Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LIC. EN INFPRMATICA
ASIGNATURA:
AUDITORIA INFORMATICA
TRABAJO:
AUDITORIA INFORMATICA
CATEDRATICO:
ALUMNO:
30 NOVIEMBRE 2011
Páá giná 1
AUDITORIA INFORMÁTICA
INDICE
Presentación……………………………………………………………………….1
Incide…………………………………………………………………………………2
Introducción…………………………………………………………………………3
1.- Introducción a la Auditoria
1.1 Conceptos de auditoria y auditoria Informática………………………………3
1.2 Tipos de auditoria………………………………………………………………….7
1.2.1 Auditoria interna y externa…………………………………………………….7
1.3 Campo de la auditoria informática……………………………………………..8
1.4 Control interno……………………………………………………………………10
1.5 Modelos de control utilizados en auditoria informática……………………11
1.6 Principios aplicados a los auditores informáticos…………………………..16
1.7 Responsabilidades de los administradores y del auditor………………….19
2 Planeación de la auditoria Informática.
2.1 Fases de la auditoria………………………………………………………………23
2.1.1 Planeación………………………………………………………………………...25
2.1.2 Revisión preliminar..…………………………………………………………….25
2.1.3 Revisión detallada. ……………………………………………………………26
2.1.4 Examen y evaluación de la información……………………………………26
2.1.5 Pruebas de controles de usuario…………………………………………….27
2.1.6 Pruebas sustantivas…………………………………………………………….27
2.2 Evaluación de los sistemas de acuerdo al riesgo……………………………28
2.3 Investigación preliminar………………………………………………………….34
2.4 Personal participante. ……………………………………………………………36
3 Auditoria de la función informática.
3.1 Recopilación de la información organizacional……………………………..38
3.2 Evaluación de los recursos humanos…………………………………………43
3.3 Entrevistas con el personal de informática………………………………......47
3.4 Situación presupuestal y financiera……………………………………………50
3.4.1 Presupuestos……………………………………………………………………50
3.4.2 Recursos financieros y materiales…………………………………………..51
4 Evaluación de la seguridad.
4.1 Generalidades de la seguridad del área física………………………………52
Páá giná 2
AUDITORIA INFORMÁTICA
4.2 Seguridad lógica y confidencial. ……………………………………………..54
4.3 Seguridad personal. ……………………………………………………………..55
4.4 Clasificación de los controles de seguridad. ………………………………55
4.5 Seguridad en los datos y software de aplicación…………………………...57
4.6 Controles para evaluar software de aplicación……………………………..59
4.7 Controles para prevenir crímenes y fraudes informáticos………………..62
4.8 Plan de contingencia, seguros, procedimientos de recuperación de
desastres………………………………………………………………………………...64
4.9 Técnicas y herramientas relacionadas con la seguridad física y del
personal. ………………………………………………………………………………68
4.10 Técnicas y herramientas relacionadas con la seguridad de los datos y
software de aplicación. ……………………………………………………………….69
5 Auditoria de la seguridad en la teleinformática.
5.1 Generalidades de la seguridad en el área de la teleinformática…………70
5.2 Objetivos y criterios de la auditoria en el área de la teleinformática……73
5.3 Síntomas de riesgo………………………………………………………………76
5.4 Técnicas y herramientas de auditoria relacionadas con la seguridad en la
teleinformática…………………………………………………………………………..80
6 Informe de la auditoria informática.
6.1 Generalidades de la seguridad del área física………………………………82
6.2 Características del informe. ……………………………………………………85
6.3 Estructura del informe……………………………………………………………90
6.4 Formato para el informe. ………………………………………………………106
Conclusión…………………………………………………………………………..111
Bibliografía…………………………………………………………………………….112
INTRODUCCION
Para dar un mejor servicio a la comunidad, nuestro país desde los años 60 ya
empezó a utilizar las procesadoras para procesar informaciones En 1982, el Yuan
Legislativo empezó a promover el uso del sistema informativo, construyendo redes
informativas entre la informática industrial y su progreso, nominando al grupo de
trabajo " Grupo de promoción de la informática", en casi todos los lugares,
empezando por instalación de grupos de trabajos en el procesamiento de datos e
informaciones en las provincias, ciudades y otras áreas, enfocando principalmente
en las áreas financieras, medicas, sistema de seguro social, impuestos,
oportunidades de trabajo y otras informaciones para facilitar el trabajo del público.
El Ministerio de la Auditoria, llamado también La Oficina de la Auditoria (NAO), por
el cambio del ambiente de trabajo tradicional a la nueva de la informática, en estos
años de promover la Auditoria Informática se han obtenido muy buenos resultados
dentro de esta área, se han hecho planes, tácticas de trabajo y lo más importante
procesar los resultados de las inspecciones de la auditoria para poder analizarlos
después.
CONCEPTO DE AUDITORIA:
Páá giná 4
AUDITORIA INFORMÁTICA
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de
personas independientes del sistema auditado.
CONCEPTO DE INFORMÁTICA
es el campo que se encarga del estudio y aplicación práctica de la tecnología,
métodos, técnicas y herramientas relacionados con las computadoras y el manejo
de la información por medios electrónicos, el cual comprende las áreas de la
tecnología de información orientadas al buen uso y aprovechamiento de los
recursos computacionales para asegurar que la información de las organizaciones
fluya (entidades internas y externas de los negocios) de manera oportuna y veraz
Páá giná 5
AUDITORIA INFORMÁTICA
Páá giná 6
AUDITORIA INFORMÁTICA
Fiscales
LA AUDITORÍA INTERNA
LA AUDITORÍA EXTERNA
Páá giná 7
AUDITORIA INFORMÁTICA
Los auditados conocen estos planes y se habitúan a las Auditorías.
Las Recomendaciones habidas benefician su trabajo.
El auditor no tiene relación con la empresa
Páá giná 8
AUDITORIA INFORMÁTICA
Control de existencias.
Páá giná 9
AUDITORIA INFORMÁTICA
Administración de sistemas: Controles sobre la actividad de los centros de
datos y otras funciones de apoyo al sistema, incluyendo la administración de las
redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en
el software del sistema, integridad del sistema, confidencialidad (control de
acceso) y disponibilidad.
Los modelos de control interno COSO y COBIT son los dos modelos más
difundidos en la actualidad.
Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)
se centra en el entorno IT, contempla de forma específica la seguridad de la
información como uno de sus objetivos, cosa que COSO no hace. Además el
modelo de control interno que presenta COBIT es más completo, dentro de su
ámbito.
Páá giná 10
AUDITORIA INFORMÁTICA
BS 7799 (British Standard Institute)
SAC (Security Auditability and Control). The Inst. of Internal Audit.
COSO (Internal Control Integrated Framework. Committee of Sponsoring
Organizations)
SSE CMM (Systems Security Engineering Capability Maturity Model)
National Security Agency (NSA) Defense- Canada.
CoCo (Criteria of Control Board of The Canadian Instituteof Chartered
Accountants.)
ITCG (Information Technology Control Guidelines). Canadian Institute of
Chartered Accountants(CICA)
GASSP (Generaly Accepted System Security Principles). International
Information Security Foundation (IISF)
COBIT – DEFINICIÓN
Es un marco de control interno de TI.
Parte de la premisa de que la TI requiere proporcionar información para
lograr los objetivos de la organización.
Promueve el enfoque y la propiedad de los procesos.
Apoya a la organización al proveer un marco que asegura que:
La Tecnología de Información (TI) esté alineada con la misión y visión.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
COBIT – PRINCIPIOS
Páá giná 11
AUDITORIA INFORMÁTICA
COBIT – ESTRUCTURA
Páá giná 12
AUDITORIA INFORMÁTICA
Páá giná 13
AUDITORIA INFORMÁTICA
PRINCIPIO DE CALIDAD
En el auditor deberá prestar sus servicios conforme las posibilidades de la
ciencia y medios a su alcance con absoluta libertad respecto a la utilización
de dichos medios y en unas condiciones técnicas adecuadas para el idóneo
cumplimiento de su labor.
PRINCIPIO DE CONFIANZA
El auditor deberá facilitar e incrementar la confianza del auditor en base a
una actuación de transparencia en su actividad profesional sin alardes
científicos-técnicos.
PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la realización de la auditoría
encomendada, maximice teniendo en cuenta que, a los auditados en algunos
Páá giná 14
AUDITORIA INFORMÁTICA
casos les puede ser extremadamente difícil verificar sus recomendaciones y
evaluar correctamente la precisión de las mismas.
PRINCIPIO DE DISCRECIÓN
El auditor deberá en todo momento mantener una cierta discreción en la
divulgación de datos, aparentemente inocuos, que se le hayan puesto de
manifiesto durante la ejecución de la auditoria.
PRINCIPIO DE ECONOMÍA
Páá giná 15
AUDITORIA INFORMÁTICA
Este principio impone a los auditores el deber y la responsabilidad de mantener
una permanente actualización de sus conocimientos y métodos a fin de
adecuarlos a las necesidades de la demanda y a las exigencias de la competencia
de la oferta.
PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN
PRINCIPIO DE INDEPENDENCIA
Esta relacionado con el principio de criterio propio, obliga al auditor, tanto si actúa
como profesional externo o con dependencia laboral respecto a la empresa en la
que deba realizar la auditoria informática, a exigir una total autonomía e
independencia en su trabajo.
PRINCIPIO DE LEGALIDAD
Páá giná 16
AUDITORIA INFORMÁTICA
La primacía de esta obligación exige del auditor un comportamiento activo de
oposición a todo intento, por parte del auditado o de terceras personas,
tendente a infringir cualquier precepto integrado en el derecho positivo.
PRINCIPIO DE NO DISCRIMINACIÓN
PRINCIPIO DE NO INJERENCIA
PRINCIPIO DE PRECISIÓN
PRINCIPIO DE RESPONSABILIDAD
Páá giná 17
AUDITORIA INFORMÁTICA
La confidencia y confianza entre el auditor y el auditado e imponen al primero la
obligación de guardar en secreto los hechos e informaciones que conozca en el
ejercicio de su actividad profesional.
PRINCIPIO DE VERACIDAD
El Auditor en sus comunicaciones con el auditado deberá tener siempre presente
la obligación de asegurar la veracidad de sus manifestaciones con los limites
impuestos por los deberes de respeto, corrección, y secreto profesional.
El auditor informático debe ser una persona con un alto grado de calificación
técnica y al mismo tiempo estar integrado a las corrientes organizativas
empresariales. Es responsable de realizar las siguientes actividades:
•Verificación del control interno tanto de las aplicaciones como de los SI,
periféricos, etc.
•Análisis de la administración de Sistemas de Información, desde un punto de
vista de riesgo de seguridad, administración y efectividad de la administración.
•Análisis de la integridad, fiabilidad y certeza de la información a través del
análisis de aplicaciones.
•Auditoría del riesgo operativo de los circuitos de información
•Análisis de la administración de los riesgos de la información y de la seguridad
implícita.
•Verificación del nivel de continuidad de las operaciones.
•Análisis del Estado del Arte tecnológico de la instalación revisada y las
consecuencias empresariales que un desfase tecnológico puede acarrear.
Páá giná 18
AUDITORIA INFORMÁTICA
La función de la auditoría informática se hconvertido en una función que desarrolla
un trabajo más acorde con la importancia que para las organizaciones tienen los
SI, que son su objeto de estudio y análisis. El auditor informático pasa a ser
auditor y consultor de empresas en materias de:
•Seguridad
•Control interno operativo
•Eficiencia y eficacia
•Tecnologías de Información
•Continuidad de operaciones
•Administración de riesgos
Debe ser un grupo independiente del de auditoría interna, con acceso total a los
SI y demás tecnología, que depende de la misma persona que la auditoría
interna (Director General o Consejero).
La dependencia debe ser del máximo responsable de la organización, nunca del
departamento de sistemas o del financiero. Esto es para que no se pueda
sospechar que exista sesgo al momento de realizar el trabajo de auditoría y
ofrecer conclusiones y recomendaciones.
Los recursos humanos con los que debe contar el departamento debe ser una
mezcla equilibrada de personas con formación en auditoría y organización y con
perfil informático (especialidades).
Páá giná 19
AUDITORIA INFORMÁTICA
Páá giná 20
AUDITORIA INFORMÁTICA
•Que se cumplan los objetivos de la auditoría.
Para hacer una adecuada planeación de la auditoría en informática hay que seguir
una serie de pasos previos que permitirán dimensionar el tamaño y características
del área dentro del organismo a auditar, sus sistemas, organización y equipo. Con
ello podremos determinar el número y características del personal de auditoría, las
herramientas necesarias, el tiempo y costo, así como definir los alcances de la
auditoría para, en caso necesario, poder elaborar el contrato de servicios.
2.1.1. PLANEACIÓN
1. Planeación (Cont.)
Páá giná 21
AUDITORIA INFORMÁTICA
La planeación deberá ser documentada e incluirá:
Realizar una revisión detallada de los controles internos de los sistemas con la
esperanza de que se deposite la confianza en los controles de los sistemas y de
que una serie de pruebas sustantivas puedan reducir las consecuencias.
Decidir el no confiar en los controles internos del sistema. Existen dos razones
posibles para esta decisión. Primero, puede ser más eficiente desde el punto de
vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los
controles del área de informática pueden duplicar los controles existentes en el
área del usuario.
Páá giná 22
AUDITORIA INFORMÁTICA
instalación y los controles para reducir las pérdidas y los efectos causados por
éstas. Al terminar la revisión detallada el auditor debe evaluar en qué momento los
controles establecidos reduce las pérdidas esperadas a un nivel aceptable. Los
métodos de obtención de información al momento de la evaluación detallada son
los mismos usados en la investigación preliminar,
deben apoyar las bases de los hallazgos de auditoría y las recomendaciones que
se harán.
Páá giná 23
AUDITORIA INFORMÁTICA
Los auditores deberán reportar los resultados del trabajo de auditoría: El auditor
deberá discutir las conclusiones y recomendaciones en los niveles apropiados de
la administración antes de emitir su informe final. Los informes deberán ser
objetivos, claros, concisos, constructivos y oportunos. Los informes presentarán el
propósito, alcance y resultados de la auditoría y, cuando se considere apropiado,
contendrán la opinión del auditor.
Páá giná 24
AUDITORIA INFORMÁTICA
•Pruebas para confirmar la adecuada comunicación.
Uso de la Computadora
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los
accesos a las computadoras de acuerdo a:
Páá giná 25
AUDITORIA INFORMÁTICA
PERSONAL
Páá giná 26
AUDITORIA INFORMÁTICA
Se debe observar este punto con mucho cuidado, ya que hablamos de las
personas que están ligadas al sistema de información de forma directa y se
deberá contemplar principalmente:
MEDIOS DE CONTROL
Páá giná 27
AUDITORIA INFORMÁTICA
INSTALACIONES
Páá giná 28
AUDITORIA INFORMÁTICA
Definir prácticas de seguridad para el personal:
Hardware y software
Flujo de energía
Cableados locales y externos
Aplicación de los sistemas de seguridad incluyendo datos y archivos
Planificación de los papeles de los auditores internos y externos
Planificación de programas de desastre y sus pruebas (simulación)
Planificación de equipos de contingencia con carácter periódico
Control de desechos de los nodos importantes del sistema:
Política de destrucción de basura copias, fotocopias, etc.
Consideración de las normas ISO 14000
Etapas para Implementar un Sistema de Seguridad
Páá giná 29
AUDITORIA INFORMÁTICA
Debe asegurar la capacidad de la organización para sobrevivir accidentes
Debe proteger a los empleados contra tentaciones o sospechas
innecesarias
Debe contemplar la administración contra acusaciones por imprudencia
* Administración
* Sistemas
ADMINISTRACIÒN
Se recopila la información para obtener una visión general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.
Páá giná 30
AUDITORIA INFORMÁTICA
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del
área de informática
SISTEMAS
Descripción general de los sistemas instalados y de los que estén por instalarse
que contengan volúmenes de información.
* Manual de formas.
Páá giná 31
AUDITORIA INFORMÁTICA
* No tiene y se necesita
* No se tiene y no se necesita.
* Se tiene la información pero:
* No se usa.
* Es incompleta.
* No esta actualizada.
* No es la adecuada.
Páá giná 32
AUDITORIA INFORMÁTICA
2.4.-PERSONAL PARTICIPANTE
También se deben contar con personas asignadas por los usuarios para que en el
momento que se solicite información, o bien se efectúe alguna entrevista de
comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y
Páá giná 33
AUDITORIA INFORMÁTICA
complementen el grupo multidisciplinario, ya que debemos analizar no sólo el
punto de vista de la dirección de informática, sino también el del usuario del
sistema.
Lo anterior no significa que una sola persona deba tener los conocimientos y
experiencias señaladas, pero si que deben intervenir una o varias personas con
las características apuntadas.
Páá giná 34
AUDITORIA INFORMÁTICA
3.1 RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL
A) Estructura Orgánica
B) Se deberá revisar la situación de los recursos humanos.
C) Entrevistas con el personal de procesos electrónicos.
D) Se deberá conocer la situación presupuestal y financiera.
E) Se hará un levantamiento del censo de recursos humanos y análisis de
situación.
F) Por último, se deberá revisar el grado de cumplimiento de los
documentos administrativos.
A) Estructura Orgánica
Jerarquías (Definición de la autoridad lineal, funcional y de asesoría)
Estructura orgánica
Funciones
Objetivos
Páá giná 35
AUDITORIA INFORMÁTICA
Páá giná 36
AUDITORIA INFORMÁTICA
b) Análisis
c) Programadores
d) Operadores
e) Capturistas
f) Personal administrativo
- Recursos financieros
- Recursos materiales
- Mobiliario y equipo
Páá giná 37
AUDITORIA INFORMÁTICA
· Planes de trabajo
· Controles
· Estándares
· Procedimientos
Páá giná 38
AUDITORIA INFORMÁTICA
1) Patrones de cantidad: son los que se expresan en números o en cantidades,
como número de empleados, porcentaje de rotación de empleados, numero de
admisiones, índice de accidentes, etc.
Las organizaciones suelen realizar una valoración del rendimiento con fines
administrativos y de desarrollo. Según Gómez-Mejía, Balkin & Cardy la valoración
del rendimiento se utiliza administrativamente como punto de partida para tomar
decisiones sobre las condiciones laborales de un empleado, considerando las
promociones, los despidos y las recompensas.
Páá giná 39
AUDITORIA INFORMÁTICA
Ante este particular la evaluación se convierte en un proceso de mejora continua
debido a que permite proyectar acciones futuras para un mayor desarrollo del
individuo y de la organización.
Para poder identificar los puntos que van a ser evaluados dentro de una
organización, es necesario conocer cuál es la situación general de la empresa,
definir la política, establecer objetivos y obtener información sobre las
evaluaciones previas y sus resultados.
Por otro lado para obtener un diagnóstico de las situaciones de las empresas con
relación a su desempeño, se pueden hacer entrevistas, cuestionarios, informes,
documentación escrita y programas de acción.
Gómez-Mejía, Balkin & Cardy sugieren que se pueden establecer según dos
modelos:
Páá giná 40
AUDITORIA INFORMÁTICA
Páá giná 41
AUDITORIA INFORMÁTICA
1. Los errores y el sesgo de la persona que realiza la evaluación.
2. La influencia de los gustos.
3. La política de la organización.
4. El enfoque hacia el individuo o hacia el grupo.
5. Las cuestiones legales
Páá giná 42
AUDITORIA INFORMÁTICA
Como punto final se puede mencionar la valoración de la gestión del rendimiento.
Enfatizan que el objetivo de la evaluación radica en gestionar y mejorar el
rendimiento de los empleados. Este hecho enfatiza el que los directivos tienen que
analizar las causas de los problemas relacionados al rendimiento, dirigir la
atención a esas causas, desarrollar planes de acción y facilitar el que los
empleados encuentren soluciones, así como utilizar una comunicación centrada
en el rendimiento.
Guía de entrevista
1.-Nombre del puesto
Ingeniero en sistemas
Páá giná 43
AUDITORIA INFORMÁTICA
2.-Puesto del jefe inmediato
Directora
3.-puestos a que reporta
Directora del plantel
4.-Puestos de las personas que reportan al entrevistado
Docentes de la institución.
5.-Numero de personas que reportan al entrevistado
5 personas
6.-Describa brevemente las actividades diarias de su puesto
Atender a los alumnos en diversas actividades en el laboratorio como son :
impresiones, investigación, practicas , tres días de la semana clase a alumnos de
primeros semestre, un día de la semana exclusivo para mantenimiento de equipo
(hardware, software)
7.-Actividas periódicas
__Mantenimiento de equipo
__Limpieza y orden
__Revisión de inventario
8.-Actividades eventuales
Capacitación a docentes y alumnos (Inicio de semestre)
Exámenes en línea
Registro de calificaciones (Docentes)
Consulta de calificaciones (Alumnos)
9.-¿Con que manuales cuenta para el desempeño de su puesto?
__Manual de organización
__Manual de mantenimiento de hardware
__Instructivo de equipos
10.-¿Cuáles políticas se tienen establecidas para el puesto?
Tener el perfil para las actividades a realizar en el laboratorio.
Lic. en informática
Ing. En sistemas
11.-Señale las lagunas que considere que hay en la organización.
Páá giná 44
AUDITORIA INFORMÁTICA
La insistencia en una gestión de equipo de computo para cubrir las necesidades
de la institución.
12.-En caso de que el entrevistado mencione cargas de trabajo ¿Como las
establece?
Cargas de trabajo se dan en periodos de examen y fin de semestre. (uso
frecuente de laboratorio para investigación y practica).
13.-¿Cómo las controla?
Haciendo horarios para cada grupo en los cuales se establece tiempo de
impresión, investigación y practica, pidiendo apoyo a alumnos de servicio social.
14.-¿Como se deciden las políticas que han que implementarse?
Estas políticas se deciden de acuerdo a la reforma y alas necesidades que se
presenten lo establece dirección general, dirección administrativa y dirección
académica de colegio de bachilleres del estado de Tlaxcala.
15.-¿como recibe las instrucciones de los trabajos recomendados?
En reunión de academia se toman acuerdos y posteriormente el jefe de
materia (área comunicaciones) gira un oficio anexando un cronograma de
actividades y tiempo limite. Estas reuniones se realizan en receso de semestre
con el fin de que la información sea actualizada.
16.-¿Con que frecuencia recibe capacitación y de que tipo?
La capacitación se realiza en receso de semestre tomando como base la
planeación para nuevo ingreso,. esta capacitación mas que nada es para
establecer forma de trabajo, actualizar información por medio de cursos o talleres,
de acuerdo a las asignaturas.
17.-¿Sobre que tema le gustaría recibir capacitación?
Sobre como administrar un laboratorio de informática.
18.-Mencione la capacitación obtenida y dada a su personal durante el último año.
En la actualidad lo que se pretende es apegarse a los lineamientos que
establece la RIEMS (Reforma integral del la educación media superior).
19.-¿Cómo considera el ambiente de trabajo?
Lo considero bueno y satisfactorio.
Aunque existen necesidades en esta área de trabajo pero se puede improvisar.
Páá giná 45
AUDITORIA INFORMÁTICA
20.-Observaciones.
Al realizar la entrevista la relación fue de confianza y cordialidad esto nos
permitió obtener una información mas real.
Lo anterior para otorgar una opinión profesional sobre la certeza de las cifras
presupuestadas en el caso de darse los supuestos bajo los cuales fueron
estimadas o proyectadas.
3.4.1.- PRESUPUESTOS.
Recursos financieros
Páá giná 47
AUDITORIA INFORMÁTICA
Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo,
y en la cantidad y calidad requerida, los bienes y servicios para cada unidad
orgánica de la empresa de que se trate, con el propósito de que se ejecuten las
tareas y de elevar la eficiencia en las operaciones.
Recursos Financieros
Páá giná 48
AUDITORIA INFORMÁTICA
departamento de auditoría interna en cuanto a la supervisión y diseño de los
controles necesarios. La seguridad del área de informática tiene como objetivos:
•Proteger los activos ante desastres provocados por la mano del hombre y de
actos hostiles
•En caso de desastre, contar con los planes y políticas de contingencias para
lograr una pronta recuperación
•Contar con los seguros necesarios que cubran las pérdidas económicas encaso
de desastre. Los motivos de los delitos por computadora normalmente son por:
•Beneficio personal
•Fácil de desfalcar
•Equivocación de ego
•Mentalidad turbada Se consideran que hay cinco factores que han permitido el
incremento de los crímenes por computadora
Páá giná 49
AUDITORIA INFORMÁTICA
•El aumento del número de empleados que tienen acceso a los equipos
.Se encarga de los controles de acceso que están diseñados para salvaguardar la
integridad de la información almacenada de una computadora, así como controlar
el mal uso de su información. Estos controles reducen el riesgo de caer en
situaciones adversas. seguridad lógica se encarga de controlar y salvaguardar la
información generada por los sistemas, por el software de desarrollo y por los
programas en aplicación; identifica individualmente a cada usuario y sus
actividades en el sistema, y restringe el acceso a datos, a los programas de uso
general, de uso especifico, e la redes y terminales. La falta de seguridad lógica o
su violación puede traer las siguientes consecuencias a la organización:
• Entrada de virus
Páá giná 50
AUDITORIA INFORMÁTICA
defraude cometida por los empleados en el desarrollo de sus funciones. Un
método eficaz para proteger los sistemas de computación el software de control de
acceso. Estos paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a
información confidencial. El sistema integral de seguridad debe comprender:
•Elementos administrativos
Uno de los punto más importantes a considerar para poder definir la seguridad de
un sistema es el grado de actuación que puede tener un usuario dentro de un
sistema, ya que la información se encuentra en un archivo normal o en una base
de datos, o bien que se posea una minicomputadora, o un sistema de red. Para
esto podemos definir los siguientes tipos de usuarios:
Páá giná 51
AUDITORIA INFORMÁTICA
•Usuario de auditoría.- Puede usar la información y rastrearla dentro del sistema
para fines de auditoría Se recomienda que solo exista un usuario propietario y que
el administrador sea una persona designada por la gerencia de informática.
○Huellas dactilares
○Patrones de la retina
○Geometría de la mano
○Dinámica de la firma
○Patrones de la voz
Ruta de acceso
Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema. Como
se ha señalado, un usuario puede pasar por uno o múltiples niveles de seguridad
antes de obtener el acceso a los programas y datos. Los tipos derestricciones de
acceso son:
• Sólo de lectura
• Sólo de escritura
•Lectura y consulta
Este puede ser definido como el software diseñado para emitir el manejo de
control y acceso a los siguientes recursos.
•Programas de librerías
Páá giná 53
AUDITORIA INFORMÁTICA
•Archivos de datos
•Jobs
•Programas de aplicación
•Módulos de funciones
•Utilerías
•Diccionario de datos
•Archivos
•Programas
•Comunicación
•Definición de usuarios
Existen otros tipos de software de control de acceso como son los siguientes:
•Sistemas operativos
•Telecomunicaciones
Aplican para todos los tipos de software y recursos relacionados y sirven para:
•Cambios realizados
○Asignación de responsabilidades
Páá giná 55
AUDITORIA INFORMÁTICA
Controles de software especifico
Se presentan algunos de los controles usados por los diferentes tipos de software
específico:
•Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los
usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas
no autorizadas logren el acceso.
○Los administradores de seguridad deberán ser los únicos con autoridad para
modificar funciones del sistema
○El acceso a los archivos de datos deberá ser restringido en una vista de datos
lógica
Páá giná 56
AUDITORIA INFORMÁTICA
○La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software DBMS
•Software de librerías.
•Software de utilerías.
Páá giná 57
AUDITORIA INFORMÁTICA
○El acceso a los archivos de datos deberá ser restringido en una vista de datos
lógica
○ Deberá controlar el acceso al diccionario de datos
○La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software DBMS
• Software de consolas o terminales maestras.
Controles que incluye:
○Los cambios realizados al software de consolas o terminales maestras
deberán ser protegidas y controlados
• Software de librerías.
Controles que incluye:
○ Tiene la facilidad de compara dos versiones de programas en código fuente y
reportar las diferencias
○ Deben limitarse el acceso a programas o datos almacenados por el software
de librerías
○ Las versiones correctas de los programas de producción deben corresponder
a los programas objetos
• Software de utilerías.
Controles que incluye:
○ Deberán restringirse el acceso a archivos de utilerías
Asegurar que únicamente personal autorizado tenga acceso a corre
aplicaciones
•Software de telecomunicaciones.
Controles que incluye:
○ Controles de acceso a datos sensibles y recursos de la red
○ El acceso diario al sistema debe ser monitoreado y protegido
Páá giná 59
AUDITORIA INFORMÁTICA
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe
considerar los siguientes puntos:
PLAN DE CONTINGENCIAS
El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la
organización de requerimientos para su recuperación ante desastres. La
metodología tiene como finalidad conducir de la manera más efectiva un plan de
recuperación ante una contingencia sufrida por la organización. El plan de
contingencia es definido como: la identificación y protección de los procesos
Páá giná 60
AUDITORIA INFORMÁTICA
críticos de la organización y los recursos requeridos para mantener un aceptable
nivel de transacciones y de ejecución, protegiendo estos recursos y preparando
procedimientos para asegurar la sobrevivencia de la organización encaso de
desastre.
• Alarmas. Todas las áreas deben estar protegidas contra robo o accesos físicos
no autorizados. Las alarmas contra robo deben ser usadas hasta donde sea
posible en forma discreta, de manera que no se atraiga la atención hacia este
dispositivo de alta seguridad
Seguros
Los seguros de los equipos en algunas ocasiones se dejan en segundo término,
aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que
entraña la computación, ya que en ocasiones el riesgo no es claro para las
compañías de seguros, debido a lo nuevo de la herramienta, a la poca experiencia
existente sobre desastres y al rápido avance de la tecnología. Como ejemplo de lo
anterior tenemos las pólizas de seguros contra desastres, ya que algunos
conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual
hace que se duplique el seguro, o bien que sobrevengan desastres que no son
normales en cualquier otro tipo de ambiente. El seguro debe cubrir todo el equipo
y su instalación, por lo que es probable que una sola póliza no pueda cubrir todo el
equipo con las diferentes características (existe equipo que puede ser
transportado, como computadoras personales, y otras que no se pueden mover,
como unidades de disco duro), por lo que tal vez convenga tener dos o más
pólizas por separado, cada una con las especificaciones necesarias. Como
ejemplo y en forma genérica, por lo común un seguro de equipo de cómputo
considera lo siguiente:
Páá giná 63
AUDITORIA INFORMÁTICA
4.9.-TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD
FÍSICA Y DEL PERSONAL
Páá giná 64
AUDITORIA INFORMÁTICA
Su presencia en ambiente distribuido.
Manejo indebido por parte del operador.
Mal funcionamiento por parte de la maquina.
Plan de preservación:
documentos fuente: los documentos fuentes en los que se basa un archivo
de entrada deben ser retenidos intactos hasta el momento de que el archivo
sea comprobado.
Archivos de disco: una característica sea del archivo de disco es que el
registro anterior es destruido, no produce una copia automáticamente una
copia en duplicado.
Vacio a otros medios: esto puede ser vaciado a otros discos, o a papel de
impresión.
Páá giná 65
AUDITORIA INFORMÁTICA
Pruebas de consistencia y verosimilitud.
Digito d control.
Control de distribución.
Introducción
La informática ha facilitado este hecho, pero sucede, cada vez más, que la
información que se obtiene o produce en un lugar, se precisa en otro lugar distinto,
a veces muy lejano.
Páá giná 66
AUDITORIA INFORMÁTICA
En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se
denomina teleinformática: la unión de la informática y las telecomunicaciones.
Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso
de expresiones y conceptos relacionados con la teleinformática.
Páá giná 67
AUDITORIA INFORMÁTICA
La tecnología utilizada para la seguridad de las computadoras y de las redes
automatizadas es la inscripción y fundamentalmente se utilizan la encripción
convencional o también conocida como encripción simétrica, que es usada para la
privacidad mediante la autentificación y la encripción public key.
Páá giná 68
AUDITORIA INFORMÁTICA
datos, cumpliéndose el lema “el computador es la red”. Mientras que comúnmente
el directivo informático tiene amplios conocimientos de comunicaciones están a la
misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de
comunicaciones en el esquema organizativo existe.
Por tanto, el primer punto de una auditoría es determinar que la función de gestión
de redes y comunicaciones esté claramente definida, debiendo ser responsable,
en general, de las siguientes áreas
Páá giná 69
AUDITORIA INFORMÁTICA
En una primera división, se establecen distintos riesgos para los datos que
circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de
auditarse hasta qué punto las instalaciones físicas del edificio ofrecen garantías y
han o estudiadas las vulnerabilidades existentes.
En general, muchas veces se parte del supuesto de que si no existe acceso físico
desde el exterior ala red interna de una empresa las comunicaciones internas
quedan a salvo.
Facilidades de traza y registro del tráfico de datos que posean los equipos
de monitorización.
Páá giná 70
AUDITORIA INFORMÁTICA
Existen planes de contingencia para desastres que sólo afecten a las
comunicaciones, como el fallo de una sala completa de comunicaciones.
Las líneas telefónicas usadas para datos, cuyos números no deben ser
públicos, tienen dispositivos/procedimientos de seguridad tales como retro-
llamada, códigos de conexión o interruptores para impedir accesos no
autorizados al sistema informático.
Cada vez más se tiende a que un equipo pueda comunicarse con cualquier otro
equipo, de manera que sea la red de comunicaciones el substrato común que les
une. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar
indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y
por tanto, al resto de los equipos de la instalación.
Páá giná 71
AUDITORIA INFORMÁTICA
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que
se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones
confrontan.
PREVISIÓN DE RIESGOS
EJECUCIÓN DE AUDITORÍAS
TIPOS DE RIESGO:
Riesgo de Control: Es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control
Interno.
Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el Sistema de Control Interno.
Páá giná 72
AUDITORIA INFORMÁTICA
EXISTENCIA DE ERRORES O IRREGULARIDADES.
b) Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotación.
VERIFICAR FUNCIONES
Aspectos:
Páá giná 73
AUDITORIA INFORMÁTICA
Sistemas Comunes de Gestión
OBJETIVOS
GESTIÓN DE RIESGOS
Servicios de Auditoría.
Páá giná 74
AUDITORIA INFORMÁTICA
La cantidad y calidad de las exposiciones al riesgo referidas a la
administración, custodia y protección de los recursos disponibles, operaciones y
sistemas de información de la organización, teniendo en cuenta la necesidad de
garantizar a un nivel razonable.
OBJETIVOS
GESTIÓN DE RIESGOS
Servicios de Consultoría.
Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de
los trabajos de Consultoría en los procesos de identificación, análisis y evaluación
de las exposiciones de riesgo significativa en la organización.
Páá giná 75
AUDITORIA INFORMÁTICA
Teleinformática
“La ciencia que estudia el conjunto de técnicas que es necesario usar para
poder transmitir datos dentro de un sistema informático o entre puntos de él
situados en lugares remotos o usando redes de telecomunicaciones”
Objetivos
• Reducir tiempo y esfuerzo.
• Capturar datos en su propia fuente.
• Centralizar el control.
• Aumentar la velocidad de entrega de la información.
• Reducir costos de operación y de captura de datos.
• Aumentar la capacidad de las organizaciones, a un costo incremental
razonable.
• Aumentar la calidad y la cantidad de la información.
• Mejorar el sistema administrativo
Niveles: físico
Enlace de datos
Red
Transporte
Sesión
Presentación
Aplicación.
Redes de área local
Red Internet y su protocolo TCP/IP
Programas de Comunicación y Gestión de Red.
Utilizando Técnicas teleinformáticas:
Páá giná 76
AUDITORIA INFORMÁTICA
• Para mejorar el control, descentralizando la captura de datos y
centralizando su procesamiento.
• En los casos en que es necesario disminuir riesgos en el procesamiento
de la información
• Cuando sea menester mejorar la actividad de planificación en la
organización.
EVALUACIÓN DE RIESGOS
Páá giná 77
AUDITORIA INFORMÁTICA
2. Las amenazas que dichos bienes pueden sufrir proceden del medio informático
(por ejemplo, copia no autorizada de esos datos)
3. Por tanto, los mecanismos de protección también deben ser informáticos (por
ejemplo, restricciones de acceso a dichos datos).
Así, asociamos el concepto de seguridad exclusivamente a mecanismos
relativamente sofisticados de control informático, como pueden ser entrada
restringida al sistema, denegación de privilegios de lectura y modificación de
ficheros, cifrado de las comunicaciones, o protección de las redes mediante
cortafuegos.
Son muchos los agentes que pueden acabar con la buena salud de nuestro
hardware (una sobrecarga de tensión, un pequeño accidente) o incluso hacerlo
desaparecer (un robo, un incendio).
Páá giná 78
AUDITORIA INFORMÁTICA
Además existe otra serie de agentes que pueden tener origen humano y que
también tienen la capacidad deteriorar seriamente o destruir la funcionalidad de
nuestros equipos, como las sobrecargas de tensión, los campos
electromagnéticos fuertes o los movimientos bruscos.
Por último, los desastres como el fuego, las inundaciones, las explosiones o los
terremotos tienen para los ordenadores las mismas consecuencias devastadoras
que para la generalidad de los equipos eléctricos y electrónicos. En el caso del
agua, a los daños que pueden sufrir los equipos hay que añadir el riesgo de
electrocución para el personal que los manipula.
Páá giná 79
AUDITORIA INFORMÁTICA
Por ello es absolutamente necesario que el primer paso a dar para asegurar
físicamente nuestras instalaciones sea formular un plan escrito de las
necesidades de seguridad física y de las medidas destinadas a cubrirlas en el
futuro.
Este plan debe incluir los siguientes elementos:
• Descripción de los dispositivos físicos a proteger, incluyendo
ordenadores,
periféricos, cables, conexiones, soportes de datos, etc.
• Descripción del área física en el que están localizados esos dispositivos.
• Descripción del perímetro de seguridad y de sus posibles agujeros.
• Descripción de las amenazas contra las que nos queremos proteger, incluyendo
una
estimación de su probabilidad.
• Descripción de nuestras defensas.
• Enumeración de los medios para mejorarlas.
• Estimación del coste de las mejoras.
Páá giná 80
AUDITORIA INFORMÁTICA
3. Cuerpo expositivo
Páá giná 81
AUDITORIA INFORMÁTICA
La consolidación de los hechos debe satisfacer, al menos, los siguientes criterios
básicos:
1.Hecho encontrado
Páá giná 82
AUDITORIA INFORMÁTICA
3. Repercusión del hecho
Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y
verificada su implementación.
Páá giná 83
AUDITORIA INFORMÁTICA
Se destina exclusivamente al responsable máximo de la empresa, o a la persona
concreta que encargó o contrató la misma, o a la persona en quién ella hubiese
delegado expresamente.
Así como pueden existir tantas copias del Informe Final como solicite el cliente,
siempre que éste especifique los nombres de los destinatarios, la Auditoría no
hará copias de la citada Carta de Introducción.
Páá giná 84
AUDITORIA INFORMÁTICA
Párrafos: En cada párrafo debe tratarse un solo asunto. Cada párrafo debe tener 8
ó 10 líneas como máximo. Cuando exceda de esta cantidad, se dividirá en dos.
Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por
el verbo. Por ello, cada frase contendrá un verbo, dos como máximo.
No deben cambiarse verbos por nombres. No se debe escribir "... hemos realizado
un examen..."; hay que escribir "... hemos examinado...".
Otros:
INFORME DE AUDITORÍA
El informe es el documento escrito mediante el cual la comisión de auditoría
expone el resultado final de su trabajo, a través de juicios fundamentados en las
evidencias obtenidas durante la fase de ejecución, con la finalidad de brindar
Páá giná 85
AUDITORIA INFORMÁTICA
suficiente información a los funcionarios de la entidad auditada y estamentos
pertinentes, sobre las deficiencias o desviaciones más significativas, e incluir las
recomendaciones que permitan promover mejoras en la conducción de las
actividades ú operaciones del área o áreas examinadas.
. INTRODUCCIÓN.
Comprenderá información general concerniente a la acción de control y a la
entidad examinada.
1. Origen del Examen
Referido a los antecedentes o razones que motivaron la acción de control,
es el caso de: planes anuales de control, denuncias, solicitudes (del titular de la
entidad, de la CGR, del Congreso, etc.), entre otros; debiendo hacerse mención al
documento y fecha de acreditación.
5. Comunicación de hallazgos
Se deberá indicar haberse dado cumplimiento a la comunicación oportuna
de los hallazgos efectuada al personal que labora o haya laborado en la entidad
comprendido en ellos. Asimismo, se indicará la inclusión de un Anexo en el
Informe con la relación del personal al servicio de la entidad examinada,
finalmente considerado en las observaciones contenidas en el mismo,
Páá giná 88
AUDITORIA INFORMÁTICA
consignándose en dicha nómina los nombres y apellidos, documento de identidad,
cargo(s) desempeñado(s), periodo(s) de gestión, condición laboral y domicilio
correspondientes, con indicación de aquellas en que estuvieren incursos en cada
caso.
6. Memorándum de Control Interno
Páá giná 89
AUDITORIA INFORMÁTICA
e) Eventos posteriores a la ejecución del trabajo de campo que hayan sido de
conocimiento de la comisión auditora y que afecten o modifiquen el
funcionamiento de la entidad o de las áreas examinadas.
Si algunos de los aspectos considerados en este punto por la comisión auditora
demandara una exposición o desarrollo extenso, será incluido como anexo del
Informe. Dichos aspectos, podrán lugar a la formulación de conclusiones y
recomendaciones, si hubiera mérito para ello.
II. OBSERVACIONES
III. La Comisión Auditora desarrollará las observaciones que, como
consecuencia del trabajo de campo y la aplicación de procedimientos,
hayan sido determinadas como tales, una vez concluido el proceso de
evaluación y contrastación de los hallazgos comunicados con los
comentarios y/o aclaraciones formulados por el personal comprendido en
los mismos, así como la documentación y evidencia sustentatoria
respectiva.
IV. Las observaciones se deberán referir a hechos o situaciones de carácter
significativo y de interés para la entidad examinada, cuya naturaleza
deficiente permita oportunidades de mejora y/o corrección, incluyendo
información suficiente y competente relacionada con los resultados de la
evaluación efectuada a la gestión de la entidad examinada.
V. Se presentarán de forma ordenada, lógica y numerada correlativamente,
evitando el uso de calificativos innecesarios y describiendo apropiadamente
sus elementos o atributos característicos. Se debe considerar aspectos
esenciales: Sumilla, Elementos de la observación, comentarios y/o
aclaraciones y su evaluación.
Sumilla
Es el título o encabezamiento que identifica el asunto materia de
observación.
2. Elementos de la observación
Páá giná 90
AUDITORIA INFORMÁTICA
Condición: Hecho o situación deficiente detectada.
Criterio: Norma, disposición o parámetro de medición aplicable al hecho
observado.
Efecto: Consecuencia real o potencial, cuantitativa o cualitativa,
ocasionada por el hecho o situación observada, indispensable para establecer su
importancia y recomendar a la entidad que adopte las acciones correctivas
requeridas.
Causa: Motivo que dio lugar el hecho o situación observada, cuya
identificación requiere de la habilidad y juicio profesional de la comisión auditora y
es necesaria para la formulación de una recomendación constructiva que
prevenga la recurrencia de la condición.
3. Comentarios y/o aclaraciones del personal comprendido en las
observaciones
Son las respuestas brindadas a la comunicación de los hallazgos
respectivos, por el personal comprendido en la observación, las cuales deben ser
expuestas brevemente, indicándose si se acompañó documentación sustentatoria.
De no haber respuesta a la comunicación de hallazgos o de ser extemporánea, se
referenciará dicha circunstancia.
4. Evaluación de los comentarios y/o aclaraciones
Es el resultado del análisis realizado por la comisión auditora sobre los
comentarios y/o aclaraciones y documentación presentada por el personal
comprendido en la observación, debiendo sustentarse los argumentos invocados y
consignarse la opinión resultante de dicha evaluación.
Dicha opinión incluirá al término del desarrollo de cada observación, la
determinación de responsabilidades administrativas a que hubiera lugar, de haber
mérito para ello.
En caso de considerarse la existencia de indicios razonables de la comisión
de delito o de perjuicio económico, se dejará constancia expresa que tal aspecto
es tratado en el Informe Especial correspondiente.
III. CONCLUSIONES
Páá giná 91
AUDITORIA INFORMÁTICA
Se indicarán los juicios de carácter profesional, basados en las
observaciones establecidas, que se formulan como consecuencia del examen
realizado a la entidad auditada. Al final de cada conclusión se identificará el
número de la(s) observacione(s) correspondiente(s) a cuyos hechos se refiere.
La comisión auditora, en casos debidamente justificados, podrá formular
conclusiones sobre aspectos distintos a las observaciones, verificados en el curso
del trabajo, siempre que éstos hayan sido expuestos en el Informe.
IV. RECOMENDACIONES
Constituyen medidas específicas y posibles que, con el propósito de mostrar los
beneficios que reportará la acción de control, se sugieren a la administración de la
entidad para promover la superación de las causas y las deficiencias evidenciadas
durante el examen. Estarán dirigidas al Titular o en su caso a los funcionarios que
tengan competencia para disponer su aplicación.
Las recomendaciones se formularán con orientación constructiva para propiciar el
mejoramiento de la gestión de la entidad y el desempeño de los funcionarios y
servidores públicos a su servicio, con énfasis en contribuir al logro de los objetivos
institucionales dentro de parámetros de economía, eficiencia y eficacia; aplicando
criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de
costo proporcional a los beneficios esperados.
Para efecto de su presentación, las recomendaciones se realizarán siguiendo el
orden jerárquico de los funcionarios responsables a quienes va dirigida,
Páá giná 92
AUDITORIA INFORMÁTICA
referenciándolas en su caso a las conclusiones, o aspectos distintos a éstas, que
las han originado.
V. ANEXOS
FIRMA
El Informe una vez efectuado el control de calidad correspondiente previo a su
aprobación, deberá ser firmado por el Jefe de Comisión, el Supervisor y el nivel
gerencial competente de la CGR. En el caso de los Órganos de Auditoría Interna
del SNC, por el Jefe de Comisión, el Supervisor y el Jefe del respectivo órgano.
Los Informes emitidos por las SOA’s serán suscritos por el socio participante y
auditor responsable de la auditoría.
De ameritarlo por la naturaleza y contenido del Informe, también será suscrito por
el abogado u otro profesional y/o especialista participante en la acción de control.
Páá giná 93
AUDITORIA INFORMÁTICA
Páá giná 94
AUDITORIA INFORMÁTICA
Su aplicación permitirá a la comisión auditora, a través de su personal responsable
y especializado competente, realizar apropiada y oportunamente su labor a en los
casos indicados, basada en su opinión profesional debidamente sustentada en los
respectivos fundamentos técnicos y legales aplicables. En ejercicio de las
atribuciones establecidas en la Ley del SNC, la comisión auditora formulará el
Informe Especial para revelar específicamente, con orden y claridad, los hechos y
circunstancias que configuran la presunta responsabilidad penal o civil, las
consideraciones jurídicas que los califican y las pruebas sustentatorias
correspondientes, recomendando la adopción de las acciones legales respectivas
por la instancia competente.
DENOMINACIÓN
El Informe será denominado “Informe Especial”, con indicación de los datos
correspondientes a su numeración e incluyendo adicionalmente un título, el cual
deberá ser breve, específico y estar referido a la materia abordada en el informe.
En ningún caso, incluirá información confidencial o nombres de personas.
ESTRUCTURA
I. INTRODUCCIÓN
II. FUNDAMENTOS DE HECHO
III. FUNDAMENTOS DE DERECHO
IV. IDENTIFICACIÓN DE PARTÍCIPES EN LOS HECHOS
V. PRUEBAS
VI. RECOMENDACIÓN
ANEXOS
Páá giná 95
AUDITORIA INFORMÁTICA
I. INTRODUCCIÓN
Origen, motivo y alcance de la acción de control, con indicación del Oficio de
acreditación o, en su caso, de la Resolución de Contraloría de designación,
entidad, periodo, áreas y ámbito geográfico materia de examen, haciendo
referencia a las disposiciones que sustentan la emisión del Informe Especial (Ley
del SNC y NAGU 4.50), así como su carácter de prueba preconstituida para el
inicio de acciones legales.
II. FUNDAMENTOS DE HECHO
Breve sumilla y relato ordenado y objetivo de los hechos y circunstancias que
constituyen indicios de la comisión de delito o responsabilidad civil, en su caso,
con indicación de los atributos: condición, criterio, efecto y causa, cuando esta
última sea determinable, incluyéndose las aclaraciones o comentarios que
hubieran presentado las personas comprendidas, así como el resultado de la
evaluación de los mismos; salvo los casos de excepción previstos en la NAGU
3.60, debiendo incidirse en la materialidad y/o importancia relativa, así como el
carácter doloso de su comisión, de ser el caso. En los casos de responsabilidad
penal, los hechos serán necesariamente revelados en términos de indicios.
Tratándose responsabilidad civil, el perjuicio económico deberá ser cuantificado,
señalándose que el mismo no es materialmente posible de recupero por la entidad
en la vía administrativa.
III. FUNDAMENTOS DE DERECHO
Análisis del tipo de responsabilidad que se determina, sustentando la tipificación
y/o elementos antijurídicos de los hechos materia de la presunta responsabilidad
penal y/o responsabilidad civil incurrida, con indicación de los artículos pertinentes
Páá giná 96
AUDITORIA INFORMÁTICA
del Código Penal y/o civil u otra normativa adicional considerada, según
corresponda, por cada uno de los hechos, con la respectiva exposición de los
fundamentos jurídicos aplicables. De haber sido identificado, se señalará el plazo
de prescripción para el inicio de la acción penal o civil.
V. PRUEBAS
Identificación de las pruebas en forma ordenada y detallada por cada hecho,
refiriendo el anexo correspondiente en que se adjuntan, debidamente autenticadas
en su caso.
Páá giná 97
AUDITORIA INFORMÁTICA
Adicionalmente, de ser pertinente, se incluirá el Informe Técnico de los
profesionales especializados que hubieren participado en apoyo a la Comisión
Auditora, el cual deberá ser elaborado con observancia de las formalidades
exigibles para cada profesión (Ejemplos: tasación, informe de ingeniería, informe
bromatológico, informe grafotécnico, etc.).
VI. RECOMENDACIÓN
Este rubro consigna la recomendación para que se interponga la acción legal
respectiva, según el tipo de responsabilidad determinada, penal o civil, la cual
deberá estar dirigida a los funcionarios que, en razón a su cargo o función, serán
responsables de la correspondiente autorización e implementación para su
ejecución.
Si la acción de control es realizada por la CGR o por las SOA’s designadas o
autorizadas, el Informe Especial recomendará al nivel correspondiente, el inicio de
los órganos que ejerzan la representación legal para la defensa judicial de los
intereses del Estado en dicha entidad.
Cuando se considere que existan razones justificadas para ello, podrá
recomendarse alternativamente, se autorice al Procurador Público encargado de
los asuntos judiciales de la CGR, el inicio de las acciones legales que
corresponda. En este último caso, el Informe Especial será puesto en
conocimiento del Titular de la entidad auditada, en la misma fecha de iniciada la
acción legal, siempre que el titular no se encuentre comprendido en los indicios de
la comisión de delito o en la responsabilidad civil establecida. De encontrarse
comprendido el Titular de la entidad el Informe se remitirá al Titular del Sector, u
Páá giná 98
AUDITORIA INFORMÁTICA
otro estamento que resulte competente de no pertenecer la entidad a ningún
Sector.
VII. ANEXOS
Contienen las pruebas que sustentan los hechos que son materia del Informe
Especial. Necesariamente deben ser precedidos de una relación que indique su
numeración y asunto a que se refiere cada anexo, guardando un debido
ordenamiento a la exposición de los hechos contenidos en el Informe.
En tales casos, se deberá incluir como Anexo N° 01, la nómina de las personas
identificadas como partícipes en los hechos revelados, con indicación de su cargo,
documento de identidad, periodo de desempeño de la función y domicilio
NIVELES DE APROBACIÓN DEL INFORME ESPECIAL
1. El Informe Especial formulado por la comisión auditora de la CGR, será
suscrito por el auditor y/o abogado interviniente(s), el Jefe de Comisión, el
Supervisor y los niveles gerenciales competentes.
2. El Informe Especial formulado por el OAI del SNC será suscrito por el
auditor y/o abogado, Jefe de Comisión y Supervisor interviniente(s), según sea el
caso, así como por el Titular del respectivo órgano. Cuando por razones de
capacidad operativa, alguna de dichas funciones haya recaído en una misma
persona, se referirá el cargo de mayor nivel de responsabilidad.
3. Tratándose de SOA’s designadas o autorizadas por la CGR, el Informe
Especial que pudiera formularse será suscrito por el abogado y socio participante.
Páá giná 99
AUDITORIA INFORMÁTICA
SITUACIONES ESPECIALES
- Cuando se determine la existencia de perjuicio económico que a juicio de la
comisión auditora sea susceptible de ser recuperado en la vía
administrativa, los hechos relativos a dicho perjuicio económico seguirán
siendo tratados por la comisión auditora y revelados en el correspondiente
informe de la acción de control, recomendándose en el mismo las medidas
inmediatas para materializar dicho recupero.
- Cuando se determine que en los hechos que constituyen los indicios
razonables de comisión de delito y/o responsabilidad civil, los partícipes son
únicamente terceros y no funcionarios o servidores que presten o hayan
prestado servicios en la entidad, tales hechos serán revelados en el informe
de la acción de control, recomendando en éste las acciones
correspondientes.
- De ser necesario se podrá formular más de un Informe Especial emergente
de la misma acción de control, siempre que resulte justificado por la
conveniencia procesal de tratar por separado los hechos de connotación
penal y los relativos a responsabilidad civil, así como en razón de la
oportunidad de la acción legal respectiva o no ser posible la acumulación.
En todos los casos que se produzca la emisión de un Informe Especial, la
Comisión Auditora será responsable que el correspondiente informe de la acción
de control contenga las referencias necesarias sobre dicha emisión y las
recomendaciones orientadas a corregir las causas que dieron lugar a los hechos
contenidos en el Informe Especial.
QUE LOS INFORMES DE AUDITORÍA CONTENGAN LA REALIDAD DE LOS
HECHOS INSTAR A LAS AUTORIDADES, FUNCIONARIOS, SERVIDORES Y
USUARIOS UN USO TRANSPARENTE DE LOS RECURSOS.
CONCLUSIONES
BIBLIOGRAFIA