al personal
Sostener plticas informales, directas e individuales con el personal.
Pgina 64
Instalar carteles y propaganda mural referentes a la seguridad.
Elaborar estadsticas sobre riesgos ocurridos y derivar de ellas las medidas
concretas adoptables para evitar su repeticin.
Enterar al personal sobre dichas estadsticas y las medidas adoptadas.
Proponer otras actividades que se consideren necesarias.
4.10.-TECNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD

DE LOS DATOS Y SOFTWARE DE APLICACION
Proteccin de los registros y de los archivos.

Formas en que se puede perder los archivos:
Su presencia en ambiente distribuido.
Manejo indebido por parte del operador.
Mal funcionamiento por parte de la maquina.
Plan de preservacin:
documentos fuente: los documentos fuentes en los que se basa un archivo
de entrada deben ser retenidos intactos hasta el momento de que el archivo
sea comprobado.
Archivos de disco: una caracterstica sea del archivo de disco es que el
registro anterior es destruido, no produce una copia automticamente una
copia en duplicado.
Vacio a otros medios: esto puede ser vaciado a otros discos, o a papel de
impresin.
Objetivo de la auditoria de software de aplicacin:

Verificar la presencia de procedimientos y controles Para satisfacer :
La instalacin del software.
Pgina 65
La operacin y seguridad del software.
La administracin del software.
Detectar el grado de confiabilidad:
Grado de confianza, satisfaccin y desempeo.
Investigar si existen polticas con relacin al software.
Detectar si existen controles de seguridad.
Actualizacin del software de aplicacin

Tipos de controles:
Control de distribucin.
Validacin de datos.
Totales de control.
Control de secuencia.
Pruebas de consistencia y verosimilitud.
Digito d control.
Control de distribucin.
UNIDAD 5 AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMTICA.
5.1 GENERALIDADES DE LA SEGURIDAD EN EL REA DE LA

TELEINFORMTICA
Introduccin
Una de las principales caractersticas de la sociedad actual es la gran importancia

que ha adquirido la posesin y el uso de la informtica. Se ha acuado el termino
de sociedad de la informacin para describir este fenmeno. El almacenismo, el
manejo y la difusin de grandes cantidades de informacin es algo habitual en
nuestros das, favorecido por el desarrollo de las denominadas nuevas tecnologas
de la informacin.
Pgina 66
La informtica ha facilitado este hecho, pero sucede, cada vez ms, que la
informacin que se obtiene o produce en un lugar, se precisa en otro lugar distinto,
a veces muy lejano.
Es normal que los datos implicados en un determinado proceso haya que

obtenerlos de distintos orgenes, fsicamente dispersos. La sociedad actual exige,
adems, disponer de estos datos con rapidez y fiabilidad.
Ante este problema de distancia entre el lugar de produccin de datos y el lugar de

tratamiento, la obtencin de informacin distante o la comparticin de datos y el
lugar de tratamiento.
La obtencin de informacin distante o la comparticin de datos por sujetos

ubicados en distintos lugares, ha surgido una nueva tcnica que utiliza u ana la
Informtica y las Telecomunicaciones, a la cual se denomina Teleinformtica
En la actualidad tiene una gran trascendencia tanto tcnica como social, lo que se
denomina teleinformtica: la unin de la informtica y las telecomunicaciones.
Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso
de expresiones y conceptos relacionados con la teleinformtica.
Mediante esta tcnica se pueden interconectar a distancia computadoras,

terminales y otros equipos, usando para ello algn medio adecuado de
comunicacin, como por ejemplo lneas telefnicas, cables coaxiales, microondas,
etctera.
Los requerimientos en la seguridad de la informacin de la organizacin han

sufrido dos cambios importantes en las ltimas dcadas.
Previo a la difusin en el uso de equipo de informacin la seguridad de la misma

era considerada como valiosa para la organizacin en las reas administrativas,
por ejemplo el uso de gabinetes con candado para el almacenamiento de
documentos importantes.
Pgina 67
Con la introduccin de las computadoras la necesidad de herramientas
automatizadas para la proteccin de archivos y otra informacin almacenada fue
evidente, especialmente en el caso de sistemas compartidos por ejemplo sistemas
que pueden ser accesados va telefnica o redes de informacin.
El nombre genrico de las herramientas para proteger la informacin as como la

invasin de hackers es la seguridad computacional.
El segundo cambio que afect la seguridad fue la introduccin de sistemas

distribuidos as como el uso de redes e instalaciones de comunicacin para enviar
informacin entre un servidor y una computadora o entre dos computadoras.
Las medidas de seguridad de redes son necesarias para proteger la informacin

durante su transmisin as como para garantizar que dicha informacin sea
autntica.
La tecnologa utilizada para la seguridad de las computadoras y de las redes

automatizadas es la inscripcin y fundamentalmente se utilizan la encripcin
convencional o tambin conocida como encripcin simtrica, que es usada para la
privacidad mediante la autentificacin y la encripcin public key.
Tambin conocida como asimtrica utilizada para evitar la falsificacin de

informacin y transacciones por medio de algoritmos basados en funciones
matemticas, que a diferencia de la encripcin simtrica utiliza dos claves para la
proteccin de reas como la confidencialidad, distribucin de claves e
identificacin.
Propiedades de la informacin que protegen la seguridad informtica
La Seguridad Informtica debe vigilar principalmente por las siguientes

propiedades:
Privacidad La informacin debe ser vista y manipulada nicamente por quienes

tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a la Privacidad
es la Divulgacin de Informacin Confidencial.
Pgina 68
Integridad La informacin debe ser consistente, fiable y no propensa a
alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificacin
no autorizada de saldos en un sistema bancario o de calificaciones en un sistema
escolar.
Disponibilidad La informacin debe estar en el momento que el usuario requiera

de ella. Un ataque a la disponibilidad es la negacin de servicio (En Ingls Denial
of Service o DoS) o tirar el servidor
5.2 OBJETIVOS Y CRITERIOS DE LA AUDITORIA EN EL REA DE LA

TELEINFORMTICA
Cada vez ms las comunicaciones estn tomando un papel determinante en el

tratamiento de
datos, cumplindose el lema el computador es la red. Mientras que comnmente

el directivo informtico tiene amplios conocimientos de comunicaciones estn a la
misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de
comunicaciones en el esquema organizativo existe.
Por su parte, los informticos a cargo de las comunicaciones suelen auto

considerarse exclusivamente tcnicos, obviando considerar las aplicaciones
organizativas de su tarea. Todos estos factores convergen en que la auditora de
comunicaciones no siempre se practique con la frecuencia y profundidad
equivalentes a las de otras reas del proceso de datos.
Por tanto, el primer punto de una auditora es determinar que la funcin de gestin
de redes y comunicaciones est claramente definida, debiendo ser responsable,
en general, de las siguientes reas
Gestin de la red, inventario de equipamiento y normativa de conectividad.
Monitorizacin de las comunicaciones, registro y resolucin de problemas.
Pgina 69
Revisin de costos y su asignacin de proveedores y servicios de
transporte, balanceo de trfico entre rutas y seleccin de equipamiento.
Como objetivos del control, se debe marcar la existencia de:
Una gerencia de comunicaciones con autoridad para establecer procedimientos y

normativa.
Procedimientos y registros de inventarios y cambios.
Funciones de vigilancia del uso de la red de comunicaciones, ajustes de

rendimiento, registro de incidencias y resolucin de problemas.
Procedimientos para el seguimiento del costo de las comunicaciones y su

reparto a las personas o unidades apropiadas.
Auditando la red fsica
En una primera divisin, se establecen distintos riesgos para los datos que
circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de
auditarse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y
han o estudiadas las vulnerabilidades existentes.
En general, muchas veces se parte del supuesto de que si no existe acceso fsico
desde el exterior ala red interna de una empresa las comunicaciones internas
quedan a salvo.
El equipo de comunicaciones se mantiene en habitaciones cerradas con

acceso limitado apersonas autorizadas.
La seguridad fsica de los equipos de comunicaciones, tales como

controladores de comunicaciones, dentro de las salas de computadores sea
adecuada.
Pgina 70
Slo personas con responsabilidad y conocimientos estn incluidas en la
lista de personas permanentemente autorizadas para entrar en las salas
de equipos de comunicaciones.
Se toman medidas para separar las actividades de electricistas y personal

de tendido y mantenimiento de tendido de lneas telefnicas, as como sus
autorizaciones de acceso, de aqullas del personal bajo control de
la gerencia de comunicaciones.
Facilidades de traza y registro del trfico de datos que posean los equipos
de monitorizacin.
Procedimientos de aprobacin y registro ante las conexiones a lneas de

comunicaciones en la deteccin y correccin de problemas.
En el plan general de recuperacin de desastres para servicios de

informacin presta adecuada atencin a la recuperacin y vuelta al servicio
de los sistemas de comunicacin de datos.
Existen planes de contingencia para desastres que slo afecten a las

comunicaciones, como el fallo de una sala completa de comunicaciones.
Las alternativas de respaldo de comunicaciones, bien sea con las mismas

salas o con salas de respaldo, consideran la seguridad fsica de
estos lugares.
Las lneas telefnicas usadas para datos, cuyos nmeros no deben ser
pblicos, tienen dispositivos/procedimientos de seguridad tales como retro-
llamada, cdigos de conexin o interruptores para impedir accesos no
autorizados al sistema informtico.
Auditando la red lgica
Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro
equipo, de manera que sea la red de comunicaciones el substrato comn que les
Pgina 71
une. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar
indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y
por tanto, al resto de los equipos de la instalacin.
Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se

producen y tener establecidos los procedimientos para detectar y aislar equipos en
situacin anmala. En general, si se quiere que la informacin que viaja por la red
no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin.
Como objetivos de control, se debe marcar la existencia de:
Contraseas y otros procedimientos para limitar y detectar cualquier intento de

acceso no autorizado a la red de comunicaciones.
Facilidades de control de errores para detectar errores de transmisin y establecer

las retransmisiones apropiadas
Controles para asegurar que las transmisiones van solamente a usuarios

autorizados y que los mensajes no tienen por qu seguir siempre la misma ruta.
5.3 SNTOMAS DE RIESGO

Introduccin
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que
se dan, son las races de la incertidumbre y el riesgo que las organizaciones
confrontan.
Las fusiones, la competencia global y los avances tecnolgicos, las

desregulaciones, y las nuevas regulaciones, el incremento en la demanda de los
consumidores y de los habitantes, la responsabilidad social y ambiental de las
organizaciones.
PREVISIN DE RIESGOS
Pgina 72
Tener en cuenta lo siguiente:
La evaluacin de los riesgos inherentes a los diferentes subprocesos de la
Auditora.
La evaluacin de las amenazas o causas de los riesgos.
Los controles utilizados para minimizar las amenazas o riesgos.
La evaluacin de los elementos del anlisis de riesgos.
EJECUCIN DE AUDITORAS
TIPOS DE RIESGO:
Riesgo de Control: Es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control
Interno.
Riesgo de Deteccin: Es aquel que se asume por parte de los auditores que en su
revisin no detecten deficiencias en el Sistema de Control Interno.
Riesgo Inherente: Son aquellos que se presentan inherentes a las caractersticas

del Sistema de Control Interno.
EXISTENCIA DE ERRORES O IRREGULARIDADES.
a) Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la

empresa.
b) Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotacin.
c) El desorden del departamento de contabilidad de una entidad implica informes

con retraso, registros de operaciones inadecuados, archivos incompletos, cuentas
no conciliadas, etc.
VERIFICAR FUNCIONES
Pgina 73
Aspectos:
existencia de un mtodo para cerciorarse que los datos recibidos para su

valoracin sean completos, exactos y autorizados
emplear procedimientos normalizados para todas las operaciones y examinarlos

para asegurarse que tales procedimientos son acatados;
existencia de un mtodo para asegurar una pronta deteccin de errores y mal

funcionamiento del Sistema de Cmputo;
deben existir procedimientos normalizados para impedir o advertir errores

accidentales, provocados por fallas de operadores o mal funcionamiento de
mquinas y programas .
SISTEMAS DE CONTROL DE RIESGOS
o Sistemas Comunes de Gestin
o Servicios de Auditora Interna
Sistemas Comunes de Gestin
Desarrollan las normas internas y su mtodo para la evaluacin y el control

de los riesgos y representan una cultura comn en la gestin de los negocios,
compartiendo el conocimiento acumulado y fijando criterios y pautas de actuacin.
OBJETIVOS
1. Identificar posibles riesgos

2. Optimizar la gestin diaria
3. Fomentar la sinergia y creacin de valor de los distintos grupos de negocio
trabajando en un entorno colaborador.
4. Reforzar la identidad corporativa
Pgina 74
5. Alcanzar el crecimiento a travs del desarrollo estratgico que busque la
innovacin y nuevas opciones a medio y largo plazo.
NIVELES
a) todas las Unidades de Negocio y reas de actividad.
b) todos los niveles de responsabilidad
c) todos los tipos de operaciones.
GESTIN DE RIESGOS
Servicios de Auditora.
Auditores internos con las dems reas de la organizacin en los procesos de

mejora continua relacionados con:
la identificacin de los riesgos relevantes a partir de la definicin de los dominios

o puntos clave de la organizacin.
La estimacin de la frecuencia con que se presentan los riesgos identificados.

La determinacin de los objetivos especficos de control ms convenientes.
Qu evalan los auditores internos?

La cantidad y calidad de las exposiciones al riesgo referidas a la
administracin, custodia y proteccin de los recursos disponibles, operaciones y
sistemas de informacin de la organizacin, teniendo en cuenta la necesidad de
garantizar a un nivel razonable.
OBJETIVOS
Confiabilidad e integridad de la informacin financiera y operacional.

Eficacia y eficiencia de las operaciones.
Control de los recursos de todo tipo a disposicin de la entidad.
Cumplimiento de las leyes, reglamentos, polticas y contratos.
GESTIN DE RIESGOS
Pgina 75
Servicios de Consultora.
Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de
los trabajos de Consultora en los procesos de identificacin, anlisis y evaluacin
de las exposiciones de riesgo significativa en la organizacin.
Los riesgos pueden provenir de:
Deficiencias en actividades generales del sistema de informacin automatizado
Desarrollo y mantenimiento de programa

Soporte tecnolgico de los software de sistemas
Operaciones
Seguridad fsica
Control sobre el acceso a programas.
La naturaleza de los riesgos y las caractersticas del Control Interno

Falta de rastro de las transacciones.
Falta de segregacin de funciones.
5.4.- TCNICAS Y HERRAMIENTAS AUDITORIA

RELACIONADAS CON SEGURIDAD TELEINFORMTICA
Teleinformtica
La ciencia que estudia el conjunto de tcnicas que es necesario usar para
poder transmitir datos dentro de un sistema informtico o entre puntos de l
situados en lugares remotos o usando redes de telecomunicaciones
Objetivos
Reducir tiempo y esfuerzo.
Capturar datos en su propia fuente.
Centralizar el control.
Aumentar la velocidad de entrega de la informacin.
Reducir costos de operacin y de captura de datos.
Pgina 76
Aumentar la capacidad de las organizaciones, a un costo incremental
razonable.
Aumentar la calidad y la cantidad de la informacin.
Mejorar el sistema administrativo
Las tcnicas de comunicacin se estructuran en:
Niveles: fsico
Enlace de datos
Red
Transporte
Sesin
Presentacin
Aplicacin.
Redes de rea local
Red Internet y su protocolo TCP/IP
Programas de Comunicacin y Gestin de Red.
Utilizando Tcnicas teleinformticas:
Cuando se desea reducir un elevado volumen de correo, de llamadas

telefnicas o de servicios de mensajera.
En los casos en que se efecten muy a menudo operaciones repetitivas
Cuando sea necesario aumentar la velocidad de envo de la informacin
En la ejecucin de operaciones descentralizadas.
Para mejorar el control, descentralizando la captura de datos y
centralizando su procesamiento.
En los casos en que es necesario disminuir riesgos en el procesamiento
de la informacin
Cuando sea menester mejorar la actividad de planificacin en la
organizacin.
SINTOMAS DE RIESGO TELEINFORMATICA
Los controles directivos

El desarrollo de las polticas.
Amenazas fsicas externas.
Control de accesos adecuado
Proteccin de datos
Comunicaciones y redes
El entorno de produccin.
El desarrollo de aplicaciones en un entorno seguro
Pgina 77
La continuidad de las operaciones
EVALUACIN DE RIESGOS
Se trata de identificar riesgos, cuantificar su probabilidad e impacto y

analizar medidas que los eliminen o que disminuyan la probabilidad de que
ocurran los hechos o mitiguen el impacto.
UNIDAD.- 6 INFORME DE LA AUDITORIA INFORMTICA .
6.1 GENERALIDADES DE LA SEGURIDAD DEL REA FSICA.
Cuando se habla de seguridad informtica existe una clara tendencia a hacer el

siguiente raznamiento de forma ms o menos inconsciente:
1. Queremos proteger bienes de carcter informtico (por ejemplo, datos
confidenciales)
2. Las amenazas que dichos bienes pueden sufrir proceden del medio informtico
(por ejemplo, copia no autorizada de esos datos)
3. Por tanto, los mecanismos de proteccin tambin deben ser informticos (por
ejemplo, restricciones de acceso a dichos datos).
As, asociamos el concepto de seguridad exclusivamente a mecanismos
relativamente sofisticados de control informtico, como pueden ser entrada
restringida al sistema, denegacin de privilegios de lectura y modificacin de
ficheros, cifrado de las comunicaciones, o proteccin de las redes mediante
cortafuegos.
Las medidas de seguridad fsica servirn para proteger nuestros equipos e

informacin frente a usos inadecuados, fallos de instalacin elctrica, accidentes,
Pgina 78
robos, atentados, desastres naturales, y cualesquiera otros agentes que atenten
directamente contra su integridad fsica.
Las amenazas a la seguridad fsica
Son muchos los agentes que pueden acabar con la buena salud de nuestro
hardware (una sobrecarga de tensin, un pequeo accidente) o incluso hacerlo
desaparecer (un robo, un incendio).
Agentes naturales, acciones del entorno y desastres
Los ordenadores son extraordinariamente vulnerables a agentes naturales que

ordinariamente se consideran de importancia menor o nula para la seguridad de
un inmueble tpico, como pueden ser el humo, el polvo, la sequedad, la
humedad, las temperaturas extremas, las tormentas elctricas, las
vibraciones o incluso los insectos, pues deterioran progresiva pero eficazmente
algunos componentes del hardware, como conectores, soldaduras, cabezas
lectoras, circuitos impresos e integrados o tubos catdicos.
Adems existe otra serie de agentes que pueden tener origen humano y que
tambin tienen la capacidad deteriorar seriamente o destruir la funcionalidad de
nuestros equipos, como las sobrecargas de tensin, los campos
electromagnticos fuertes o los movimientos bruscos.
Por ltimo, los desastres como el fuego, las inundaciones, las explosiones o los
terremotos tienen para los ordenadores las mismas consecuencias devastadoras
que para la generalidad de los equipos elctricos y electrnicos. En el caso del
agua, a los daos que pueden sufrir los equipos hay que aadir el riesgo de
electrocucin para el personal que los manipula.
Pgina 79
El plan de seguridad fsica

Hay dos cuestiones esenciales que se han de tener en cuenta al concebir la
seguridad fsica de una instalacin.
La primera es que debe pensarse para cada lugar concreto, adecundose a sus
caractersticas fsicas y a los agentes circundantes que pueden suponer una
amenaza para los sistemas.
La segunda es que existe una cantidad muy grande de variables a considerar, por
el gran nmero de posibles amenazas. La especificidad y multiplicidad de la
seguridad fsica determinan una mayor dificultad en la resolucin de los problemas
que en su mbito se plantean.
Por ello es absolutamente necesario que el primer paso a dar para asegurar
fsicamente nuestras instalaciones sea formular un plan escrito de las
necesidades de seguridad fsica y de las medidas destinadas a cubrirlas en el
futuro.
Este plan debe incluir los siguientes elementos:
Descripcin de los dispositivos fsicos a proteger, incluyendo
ordenadores,
perifricos, cables, conexiones, soportes de datos, etc.
Descripcin del rea fsica en el que estn localizados esos dispositivos.
Descripcin del permetro de seguridad y de sus posibles agujeros.
Pgina 80
Descripcin de las amenazas contra las que nos queremos proteger, incluyendo
una
estimacin de su probabilidad.
Descripcin de nuestras defensas.
Enumeracin de los medios para mejorarlas.
Estimacin del coste de las mejoras.
6.2 CARACTERSTICAS DEL INFORME
El Informe se inicia con la fecha de comienzo de la auditora y la fecha de

redaccin del mismo. Se incluyen asimismo los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicacin de la Jefatura,
responsabilidad o puesto de trabajo que ostente.
Tras estos prolegmenos, se expondrn, a saber:
1. Definicin de objetivos y alcance de la auditora( ya estudiados).
2. Enumeracin de temas considerados. Antes de tratarlos en profundidad , se

enumerarn lo ms exhaustivamente posible todos los temas objeto de la
auditora.
3. Cuerpo expositivo
Para cada tema objeto de auditora, se seguir el siguiente orden, a saber:
a) Situacin actual. Cuando se trate de una Revisin peridica, en la que se

analiza no solamente una situacin sino adems su evolucin en el tiempo, se
expondr la situacin prevista y la situacin real.
b) Tendencias. Se tratarn de hallar parmetros de correlacin que permitan

establecer tendencias de situacin futura. No siempre es posible tal pretensin.
Pgina 81
c) Puntos dbiles y amenazas. Debern explicarse por s mismos, sin referencias
a otros lugrares del informe.
d) Recomendaciones y Planes de Accin. Constituyen, junto con la exposicin de

puntos dbiles, el verdadero objeto de la auditora informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.
Modelo conceptual de exposicin del informe final
El modelo de Informe final de auditora informtica por el que hemos optado es

utilizado por Compaas y auditores independientes prestigiosos. Se basa en los
dos principios fundamentales siguientes:
A) El Informe debe incluir solamente hechos importantes.
La inclusin de hechos poco relevantes o accesorios desva la atencin del que lo

lee y desvirta el informe en su conjunto.
B) El Informe debe consolidar los hechos que se describen en el mismo.
En auditora, el trmino de "hechos consolidados" adquiere un especial significado

de verificacin objetiva y de estar documentalmente probados y soportados.
La consolidacin de los hechos debe satisfacer, al menos, los siguientes criterios

bsicos:
1. El hecho que se incluya debe poder ser sometido a cambio.

2. Las ventajas del cambio deben superar los incovenientes derivados de
mantener la situcin.
3. No deben existir alternativas viables que superen, por ms beneficiosos y

por mejor ratio prestacin/ costo, al cambio propuesto.
Pgina 82
4. La recomendacin del auditor sobre el hecho en cuestin ha de mantener o
mejorar las Normas y estndares existentes en la instalacin.
Cumplidos los dos principios y los criterios de consolidacin expuestos, el hecho

pasa al Informe.
La aparicin de un hecho en un informe de auditora implica necesariamente la

existencia de una debilidad qu ha de ser corregida. Veamos el modelo de flujo del
hecho o debilidad, y el orden, desde su aparicin hasta la recomendacin del
auditor para eliminarla:
1.Hecho encontrado
Ha de ser relevante para el auditor y para el cliente.

Ha de ser exacto, y adems convincente.
No deben existir hechos repetidos. Deben procurarse evitar incluso las

referencias y alusiones a otros hechos.
2. Consecuencias del hecho
Las consecuencias deben redactarse de modo que sean directamente

deducibles del hecho.
3. Repercusin del hecho
Se redactar, si existe, las influencias directas que el hecho pueda tener

sobre otros aspectos informticos u otros mbitos de la empresa auditada.
4. Conclusin del hecho
No deben redactarse conclusiones ms que en los casos en la exposicin

haya sido muy extensa y compleja.
5. Recomendacin del auditor informtico

Pgina 83
Siempre se explicitar la palabra "Recomendacin", y ninguna otra.
Deber entenderse por s sola, por su simple lectura.
Deber estar suficientemente soportada en el propio texto.
Deber ser concreta y exacta en el tiempo, para que pueda ser seguida y
verificada su implementacin.
La Recomendacin se redactar de forma que vaya dirigida expresamente

a la persona o personas que puedan implementarla.
Debern evitarse las Recomendaciones demasiado generales. No debern

redactarse expresiones como "... se den las rdenes oportunas para que...
".Se deber decir: "... se elabore un programa para que en 60 das...".
7.CARTA DE INTRODUCCION O PRESENTACION DEL INFORME FINAL
La Carta de Introduccin tiene especial importancia porque en un mximo de 3 4

folios ha de resumirse la auditora realizada.
Es de naturaleza sumamente restrictiva:
Se destina exclusivamente al responsable mximo de la empresa, o a la persona

concreta que encarg o contrat la misma, o a la persona en quin ella hubiese
delegado expresamente.
As como pueden existir tantas copias del Informe Final como solicite el cliente,
siempre que ste especifique los nombres de los destinatarios, la Auditora no
har copias de la citada Carta de Introduccin.
Se entiende que la Carta de Presentacin o Carta de Introduccin del Informe

debe sintetizar al mximo el contenido de aqul. El mximo responsable del
cliente debe poder formarse una idea aproximada dela situacin con la lectura de
esta sucinta Carta.
Pgina 84
La misma, poseer los siguientes atributos:
- Tendr una longitud mxima de 4 folios, aunque la auditora tenga centenares de

ellos.
- Incluir fecha, naturaleza, objetivos y alcance.
- Cuantificar la importancia de las reas analizadas.
- Proporcionar una conclusin general, concretando las reas de gran debilidad.
- Presentar las debilidades en orden de importancia y gravedad, de mayor a

menor. (Obsrvese cmo el orden del Informe y de la Carta no tienen por qu
coincidir).
- En la Carta de Introduccin no se escribirn nunca Recomendaciones. (Las

Recomendaciones se expresan siempre en los Informes).
7.1. Pautas de Lenguaje y redaccin del informe
Ttulos: Han de ser expresivos, pero breves.
Prrafos: En cada prrafo debe tratarse un solo asunto. Cada prrafo debe tener 8
10 lneas como mximo. Cuando exceda de esta cantidad, se dividir en dos.
Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por
el verbo. Por ello, cada frase contendr un verbo, dos como mximo.
La frase no debe superar las tres lneas.
No deben cambiarse verbos por nombres. No se debe escribir "... hemos realizado
un examen..."; hay que escribir "... hemos examinado...".
Otros:
Pgina 85
- Utilizar lenguaje sobrio normal, no excesivamente culto. Se permiten anglicismos
y palabras tcnicas muy conocidas.
- Utilizar la voz activa o reflexiva, pero nunca la pasiva.
- Omitir palabras innecesarias. No deben usarse expresiones como "Con

referencia a", "Consecuentemente con", "en nuestra opinin", "creemos que",
"consideramos que", etc.
- Evitar redundancias de lenguaje. No podr redactarse, por ejemplo, "hemos

revisado y analizado".
-No expresarse por medio de adverbios y adjetivos simultneamente. Ejemplo: No

debe redactarse "es estrictamente necesario que ...".
6.3 ESTRUCTURA DEL INFORME
INFORME DE AUDITORA
El informe es el documento escrito mediante el cual la comisin de auditora
expone el resultado final de su trabajo, a travs de juicios fundamentados en las
evidencias obtenidas durante la fase de ejecucin, con la finalidad de brindar
suficiente informacin a los funcionarios de la entidad auditada y estamentos
pertinentes, sobre las deficiencias o desviaciones ms significativas, e incluir las
recomendaciones que permitan promover mejoras en la conduccin de las
actividades operaciones del rea o reas examinadas.
NORMAS RELACIONADAS AL INFORME DE AUDITORA

NAGU 4.20 OPORTUNIDAD DEL INFORME
Pgina 86
La comisin auditora deber adecuarse a los plazos estipulados en el programa
correspondiente, a fin que el informe pueda emitirse en el tiempo previsto,
permitiendo que la informacin en l revelada sea utilizada oportunamente por el
Titular de la entidad y/o autoridades de los niveles apropiados del Estado.
El informe debe ser oportuno a fin de que sea til por la entidad, siendo necesario
el estricto cumplimiento de las fechas programadas para las distintas fases de la
accin de control.
El Informe ser denominado teniendo en consideracin, la naturaleza o tipo de

accin de control efectuado, indicando los datos correspondientes a su
numeracin e incluyendo un ttulo, el cual deber ser breve, especfico y redactado
en tono constructivo.
ESTRUCTURA DEL INFORME

I. INTRODUCCIN.
1. Origen del examen.
2. Naturaleza y objetivos del examen.
3. Alcance del examen.
4. Antecedentes y base legal de la entidad.
5. Comunicacin de hallazgos.
6. Memorndum de Control Interno.
7. Otros aspectos de importancia.
II. OBSERVACIONES.
III. CONCLUSIONES.
IV. RECOMENDACIONES.
V. ANEXOS.
FIRMA
Pgina 87
. INTRODUCCIN.
Comprender informacin general concerniente a la accin de control y a la
entidad examinada.
1. Origen del Examen
Referido a los antecedentes o razones que motivaron la accin de control,
es el caso de: planes anuales de control, denuncias, solicitudes (del titular de la
entidad, de la CGR, del Congreso, etc.), entre otros; debiendo hacerse mencin al
documento y fecha de acreditacin.
2. Naturaleza y Objetivos del examen

En este rubro se sealar la naturaleza o tipo de la accin de control, as
como los objetivos previstos; exponindose ellos segn su grado de significancia o
importancia para la entidad, incluyendo precisiones que correspondan en cuanto al
nivel de cumplimiento alcanzado en cada caso.
3. Alcance del examen
Se indicar claramente la cobertura y profundidad del trabajo realizado para

el logro de los objetivos de la accin de control, precisando el periodo y reas de
la entidad examinadas, mbito geogrfico donde se realiz el examen, dejndose
constancia que se llev de acuerdo a las NAGU; para el caso de auditora
financiera se mencionar que se llev a cabo de acuerdo a las NAGAs, Normas
Internacionales de Auditora y dems disposiciones aplicables al efecto.
Pgina 88
Asimismo, de considerarlo pertinente la comisin auditora revelar las
limitaciones de informacin u otras relativas al alcance del examen que se
hubieran presentado y afectado el proceso de la accin de control, as como las
modificaciones efectuadas al enfoque o curso de la misma como consecuencia de
dichas limitaciones.
4. Antecedentes y base legal de la entidad
Se har referencia de manera breve y concisa, a los aspectos relevantes

que guarden vinculacin directa con la accin de control realizada, sobre la misin,
naturaleza legal, ubicacin orgnica y funciones realizadas de la entidad y/o reas
examinadas, as como las principales normas legales que le(s) sean de aplicacin,
con el objeto de situar y mostrar apropiadamente el mbito tcnico y jurdico que
es materia de control; evitndose, insertar simples o tediosas transcripciones
literales de textos y/o relaciones de actividades o disposiciones normativas.
5. Comunicacin de hallazgos
Se deber indicar haberse dado cumplimiento a la comunicacin oportuna
de los hallazgos efectuada al personal que labora o haya laborado en la entidad
comprendido en ellos. Asimismo, se indicar la inclusin de un Anexo en el
Informe con la relacin del personal al servicio de la entidad examinada,
finalmente considerado en las observaciones contenidas en el mismo,
consignndose en dicha nmina los nombres y apellidos, documento de identidad,
cargo(s) desempeado(s), periodo(s) de gestin, condicin laboral y domicilio
correspondientes, con indicacin de aquellas en que estuvieren incursos en cada
caso.
6. Memorndum de Control Interno
Se indicar que durante la accin de control se ha emitido el Memorndum

de Control Interno, en el cual se inform al titular respecto a la efectividad de los
controles internos implantados en la entidad. Dicho documento as como el reporte
Pgina 89
de las acciones correctivas que en virtud del mismo se hayan adoptado, se deber
adjuntar como Anexo del Informe.
. Otros aspectos de importancia
Se revelar aquella informacin que la comisin auditora basada en su opinin
profesional competente, considere de importancia o significacin, para fines del
Informe, dar a conocer hechos, acciones o circunstancias que por su naturaleza e
implicancias, tengan relacin con la situacin evidenciada en la entidad o los
objetivos de la accin de control y, cuya revelacin permita mostrar la objetividad e
imparcialidad del trabajo desarrollado por la comisin, tales como:
a) El reconocimiento de las dificultades o limitaciones, de carcter
excepcional, en las que se desenvolvi la gestin realizada por los responsables
de la entidad o rea examinada.
b) El reconocimiento de logros significativos alcanzados durante la gestin
examinada.
c) La adopcin de correctivos por la propia administracin, durante la
ejecucin de la accin de control, que hayan permitido superar hechos
observables.
d) Informar de aquellos asuntos importantes que requieran un trabajo
adicional, siempre que no se encuentren directamente comprendidos en los
objetivos de la accin de control.
e) Eventos posteriores a la ejecucin del trabajo de campo que hayan sido de
conocimiento de la comisin auditora y que afecten o modifiquen el
funcionamiento de la entidad o de las reas examinadas.
Si algunos de los aspectos considerados en este punto por la comisin auditora
demandara una exposicin o desarrollo extenso, ser incluido como anexo del
Informe. Dichos aspectos, podrn lugar a la formulacin de conclusiones y
recomendaciones, si hubiera mrito para ello.
II. OBSERVACIONES
III. La Comisin Auditora desarrollar las observaciones que, como
consecuencia del trabajo de campo y la aplicacin de procedimientos,
Pgina 90
hayan sido determinadas como tales, una vez concluido el proceso de
evaluacin y contrastacin de los hallazgos comunicados con los
comentarios y/o aclaraciones formulados por el personal comprendido en
los mismos, as como la documentacin y evidencia sustentatoria
respectiva.
IV. Las observaciones se debern referir a hechos o situaciones de carcter
significativo y de inters para la entidad examinada, cuya naturaleza
deficiente permita oportunidades de mejora y/o correccin, incluyendo
informacin suficiente y competente relacionada con los resultados de la
evaluacin efectuada a la gestin de la entidad examinada.
V. Se presentarn de forma ordenada, lgica y numerada correlativamente,
evitando el uso de calificativos innecesarios y describiendo apropiadamente
sus elementos o atributos caractersticos. Se debe considerar aspectos
esenciales: Sumilla, Elementos de la observacin, comentarios y/o
aclaraciones y su evaluacin.
Sumilla
Es el ttulo o encabezamiento que identifica el asunto materia de
observacin.
2. Elementos de la observacin
Condicin: Hecho o situacin deficiente detectada.
Criterio: Norma, disposicin o parmetro de medicin aplicable al hecho
observado.
Efecto: Consecuencia real o potencial, cuantitativa o cualitativa,
ocasionada por el hecho o situacin observada, indispensable para establecer su
importancia y recomendar a la entidad que adopte las acciones correctivas
requeridas.
Causa: Motivo que dio lugar el hecho o situacin observada, cuya
identificacin requiere de la habilidad y juicio profesional de la comisin auditora y
es necesaria para la formulacin de una recomendacin constructiva que
prevenga la recurrencia de la condicin.
Pgina 91
3. Comentarios y/o aclaraciones del personal comprendido en las
observaciones
Son las respuestas brindadas a la comunicacin de los hallazgos
respectivos, por el personal comprendido en la observacin, las cuales deben ser
expuestas brevemente, indicndose si se acompa documentacin sustentatoria.
De no haber respuesta a la comunicacin de hallazgos o de ser extempornea, se
referenciar dicha circunstancia.
4. Evaluacin de los comentarios y/o aclaraciones
Es el resultado del anlisis realizado por la comisin auditora sobre los
comentarios y/o aclaraciones y documentacin presentada por el personal
comprendido en la observacin, debiendo sustentarse los argumentos invocados y
consignarse la opinin resultante de dicha evaluacin.
Dicha opinin incluir al trmino del desarrollo de cada observacin, la
determinacin de responsabilidades administrativas a que hubiera lugar, de haber
mrito para ello.
En caso de considerarse la existencia de indicios razonables de la comisin
de delito o de perjuicio econmico, se dejar constancia expresa que tal aspecto
es tratado en el Informe Especial correspondiente.
III. CONCLUSIONES
Se indicarn los juicios de carcter profesional, basados en las
observaciones establecidas, que se formulan como consecuencia del examen
realizado a la entidad auditada. Al final de cada conclusin se identificar el
nmero de la(s) observacione(s) correspondiente(s) a cuyos hechos se refiere.
La comisin auditora, en casos debidamente justificados, podr formular
conclusiones sobre aspectos distintos a las observaciones, verificados en el curso
del trabajo, siempre que stos hayan sido expuestos en el Informe.
Pgina 92
IV. RECOMENDACIONES
Constituyen medidas especficas y posibles que, con el propsito de mostrar los
beneficios que reportar la accin de control, se sugieren a la administracin de la
entidad para promover la superacin de las causas y las deficiencias evidenciadas
durante el examen. Estarn dirigidas al Titular o en su caso a los funcionarios que
tengan competencia para disponer su aplicacin.
Las recomendaciones se formularn con orientacin constructiva para propiciar el
mejoramiento de la gestin de la entidad y el desempeo de los funcionarios y
servidores pblicos a su servicio, con nfasis en contribuir al logro de los objetivos
institucionales dentro de parmetros de economa, eficiencia y eficacia; aplicando
criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de
costo proporcional a los beneficios esperados.
Para efecto de su presentacin, las recomendaciones se realizarn siguiendo el
orden jerrquico de los funcionarios responsables a quienes va dirigida,
referencindolas en su caso a las conclusiones, o aspectos distintos a stas, que
las han originado.
Tambin se incluir como recomendacin, cuando existiera mrito de acuerdo a

los hechos revelados en las observaciones, el procesamiento de las
responsabilidades administrativas que se hubiesen determinado en el Informe,
conforme a lo previsto en el rgimen laboral pertinente.
V. ANEXOS
Pgina 93
A fin de lograr el mximo de concisin y claridad en el Informe, slo se incluir

como Anexos, adems de los expresamente considerados en la presente norma,
aquella documentacin indispensable que contenga importante informacin
complementaria o ampliatoria de los datos contenidos en el Informe y que no obre
en la entidad examinada.
FIRMA
El Informe una vez efectuado el control de calidad correspondiente previo a su
aprobacin, deber ser firmado por el Jefe de Comisin, el Supervisor y el nivel
gerencial competente de la CGR. En el caso de los rganos de Auditora Interna
del SNC, por el Jefe de Comisin, el Supervisor y el Jefe del respectivo rgano.
Los Informes emitidos por las SOAs sern suscritos por el socio participante y
auditor responsable de la auditora.
De ameritarlo por la naturaleza y contenido del Informe, tambin ser suscrito por
el abogado u otro profesional y/o especialista participante en la accin de control.
Excepciones del alcance

a) En la formulacin de los Informes de Auditora Financiera (Informe Corto o
Dictamen), se tendrn en cuenta las NAGAs, las NIAs y las disposiciones
emitidas por los organismos oficiales competentes sobre la materia.
b) Para la formulacin de los informes de auditora de los prstamos y
donaciones de Organismos Internacionales (BID, BIRF, AID, USAID, Banco
Mundial, etc.) o similares, sern aplicables las normas y requisitos legales
pertinentes para el efecto.
Pgina 94
Sntesis Gerencial
Adicionalmente al Informe de la accin de control, podr emitirse una Sntesis
Gerencial del Informe, de contenido necesariamente breve y preciso.
La Alta Direccin de la CGR y el Titular del rgano de Auditora Interna, segn el
caso y dentro de su mbito de competencia, podrn eximir a la comisin auditora
de la emisin de dicha sntesis.
Conforme a los alcances de la NAGU 4.50
Cuando en la ejecucin de la accin de control se evidencien indicios razonables
de la comisin de delito, la comisin auditora, en cautela de los intereses del
Estado, sin perjuicio de la continuidad de la respectiva accin de control, y previa
evaluacin de las aclaraciones y comentarios a que se refiere la NAGU 3.60,
emitir con la celeridad del caso, un informe especial con el debido sustento
tcnico y legal.
El objetivo de la presente norma es garantizar y facilitar la oportuna, efectiva y
adecuada implementacin de las acciones correctivas legales pertinentes en los
casos que, durante el desarrollo de la accin de control, se evidencien indicios
razonables de comisin de delito as como, excepcionalmente, la existencia de
perjuicio econmico no sujeto a recupero administrativo.
Su aplicacin permitir a la comisin auditora, a travs de su personal responsable
y especializado competente, realizar apropiada y oportunamente su labor a en los
casos indicados, basada en su opinin profesional debidamente sustentada en los
respectivos fundamentos tcnicos y legales aplicables. En ejercicio de las
atribuciones establecidas en la Ley del SNC, la comisin auditora formular el
Informe Especial para revelar especficamente, con orden y claridad, los hechos y
circunstancias que configuran la presunta responsabilidad penal o civil, las
consideraciones jurdicas que los califican y las pruebas sustentatorias
correspondientes, recomendando la adopcin de las acciones legales respectivas
por la instancia competente.
Pgina 95
DENOMINACIN
El Informe ser denominado Informe Especial, con indicacin de los datos
correspondientes a su numeracin e incluyendo adicionalmente un ttulo, el cual
deber ser breve, especfico y estar referido a la materia abordada en el informe.
En ningn caso, incluir informacin confidencial o nombres de personas.
ESTRUCTURA
I. INTRODUCCIN
II. FUNDAMENTOS DE HECHO
III. FUNDAMENTOS DE DERECHO
IV. IDENTIFICACIN DE PARTCIPES EN LOS HECHOS
V. PRUEBAS
VI. RECOMENDACIN
ANEXOS
I. INTRODUCCIN
Origen, motivo y alcance de la accin de control, con indicacin del Oficio de
acreditacin o, en su caso, de la Resolucin de Contralora de designacin,
entidad, periodo, reas y mbito geogrfico materia de examen, haciendo
referencia a las disposiciones que sustentan la emisin del Informe Especial (Ley
Pgina 96
del SNC y NAGU 4.50), as como su carcter de prueba preconstituida para el
inicio de acciones legales.
II. FUNDAMENTOS DE HECHO
Breve sumilla y relato ordenado y objetivo de los hechos y circunstancias que
constituyen indicios de la comisin de delito o responsabilidad civil, en su caso,
con indicacin de los atributos: condicin, criterio, efecto y causa, cuando esta
ltima sea determinable, incluyndose las aclaraciones o comentarios que
hubieran presentado las personas comprendidas, as como el resultado de la
evaluacin de los mismos; salvo los casos de excepcin previstos en la NAGU
3.60, debiendo incidirse en la materialidad y/o importancia relativa, as como el
carcter doloso de su comisin, de ser el caso. En los casos de responsabilidad
penal, los hechos sern necesariamente revelados en trminos de indicios.
Tratndose responsabilidad civil, el perjuicio econmico deber ser cuantificado,
sealndose que el mismo no es materialmente posible de recupero por la entidad
en la va administrativa.
III. FUNDAMENTOS DE DERECHO
Anlisis del tipo de responsabilidad que se determina, sustentando la tipificacin
y/o elementos antijurdicos de los hechos materia de la presunta responsabilidad
penal y/o responsabilidad civil incurrida, con indicacin de los artculos pertinentes
del Cdigo Penal y/o civil u otra normativa adicional considerada, segn
corresponda, por cada uno de los hechos, con la respectiva exposicin de los
fundamentos jurdicos aplicables. De haber sido identificado, se sealar el plazo
de prescripcin para el inicio de la accin penal o civil.
IV. IDENTIFICACIN DE PARTCIPES EN LOS HECHOS
Pgina 97
Individualizacin de las personas que prestan o prestaron servicios en la entidad,
con participacin y/o competencia funcional en cada uno de los hechos calificados
como indicios en los casos de responsabilidad penal, o constitutivos del perjuicio
econmico determinado en los casos de responsabilidad civil. Incluye, asimismo, a
los terceros identificados que hayan participado en dichos hechos. Se indicar los
nombres y apellidos completos, documento de identidad, el cargo o funcin
desempeada, el rea y/o dependencia de actuacin, as como el periodo o
fechas de sta.
V. PRUEBAS
Identificacin de las pruebas en forma ordenada y detallada por cada hecho,
refiriendo el anexo correspondiente en que se adjuntan, debidamente autenticadas
en su caso.
Adicionalmente, de ser pertinente, se incluir el Informe Tcnico de los
profesionales especializados que hubieren participado en apoyo a la Comisin
Auditora, el cual deber ser elaborado con observancia de las formalidades
exigibles para cada profesin (Ejemplos: tasacin, informe de ingeniera, informe
bromatolgico, informe grafotcnico, etc.).
VI. RECOMENDACIN
Pgina 98
Este rubro consigna la recomendacin para que se interponga la accin legal
respectiva, segn el tipo de responsabilidad determinada, penal o civil, la cual
deber estar dirigida a los funcionarios que, en razn a su cargo o funcin, sern
responsables de la correspondiente autorizacin e implementacin para su
ejecucin.
Si la accin de control es realizada por la CGR o por las SOAs designadas o
autorizadas, el Informe Especial recomendar al nivel correspondiente, el inicio de
los rganos que ejerzan la representacin legal para la defensa judicial de los
intereses del Estado en dicha entidad.
Cuando se considere que existan razones justificadas para ello, podr
recomendarse alternativamente, se autorice al Procurador Pblico encargado de
los asuntos judiciales de la CGR, el inicio de las acciones legales que
corresponda. En este ltimo caso, el Informe Especial ser puesto en
conocimiento del Titular de la entidad auditada, en la misma fecha de iniciada la
accin legal, siempre que el titular no se encuentre comprendido en los indicios de
la comisin de delito o en la responsabilidad civil establecida. De encontrarse
comprendido el Titular de la entidad el Informe se remitir al Titular del Sector, u
otro estamento que resulte competente de no pertenecer la entidad a ningn
Sector.
VII. ANEXOS
Contienen las pruebas que sustentan los hechos que son materia del Informe
Especial. Necesariamente deben ser precedidos de una relacin que indique su
numeracin y asunto a que se refiere cada anexo, guardando un debido
ordenamiento a la exposicin de los hechos contenidos en el Informe.
En tales casos, se deber incluir como Anexo N 01, la nmina de las personas
identificadas como partcipes en los hechos revelados, con indicacin de su cargo,
documento de identidad, periodo de desempeo de la funcin y domicilio
NIVELES DE APROBACIN DEL INFORME ESPECIAL
Pgina 99
1. El Informe Especial formulado por la comisin auditora de la CGR, ser
suscrito por el auditor y/o abogado interviniente(s), el Jefe de Comisin, el
Supervisor y los niveles gerenciales competentes.
2. El Informe Especial formulado por el OAI del SNC ser suscrito por el
auditor y/o abogado, Jefe de Comisin y Supervisor interviniente(s), segn sea el
caso, as como por el Titular del respectivo rgano. Cuando por razones de
capacidad operativa, alguna de dichas funciones haya recado en una misma
persona, se referir el cargo de mayor nivel de responsabilidad.
3. Tratndose de SOAs designadas o autorizadas por la CGR, el Informe
Especial que pudiera formularse ser suscrito por el abogado y socio participante.
SITUACIONES ESPECIALES
- Cuando se determine la existencia de perjuicio econmico que a juicio de la
comisin auditora sea susceptible de ser recuperado en la va
administrativa, los hechos relativos a dicho perjuicio econmico seguirn
siendo tratados por la comisin auditora y revelados en el correspondiente
informe de la accin de control, recomendndose en el mismo las medidas
inmediatas para materializar dicho recupero.
- Cuando se determine que en los hechos que constituyen los indicios
razonables de comisin de delito y/o responsabilidad civil, los partcipes son
nicamente terceros y no funcionarios o servidores que presten o hayan
prestado servicios en la entidad, tales hechos sern revelados en el informe
de la accin de control, recomendando en ste las acciones
correspondientes.
Pgina 100
- De ser necesario se podr formular ms de un Informe Especial emergente
de la misma accin de control, siempre que resulte justificado por la
conveniencia procesal de tratar por separado los hechos de connotacin
penal y los relativos a responsabilidad civil, as como en razn de la
oportunidad de la accin legal respectiva o no ser posible la acumulacin.
En todos los casos que se produzca la emisin de un Informe Especial, la
Comisin Auditora ser responsable que el correspondiente informe de la accin
de control contenga las referencias necesarias sobre dicha emisin y las
recomendaciones orientadas a corregir las causas que dieron lugar a los hechos
contenidos en el Informe Especial.
QUE LOS INFORMES DE AUDITORA CONTENGAN LA REALIDAD DE LOS
HECHOS INSTAR A LAS AUTORIDADES, FUNCIONARIOS, SERVIDORES Y
USUARIOS UN USO TRANSPARENTE DE LOS RECURSOS.
VI.4 FORMATO DEL INFORME
Que es el informe de auditoria?

Es el medio formal para comunicar los objetivos de la auditoria, las normas
utilizadas, alance y resultados, conclusiones y recomendaciones de la
auditoria.
El reporte debe ser objetivo, claro, conciso, consistente constructivo y
oportuno
Existen esquemas recomendados con los requisitos mnimos aconsejables
respecto a estructura y contenido
Pgina 101
Pgina 102
Pgina 103
Pgina 104
Carta de introduccin o presentacin del informe final

La carta de introduccin tiene especial importancia porque en ella ha de
resumirse la auditora realizada.
As como pueden existir tantas copias del informe Final como solicite el
cliente, la auditora no har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:
Tendr como mximo 4 folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran
debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.
Pgina 105
CONCLUSIONES
En el proceso de promover la auditora informtica se necesita de un buen
planeamiento, mantenimiento de la ejecucin y estar preparados para
cualquier cambio que pueda traer con el pasar del tiempo, el entrenamiento
de l personal para nuevos enfrentamientos tambin es un labor de suma
prioridad. En la oficina de la Auditoria con los esfuerzos que se ha puesto
se han obtenido muy buenos resultados, como meta para el futuro es el de
poner mas esfuerzo en el entrenamiento del personal de la auditoria
informtica, crear secciones especialmente encargadas de la auditoria
informtica, tambin a la vez crear un Sistema de Soporte a la Tecnologa
de la Informacin ( Information Technology Support ) y reglamentos para el
progreso de la auditoria informtica, todo esto son metas para entrar al ao
2000, elevar y brindar un mejor servicio de calidad poner los esfuerzos que
se debe en el trabajo de la Auditoria.
Se profundizo sobre cual es la informacin que el auditor requiere para
realizar este tipo de trabajo y con que tcnicas y herramientas la
organizacin protege su informacin, que controles se realiza al evaluar la
seguridad del software de aplicacin, y los generales.
El informe de auditora tiene que estar basado en una metodologa, misma

que debe estar soportada por mejores prcticas administrativas y
tecnologas.
Pgina 106
La informacin y observaciones vertidos en el informe deben contener un
sustento y no pueden ser en ningn caso subjetivos.
BIBLIOGRAFIA
ECHENIQUE, Garca Jos Antonio. Auditoria en Informtica. Edit. Mc Graw-
Hill. 2001.2 Edicin
http:// www.buenastareas.com/ensayo/Informe-Final
http://es.scribd.com/doc/19505290/Auditoria-Informatica
Auditoria Informtica
Un enfoque practico
2 edicin amplia y revisada
Mario Gerardo Piattini Velthuis
Emilio del ]peso Navarro
Auditoria en Informtica
Segunda Edicin
Pagina 20
Jos Antonio Echenique Garca
Universidad Nacional autnoma de Mxico
Universidad autnoma Metropolitana
Editorial McGraw-Hill
Auditoria en sistemas computacionales, Segunda edicin, Editorial
Pearson, Pg. 18 a 25.
Libro: Auditoria informtica
Autor: Jos Antonio Echenique Garca
Editorial: Mcmagrafi
2da Edicin
Pgina 107
http://www.slideboom.com/presentations/299541/PRESENTACION-
AUDITORIA-INFORMATICA
http://muziek-film-kunst.blogspot.com/2010/12/22-evaluacion-
sistemas-de-acuerdo-al.html
http://muziek-film-kunst.blogspot.com/2010/12/23-investigacion-
preliminar-auditoria.html
Enciclopedia prctica de la pequea y mediana empresa. (S.F.)
Pgina 108

Auditoria Informática Todas Las Unidades

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Informática Todas Las Unidades

Cargado por

Copyright:

Formatos disponibles

AUDITORIA INFORMTICA

INSTITUTO TECNOLGICO DE APIZACO

LIC. MARTIN ROJAS RAMIREZ

AGUSTIN DE GANTE PERALTA

En un ambiente donde la informtica esta encabezando el trabajo en las diferentes

UNIDAD 1 INTRODUCCIN A LA AUDITORIA INFORMTICA.

1.1 CONCEPTOS DE AUDITORIA Y AUDITORIA INFORMTICA.

FUNCIN A DESARROLLAR DE UNA AUDITORIA

CONCEPTOS DE AUDITORIA INFORMTICA

Los objetivos de la auditora Informtica son:

Importancia de la auditoria en informtica:

La solucin clara es entonces realizar evaluaciones oportunas y completas de la

Tambin es un conjunto de tareas realizadas por un especialista para la

1.2 TIPOS DE AUDITORIA.

1.2.1 AUDITORIA INTERNA Y EXTERNA.

Es la realizada con recursos materiales y personas que pertenecen a la empresa

Es realizada por personas afines a la empresa auditada; es siempre

El auditor tiene relacin con la empresa.

Informe para uso interno.

Revisin independiente con total libertad de criterio sin ninguna influencia.

Realizadas por despachos de auditores

Generalmente solicitado por instituciones gubernamentales

1.3.- CAMPO DE LA AUDITORIA INFORMTICA

Algunos campos de aplicacin de la informtica son las siguientes:

Investigacin cientfica y humanstica: Se usan las computadoras para

Anlisis y diseo de circuitos de computadora.

Documentacin e informacin: Es uno de los campos ms importantes para la

Gestin administrativa: Automatiza las funciones de gestin tpicas de una

Inteligencia artificial: Las computadoras se programan de forma que emulen el

1.4.- CONTROL INTERNO.

Se puede definir el control interno como "cualquier actividad o accin realizada

Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de

Controles detectivos: Cuando fallan los preventivos para tratar de conocer

Controles correctivos: Facilitan la suelta a la normalidad cuando se han

Para la implantacin de un sistema de controles internos informticos habr que

Gestin de sistema de informacin: polticas, pautas y normas tcnicas que

Administracin de sistemas: Controles sobre la actividad de los centros de

Gestin del cambio: separacin de las pruebas y la produccin a nivel del

1.5.- MODELOS DE CONTROL

En la actualidad existen una gran cantidad de modelos de control interno.

COSO est enfocado a toda la organizacin, contempla polticas, procedimientos y

Existen otros tipos de modelos los cuales se mencionan a continuacin:

BS 7799 (British Standard Institute)

Cobit (Control Objectives for Information and Related Technologies)

COBIT REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

COBIT combina los principios contenidos por modelos existentes y conocidos,

COBIT REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

1.6.- PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE BENEFICIO DE AUDITADO

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL

PRINCIPIO DE CRITERIO PROPIO

PRINCIPIO DE CONCENTRACION EN EL TRABAJO

El auditor deber proteger, en la medida de sus conocimientos, los derechos

PRINCIPIO DE FORMACIN CONTINUADA

La defensa de los auditados pasa por el fortalecimiento de la profesin de los

PRINCIPIO DE INFORMACIN SUFICIENTE

Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e

PRINCIPIO DE INTEGRIDAD MORAL

Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor

PRINCIPIO DE LIBRE COMPETENCIA

La actual economa de mercado exige que el ejercicio de la profesin se realice en

El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar