CONTENIDO DEL CURSO: ADMINISTRACIN DE LA FUNCIN INFORMTICA

UNIDAD I
Introduccin a la auditoria informtica. Conceptos de auditora y auditoria Informtica. La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los objetivos de la auditora Informtica son: * El control de la funcin informtica * El anlisis de la eficiencia de los Sistemas Informticos * La verificacin del cumplimiento de la Normativa en este mbito * La revisin de la eficaz gestin de los recursos informticos. La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:

- Gobierno corporativo - Administracin del Ciclo de vida de los sistemas - Servicios de Entrega y Soporte - Proteccin y Seguridad - Planes de continuidad y Recuperacin de desastres

1.2 Tipos de auditora. Auditora contable (de estados financieros) no es inters del curso. Auditora interna. La lleva a cabo un departamento dentro de la organizacin y existe una relacin laboral. Auditora externa. No existe relacin laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes. Auditoria administrativa. (William. P Leonard) es un examen completo y constructivo de la estructura organizativa de la empresa, institucin o departamento gubernamental o de cualquier otra entidad y de sus mtodos de control, medios de operacin y empleo que d a sus recursos humanos y materiales. Auditoria gubernamental. Auditora Financiera: Consiste en una revisin exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador pblico. Auditoria de operaciones: Se define como una tcnica para evaluar sistemticamente de una funcin o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el rea de estudio. Auditora fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista fsico (SHCP), direcciones o tesoreras de hacienda estatales o tesoreras municipales. Auditoria de resultados de programas: Esta auditora la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas establecidas. Auditoria de legalidad: Este tipo de auditora tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades. Auditora integral: Es un examen que proporciona una evaluacin objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales. 1.2.1 Auditora interna y externa. La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir. Auditora Externa del Sistema de Informacin Tributario, Auditora Externa del Sistema de Informacin Administrativo, Auditora Externa del Sistema de Informacin Automtico etc. La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con

el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Pblica. 1.3 Campo de la auditoria informtica. Algunos campos de aplicacin de la informtica son las siguientes: Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin de clculos matemticos, recuentos numricos, etc. Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Instrumentacin y control: Instrumentacin electrnica, electro medicina, robots industriales, entre otros. 1.4 Control interno. El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados. Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. 1.5 Modelos de control utilizados en auditoria informtica.

El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objetives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association).

La estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin. El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios. La adecuada implementacin de un modelo COBIT en una organizacin, provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado, seal un informe de ETEK. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnologa. Vinculando tecnologa informtica y prcticas de control, el modelo COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. El conjunto de lineamientos y estndares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber: -Planificacin y organizacin -Adquisicin e implantacin -Soporte y Servicios - Monitoreo Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnologa de informacin, tales como: datos, aplicaciones, plataformas tecnolgicas, instalaciones y recurso humano. Cualquier tipo de empresa puede adoptar una metodologa COBIT, como parte de un proceso de reingeniera en aras de reducir los ndices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnolgicos, finaliz el informe de ETEK. 1.6 Principios aplicados a los auditores informticos. El auditor deber ver cmo se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico de esta ltima. En ningn caso est justificado que realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deber considerarse como no tica. Para garantizar el beneficio del auditado como la necesaria independencia del auditor, este ltimo deber evitar estar ligado en cualquier forma, a intereses de determinadas marcas, productos o equipos compatibles con los de su cliente. La adaptacin del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de sus caractersticas intrnsecas. nicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido, este podr proponer un cambio cualitativamente significativo de determinados elementos o del propio sistema informtico globalmente contemplado. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la que ha sido diseado. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dainas o que generen riesgos injustificados

para el auditado. Una de las cuestiones ms controvertidas, respecto de la aplicacin de este principio, es la referente a facilitar el derecho de las organizaciones auditadas a la libre eleccin del auditor. Si el auditado decidiera encomendar posteriores auditoras a otros profesionales, stos deberas poder tener acceso a los informes de los trabajos profesionales, stos deberan poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado. del grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la empresa.

UNIDAD II Planeacin de la auditoria Informtica.

2.1 Fases de la auditoria. Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones 2.1.1 Planeacin. Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. 2.1.2 Revisin preliminar. En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera

prdidas sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa. 2.1.3 Revisin detallada. Los objetos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a revisin con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. 2.1.4 Examen y evaluacin de la informacin. Periodo en el que se desarrollan las pruebas y su extensin Los auditores independientes podrn realizar las pruebas de cumplimiento durante el periodo preliminar. Cuando ste sea el caso, la aplicacin de tales pruebas a todo el periodo restante puede no ser necesaria, dependiendo fundamentalmente del resultado de estas pruebas en el periodo preliminar as como de la evidencia del cumplimiento, dentro del periodo restante, que puede obtenerse de las pruebas sustantivas realizadas por el auditor independiente. La determinacin de la extensin de las pruebas de cumplimento se realizar sobre bases estadsticas o sobre bases subjetivas. El muestreo estadstico es, en principio, el medio idneo para expresar en trminos cuantitativos el juicio del auditor respecto a la razonabilidad, determinando la extensin de las pruebas y evaluando su resultado. Cuando se utilicen bases subjetivas se deber dejar constancia en los papeles de trabajo de las razones que han conducido a tal eleccin, justificando los criterios y bases de seleccin. Evaluacin del control interno Realizados los cuestionarios y representado grficamente el sistema de acuerdo con los procedimientos vistos, hemos de conjugar ambos a fin de realizar un anlisis e identificar los puntos fuertes y dbiles del sistema. En esa labor de identificacin, influye primordialmente la habilidad para entender el sistema y comprender los puntos fuertes y dbiles de su control interno. La conjugacin de ambas nos dar el nivel de confianza de los controles que operan en la empresa, y ser preciso determinar si los errores tienen una repercusin directa en los estados financieros, o si los puntos fuertes del control eliminaran el error. 2.1.5 Pruebas de controles de usuario. En una auditoria existen los siguientes mdulos para ayudarle a planificar y ejecutar pruebas: Areas de Auditoria Registro de Riesgos y Controles Plan de Pruebas Realizar pruebas Permite especificar la estructura bajo la cual se agruparan las pruebas. Permite planificar y ejecutar pruebas relacionadas con los riesgos y controles definidos para esta auditora.

Permite agregar, editar y borrar pruebas con independencia del Registro de Riesgos y Controles. Permite registrar el resultado y el status de cada prueba (completadas, revisadas o aprobadas). Una Librera de reas y una Librera de Pruebas pueden tambin ser mantenida para proveer reas y Pruebas Standard para su seleccin en cada auditoria. Las reas de Auditoria estructuran sus pruebas en programas de trabajo lgicos y pueden usarse para capturar informacin relacionada con los objetivos de cada programa de trabajo. 2.1.6 Pruebas sustantivas. El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden ocurrir prdidas materiales durante el proceso de la informacin. Se pueden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. 2 prueba para asegurar la calidad de los datos. 3 pruebas para identificar la inconsistencia de datos. 4 prueba para comparar con los datos o contadores fsicos. 5 confirmaciones de datos con fuentes externas 6 pruebas para confirmar la adecuada comunicacin. 7 prueba para determinar falta de seguridad. 8 pruebas para determinar problemas de legalidad. 2.2 Evaluacin de los sistemas de acuerdo al riesgo. Riesgo

Proximidad o posibilidad de un dao, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro. Seguridad

Cualidad o estado de seguro Garanta o conjunto de garantas que se da a alguien sobre el cumplimiento de algo. Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios. Se dice tambin de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer ms seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturn de seguridad. 2.4 Personal participante. Una de las partes ms importantes en la planeacin de la auditora en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. Aqu no se ver el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga est debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditoria. Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. UNIDAD III Auditoria de la funcin informtica. 3.1 Recopilacin de la informacin organizacional. Para que un proceso de D.O. tenga xito debe comenzar por obtener un diagnostico con informacin verdadera y a tiempo de lo que sucede en la organizacin bajo anlisis, esta obtencin de la informacin debe ser planeada en forma estructurada para garantizar una generacin de datos que ayuden posteriormente su anlisis. Es un ciclo continuo en el cual se planea la recoleccin de datos, se analiza, se retroalimentan y se da un seguimiento. La recoleccin de datos puede darse de varias maneras: Cuestionarios Entrevistas Observacin Informacin documental (archivo) Toda la informacin tiene un valor en s misma, el mtodo de obtencin de informacin est directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad depender del objetivo que se busque y los medios para llevar a cabo esa recoleccin de datos en tiempo y forma para su posterior anlisis. 3.2 Evaluacin de los recursos humanos La auditora de recursos humanos puede definirse como el anlisis de las polticas y prcticas de personal de una empresa y la evaluacin de su funcionamiento actual, seguida de sugerencias para mejorar. El propsito principal de la auditoria de recursos humanos es mostrar cmo est funcionado el programa, localizando prcticas y condiciones que son perjudiciales para la empresa o que no estn justificando su costo, o prcticas y condiciones que deben incrementarse. La auditora es un sistema de revisin y control para informar a la administracin sobre la eficiencia y la eficacia del programa que lleva a cabo. El sistema de administracin de recursos humanos necesita patrones capaces de permitir una continua evaluacin y control sistemtico de su funcionamiento. Patrn en in criterio o un modelo que se establece previamente para permitir la comparacin con los resultados o con los objetivos alcanzados. Por medio de la comparacin con el patrn pueden evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione mejor. 3.3 Entrevistas con el personal de informtica. La entrevista es uno de los eslabones finales para conseguir la posicin deseada. Desde el otro lado del mostrador y habiendo entrevistado a 5.000 profesionales en sistemas entre nuestro equipo de selectores, te dejamos valiosos consejos en esta nota. Es un dilogo directo entre el entrevistador y entrevistado. El entrevistador dirige la conversacin e intenta obtener la mxima informacin posible del candidato.

Te preguntar por tu currculum, experiencias, habilidades, aficiones e intentar ponerte en situaciones reales para estudiar tus reacciones. En ocasiones puede haber ms de un entrevistador, con el fin de tener ms de un punto de vista a la hora de elegir el candidato final. Modalidades de la Entrevista Personal Estructurada (dirigida) El entrevistador dirige la conversacin y hace las preguntas al candidato siguiendo un cuestionario o guin. El entrevistador formular las mismas preguntas a todos los candidatos. Se recomienda contestar a las preguntas aportando aquella informacin que se pide, con claridad y brevedad. No estructurada (libre) El entrevistador te dar la iniciativa a ti, y debers desenvolverte por tu cuenta. El entrevistador podra empezar con la pregunta: Hblame de ti, y luego seguir con preguntas generales, que surgen en funcin del desarrollo de la conversacin. Lo ms aconsejable es empezar siguiendo el guin de tu historial profesional. Tambin puedes preguntar si est interesado en conocer algo en particular. Aprovecha para llevar la conversacin a los puntos fuertes que deseas destacar en relacin con el puesto ofertado. Semi-estructurada (mixta) Es una combinacin de las dos anteriores. El entrevistador utilizar preguntas directas para conseguir informaciones precisas sobre ti, y preguntas indirectas para sondearte respecto a tus motivaciones. Intenta seguir un orden discursivo, s conciso e intenta relacionar tus respuestas y comentarios con las exigencias del puesto al que optas. 3.4 Situacin presupuestal y financiera. El estudio y evaluacin del control interno deber efectuarse conforme a lo dispuesto en el boletn 3050 Estudio y Evaluacin del Control Interno, emitido por la Comisin de Normas y Procedimientos de Auditora del Instituto Mexicano de Contadores Pblicos, A.C., ste servir de base para determinar el grado de confianza que se depositar en l y le permita determinar la naturaleza, alcance y oportunidad, que va a dar a los procedimientos de auditora, por lo que el auditor para el cumplimiento de los objetivos deber considerar lo siguiente: - Existencia de factores que aseguren un ambiente de control - Existencia de riesgo en la informacin financiera Existencia de un sistema presupuestal que permita identificar, reunir, analizar, clasificar, registrar y producir informacin cuantitativa de las operaciones basadas en flujos de efectivo y partidas devengadas - Existencia de procedimientos relativos a autorizacin, procesamiento y clasificacin de transacciones, salvaguarda fsica de documentacin soporte y de verificacin y evaluacin, incluyendo los aplicables a la actualizacin de cifras y a los controles relativos al procesamiento electrnico de datos. - Vigilancia sobre el establecimiento y mantenimiento de controles internos con objeto de identificar si estn operando efectivamente y si deben ser modificados cuando existan cambios importantes. Para efectos de estudio y evaluacin del control interno en una revisin en una revisin de estados presupuestarios, el auditor deber considerar los siguientes aspectos: a. Existencia de un presupuesto anual autorizado b. Existencia e polticas, bases y lineamientos presupuestarios c. Existencia de un sistema de registro presupuestario d. Existencia de un procedimiento de autorizaciones e. Procedimientos de registro, control y reporte presupuestario

Obtener el estado analtico de recursos presupuestarios y el ejercicio presupuestario del gasto, tal como lo establecen los Trminos de Referencia para auditoras a rganos Desconcentrados y Entidades Paraestatales de la SFP, as como el flujo de efectivo que detalle el origen y el destino de los egresos (Art.103 de la Ley Federal de Presupuesto y Responsabilidad Hacendaria)

UNIDAD IV Evaluacin de la seguridad. Generalidades de la seguridad del rea fsica. Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema Informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial (1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 4.2 Seguridad lgica y confidencial. La seguridad lgica se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como de controlar el mal uso de la informacin. La seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin. Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especfico, de las redes y terminales. La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin: Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o informacin. Cdigo oculto en un programa Entrada de virus Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computacin, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada. 4.3 Seguridad personal. A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa. La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las

10

organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica. El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas. El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc. 4.4 Clasificacin de los controles de seguridad. Clasificacin general de los controles Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso Controles detectives Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin Controles Correctivos Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles defectivos sobre los controles correctivos, debido a que la correccin de errores es en s una actividad altamente propensa a errores. 4.5 Seguridad en los datos y software de aplicacin. Este apartado aborda los aspectos asociados al componente lgico del sistema: programas y datos. Para ello, se distingue entre las medidas para restringir y controlar el acceso a dichos recursos, los procedimientos para asegurar la fiabilidad del software (tanto operativo como de gestin) y los criterios a considerar para garantizar la integridad de la informacin. Control de acceso. Sistemas de identificacin, asignacin y cambio de derechos de acceso, control de accesos, restriccin de terminales, desconexin de la sesin, limitacin de reintento. Software de base. Control de cambios y versiones, control de uso de programas de utilidad, control de uso de recursos y medicin de 'performance'. Software de aplicacin.

11

En este apartado se trata todo lo concerniente al software de aplicacin, es decir, todo lo relativo a las aplicaciones de gestin, sean producto de desarrollo interno de la empresa o bien sean paquetes estndar adquiridos en el mercado. Desarrollo de software. . Metodologa: existe, se aplica, es satisfactoria. Documentacin: existe, esta actualizada, es accesible. . Estndares: se aplican, como y quien lo controla. Involucracin del usuario. . Participacin de personal externo. . Control de calidad. . Entornos real y de prueba. . Control de cambios. Adquisicin de software estndar. Metodologa, pruebas, condiciones, garantas, contratos, capacitacin, licencias, derechos, soporte tcnico. Datos. Los datos es decir, la informacin que se procesa y se obtiene son la parte ms importante de todo el sistema informtico y su razn de ser. Un sistema informtico existe como tal desde el momento en que es capaz de tratar y suministrar informacin. Sin sta, se reducira a un conjunto de elementos lgicos sin ninguna utilidad. En la actualidad la inmensa mayora de sistemas tienen la informacin organizada en sendas Bases de Datos. Los criterios que se citan a continuacin hacen referencia a la seguridad de los Sistemas de Gestin de Bases de Datos (SGBD) que cumplan normas ANSI, si bien muchos de ellos pueden ser aplicables a los archivos de datos convencionales. Diseo de bases de datos. Es importante la utilizacin de metodologas de diseo de datos. El equipo de analistas y diseadores deben hacer uso de una misma metodologa de diseo, la cual debe estar en concordancia con la arquitectura de la Base de Datos elegida jerrquica, relacional, red, o bien orientada a objetos. Debe realizarse una estimacin previa del volumen necesario para el almacenamiento de datos basada en distintos aspectos tales como el nmero mnimo y mximo de registros de cada entidad del modelo de datos y las predicciones de crecimiento. A partir de distintos factores como el nmero de usuarios que acceder a la informacin, la necesidad de compartir informacin y las estimaciones de volumen se deber elegir el SGBD ms adecuado a las necesidades de la empresa o proyecto en cuestin. En la fase de diseo de datos, deben definirse los procedimientos de seguridad, confidencialidad e integridad que se aplicarn a los datos: Procedimientos para recuperar los datos en casos de cada del sistema o de corrupcin de los archivos. Procedimientos para prohibir el acceso no autorizado a los datos. Para ello debern identificarlos. Procedimientos para restringir el acceso no autorizado a los datos. Debiendo identificar los distintos perfiles de usuario que accedern a los archivos de la aplicacin y los subconjuntos de informacin que podrn modificar o consultar. Procedimientos para mantener la consistencia y correccin de la informacin en todo momento. Bsicamente existen dos niveles de integridad: la de datos, que se refiere al tipo, longitud y rango aceptable en cada caso, y la lgica, que hace referencia a las relaciones que deben existir entre las tablas y reglas del negocio.

12

Debe designarse un Administrador de Datos, ya que es importante centralizar en personas especializadas en el tema las tareas de redaccin de normas referentes al gestor de datos utilizado, definicin de estndares y nomenclatura, diseo de procedimientos de arranque, recuperacin de datos, asesoramiento al personal de desarrollo entre algunos otros aspectos. Creacin de bases de datos. Debe crearse un entorno de desarrollo con datos de prueba, de modo que las actividades del desarrollo no interfieran el entorno de explotacin. Los datos de prueba deben estar dimensionados de manera que permitan la realizacin de pruebas de integracin con otras aplicaciones, de rendimiento con volmenes altos. En la fase de creacin, deben desarrollarse los procedimientos de seguridad, confidencialidad e integridad definidos en la etapa de diseo: . Construccin de los procedimientos de copia y restauracin de datos. . Construccin de los procedimientos de restriccin y control de acceso. Existen dos enfoques para este tipo de procedimientos: Confidencialidad basada en roles, que consiste en la definicin de los perfiles de usuario y las acciones que les son permitidas (lectura, actualizacin, alta, borrado, creacin/eliminacin de tablas, modificacin de la estructura de las tablas). 4.6 Controles para evaluar software de aplicacin. Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditora es la verificacin de la observancia de las normas tericamente existentes en el departamento de Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de revisarse sucesivamente y en este orden: 1. Las Normas Generales de la Instalacin Informtica. Se realizar una revisin inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las reas que carezcan de normativa, y sobre todo verificando que esta Normativa General . Informtica no est en contradiccin con alguna Norma General no informtica de la empresa. 2. Los Procedimientos Generales Informticos. Se verificar su existencia, al menos en los sectores ms importantes. Por ejemplo, la recepcin definitiva de las mquinas debera estar firmada por los responsables de Explotacin. Tampoco el alta de una nueva Aplicacin podra producirse si no existieran los Procedimientos de Backup y Recuperacin correspondientes. 3. Los Procedimientos Especficos Informticos. Igualmente, se revisara su existencia en las reas fundamentales. As, Explotacin no debera explotar una Aplicacin sin haber exigido a Desarrollo la pertinente documentacin. Del mismo modo, deber comprobarse que los Procedimientos Especficos no se opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deber verificarse que no existe contradiccin alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informtica debe estar sometida. 4.7 Controles para prevenir crmenes y fraudes informticos. En los aos recientes las redes de computadoras han crecido de manera asombrosa. Hoy en da, el nmero de usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con sus mdicos online supera los 200 millones, comparado con 26 millones en 1995. A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorizacin o "piratera informtica", el fraude, el sabotaje informtico, la trata de nios con fines pornogrficos y el acecho. Los delincuentes de la informtica son tan diversos como sus delitos; puede tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos delincuentes pueden pasar desapercibidos a travs de las fronteras, ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningn documento de rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en "parasos informticos" - o sea, en pases que carecen de leyes o experiencia para seguirles la pista -.

13

Segn datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden unos 500 millones de dlares al ao debido a los piratas que les roban de las cuentas online sus nmeros de tarjeta de crdito y de llamadas. Dichos nmeros se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnticas de tarjetas bancarias y de crdito, seala el Manual de la ONU. Otros delincuentes de la informtica pueden sabotear las computadoras para ganarle ventaja econmica a sus competidores o amenazar con daos a los sistemas con el fin de cometer extorsin. Los malhechores manipulan los datos o las operaciones, ya sea directamente o mediante los llamados "gusanos" o "virus", que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. Algunos virus dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por medio de disquetes "infectados"; tambin se estn propagando ltimamente por las redes, con frecuencia camuflados en mensajes electrnicos o en programas "descargados" de la red. 4.8 Plan de contingencia, seguros, procedimientos de recuperacin de desastres. Medida que las empresas se han vuelto cada vez ms dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos informticos. Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se puede perder la credibilidad del pblico o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total. En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldrn del negocio en dos o tres aos. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer. Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratgico de seguridad para una organizacin. 4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal. SEGURIDAD FISICA Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa, tales como el hardware, perifricos, y equipos asociados, las instalaciones elctricas, las instalaciones de comunicacin y de datos. Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliario y equipo de oficina, as como la proteccin a los accesos al centro de sistematizacin. En s, es todo lo relacionado con la seguridad, la prevencin de riesgos y proteccin de los recursos fsicos informticos de la empresa. UNIDAD V Auditoria de la seguridad en la teleinformtica.

14

5.1 Generalidades de la seguridad en el rea de la teleinformtica. En la actualidad tiene una gran trascendencia tanto tcnica como social, lo que se denomina teleinformtica: la unin de la informtica y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de expresiones y conceptos relacionados con la teleinformtica. Este trabajo se basa en conceptos fundamentales expresados de la manera ms simple posible, pero a su vez siendo precisos. Comenzamos por introducir la historia y evolucin de la teleinformtica y de la manera en que fue desarrollndose, y a su vez, proporcionando un panorama general del tema. Luego mencionamos de forma genrica los elementos que integran un sistema teleinformtica, desde un simple terminal hasta una red. Continuamos explicando las tcnicas fundamentales de transmisin de datos, para comprender cmo viaja la informacin de un sistema a otro a travs de los circuitos de telecomunicacin. Las tcnicas de comunicacin se estructuran en niveles: fsico, enlace de datos, red, transporte, sesin, presentacin y aplicacin. Tambin, mencionamos las redes de rea local ya que son muy importantes en lo que a la teleinformtica respecta. Hicimos inca pi en la red Internet y su protocolo TCP/IP, y en los conceptos bsicos sobre Programas de Comunicacin y Gestin de Red. Analizamos los servicios de valor aadido como el Video tex, Ibercom o La Telefona Mvil. Adems, establecimos los ltimos desarrollos y las tendencias de la teleinformtica, desde las redes digitales hasta el proceso distribuido. Por ltimo, manifestamos la importancia de la relacin que existe entre la teleinformtica y la sociedad, en lo que respecta a la educacin, la sanidad y la empresa. Explicaremos claramente la importancia de la teleinformtica y su desarrollo a travs de la historia desde el comienzo ya que es uno de los factores que ha constituido y constituye un elemento fundamental para la evolucin de la humanidad: la comunicacin.

15

En una comunicacin se transmite informacin desde una persona a otra e intervienen tres elementos: el emisor, que da origen a la informacin, el medio, que permite la transmisin, y el receptor, que recibe la informacin. La primera comunicacin que existi entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos gestos iban acompaados de sonidos. Posteriormente, comenz la comunicacin hablada a travs de un determinado lenguaje, en el cul cada palabra significaba algo y cada frase tena un contenido informativo. Ms tarde, el hombre tubo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aqu donde aparecen las seales de humo, destellos con espejos entre innumerables mtodos de comunicacin. Con el paso del tiempo y la evolucin tecnolgica, la comunicacin a distancia comenz a ser cada vez ms importante. La primera tcnica utilizada surgi con la aparicin del telgrafo y el cdigo morse que permitieron comunicaciones a travs de cables a unas distancias considerables. Posteriormente se desarroll la tcnica que dio origen al telfono para la comunicacin directa de la voz a larga distancia. Ms tarde la radio y la transmisin de imgenes a travs de la televisin habilitaron un gran nmero de tcnicas y mtodos que luego fueron muy importantes a lo que respecta a la comunicacin. 5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica. As ante la continua aparicin de nuevas herramientas de gestin, la auditora interna se ve compelida a velar entre otras cosas por la aplicacin y buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso. Dijimos antes que la auditora deba velar no slo por los activos de la empresa sino adems por su capacidad competitiva. Cuidar de esto ltimo significa difundir, apoyar y controlar las nuevas y buenas prcticas. As, haciendo uso del benchmarking puede verificar y promover las mejores prcticas para el mantenimiento de la ms alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa. Como brillantemente lo expresa Fernando Gaziano (Deloitte Chile), "los auditores y los astrnomos compartimos plenamente una idea: el universo se expande. As como despus del "big bang" un universo de planetas y estrellas comenz y contina expandindose, de la misma forma el mundo del Auditor Interno es cada vez ms amplio. Como nunca, probablemente hoy se enfrenta a uno de los cambios ms importantes en su profesin, debiendo abordar aspectos relacionados con el Gobierno Corporativo y los nuevos riesgos a los que se enfrentan las organizaciones. 5.3 Sntomas de riesgo.

La Auditora de la Seguridad Para muchos la seguridad sigue siendo el rea principal a auditar, hasta el punto de que en algunas entidades se cre inicialmente la funcin de auditora informtica para revisar la seguridad, aunque despus se hayan ido ampliando los objetivos. Cada da es mayor la importancia de la informacin, especialmente relacionada con sistemas basados en el uso de tecnologa de informacin y comunicaciones, por lo que el impacto de las fallas, los accesos no autorizados, la revelacin de la informacin, entre otros problemas, tienen un impacto mucho mayor que hace algunos aos. En la auditora de otras reas pueden tambin surgir revisiones solapadas con la seguridad; as a la hora de revisar el desarrollo se ver si se realiza en un entorno seguro, etc. Los controles directivos. Son los fundamentos de la seguridad: polticas, planes, funciones, objetivos de control, presupuesto, as como si existen sistemas y mtodos de evaluacin peridica de riesgos. El desarrollo de las polticas. Procedimientos, posibles estndares, normas y guas. Amenazas fsicas externas. Inundaciones, incendios, explosiones, corte de lneas o suministros, terremotos, terrorismo, huelgas, etc., se considera: la ubicacin del centro de procesos, de los servidores, PCs, computadoras

16

porttiles (incluso fuera de las oficinas); estructura, diseo, construccin y distribucin de edificios; amenazas de fuego, riesgos por agua, por accidentes atmosfricos; contenido en paquetes}, bolsos o carteras que se introducen o salen de los edificios; visitas, clientes, proveedores, contratados; proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y transporte. Control de accesos adecuado. Tanto fsicos como lgicos, que se realicen slo las operaciones permitidas al usuario: lectura, variacin, ejecucin, borrado y copia, y quedando las pistas necesarias para el control y la auditora. Uso de contraseas, cifrado de las mismas, situaciones de bloqueo. Proteccin de datos. Origen del dato, proceso, salida de los datos. Comunicaciones y redes. Topologa y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus. Tipos de transacciones. Proteccin de conversaciones de voz en caso necesario, proteccin de transmisiones por fax para contenidos clasificados. Internet e Intranet, correo electrnico, control sobre pginas web, as como el comercio electrnico. El entorno de produccin. Cumplimiento de contratos, outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditables. Con el uso de licencias (de los programas utilizados). La continuidad de las operaciones. Planes de contingencia o de Continuidad. No se trata de reas no relacionadas, sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos, cifrado con comunicaciones, etc. Evaluacin de riesgos Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Para evaluarlos hay que considerar el tipo de informacin almacenada, procesada y transmitida, la criticidad de las operaciones, la tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento. Los riesgos pueden disminuirse (generalmente no pueden eliminarse), transferirse o asumirse. 5.4 Tcnicas y herramientas de auditora relacionadas con la seguridad en la teleinformtica. Introducir al estudiante en los aspectos tcnicos, funcionales y organizacionales que componen la problemtica de seguridad en las redes teleinformticas, ilustrando las operaciones, tcnicas y herramientas ms usuales para garantizar privacidad, autenticacin y seguridad. Introduccin General a la Seguridad en Redes . Definiciones . Generalidades . Intrusos . Amenazas . Ataques Planeacin de la Seguridad . Anlisis del sistema actual . Anlisis de riesgos . Definicin de polticas de seguridad . Implantacin de la seguridad Servicios de Seguridad . Modelo OSI para arquitecturas de Seguridad . Modelo TCP/IP

UNIDAD VI Informe de la auditoria informtica.

17

6.1 Generalidades de la seguridad del rea fsica. Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 6.2 Caractersticas del informe. Objetivos, caractersticas y afirmaciones que contiene el informe de auditora El informe de auditora financiera tiene como objetivo expresar una opinin tcnica de las cuentas anuales en los aspectos significativos o importantes, sobre si stas muestran la imagen fiel del patrimonio, de la situacin financiera y del resultado de sus operaciones, as como de los recursos obtenidos y aplicados durante el ejercicio. Caractersticas del informe de auditora: 1. Es un documento mercantil o pblico. 2. Muestra el alcance del trabajo.

18

3. Contiene la opinin del auditor. 4. Se realiza conforme a un marco legal. Principales afirmaciones que contiene el informe: Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qu normas de auditora. Expresa si las cuentas anuales contienen la informacin necesaria y suficiente y han sido formuladas de acuerdo con la legislacin vigente y, tambin, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad. Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos significativos, la imagen fiel del patrimonio, de la situacin financiera, de los resultados y de los recursos obtenidos y aplicados. Se opina tambin sobre la concordancia de la informacin contable del informe de gestin con la contenida en las cuentas anuales. En su caso, explica las desviaciones que presentan los estados financieros con respecto a unos estndares preestablecidos. Podemos sintetizar que el informe es una presentacin pblica, resumida y por escrito del trabajo realizado por los auditores y de su opinin sobre las cuentas anuales. 6.3 Estructura del informe. Concluido el Trabajo de Campo, el auditor tendr como responsabilidad la confeccin del Informe de Auditora como un producto final de este trabajo. El informe contendr el mensaje del Auditor sobre lo que ha hecho y como lo ha realizado, as como los resultados obtenidos. Concepto Es el documento emitido por el Auditor como resultado final de su examen y/o evaluacin, incluye informacin suficiente sobre Observaciones, Conclusiones de hechos significativos, as como Recomendaciones constructivos para superar las debilidades en cuanto a polticas, procedimientos, cumplimiento de actividades y otras. Importancia El Informe de Auditora, reviste gran Importancia, porque suministra a la administracin de la empresa, informacin sustancial sobre su proceso administrativo, como una forma de contribuir al cumplimiento de sus metas y objetivos programados. El Informe a travs de sus observaciones, conclusiones y recomendaciones, constituye el mejor medio para que las organizaciones puedan apreciar la forma como estn operando. En algunas oportunidades puede ocurrir que, debido a un descuido en su preparacin, se pierde la oportunidad de hacer conocer a la empresa lo que realmente desea o necesita conocer para optimizar su administracin, a pesar de que se haya emitido un voluminoso informe, pero inadvertidamente puede estar falto de sustentacin y fundamento adecuado; en consecuencia su contenido puede ser pobre; con esto queremos hacer resaltar el hecho de que, el Informe debe comunicar informacin til para promover la toma de decisiones. Lamentablemente esto no se lograr si el informe revela pobreza de expresin y no se aportan comentarios constructivos. Redaccin del Informe La Redaccin se efectuar en forma corriente a fin de que su contenido sea comprensible al lector, evitando en lo posible el uso de terminologa muy especializada; evitando prrafos largos y complicados, as como expresiones grandilocuentes y confusas. La Redaccin del Informe debe merecer mucha atencin cuidado de parte del auditor para que tenga la acogida y aceptacin que los empresarios esperan de l, en este sentido el Informe debe: . Despertar o motivar inters.

19

. Convencer mediante informacin sencilla, veraz y objetiva. 2. Requisitos del informe Claridad y simplicidad. La Claridad y Simplicidad, significan introducir sin mayor dificultad en la mente del lector del informe, lo que el Auditor ha escrito o pens escribir. A veces lo que ocasiona la deficiencia de claridad y simplicidad del informe es precisamente la falta de claridad en los conceptos que el Auditor tiene en mente, es decir, no hay una cabal comprensin de lo que realmente quiere comunicar, asimismo cuando el Informe est falto de claridad, puede dar lugar a una doble interpretacin, ocasionando de este modo que, se torne intil y pierda su utilidad. En consecuencia, para que el informe logre su objetivo de informar o comunicar al cliente, el Auditor: . Evitar el uso de un lenguaje tcnico, florido o vago. . Evitar ser muy breve. . Evitar incluir mucho detalle. . Utilizar palabras simples, familiares al lector, es decir, escribir en el idioma que el lector entiende.

6.4 Formato para el informe. El formato para informes finales est enfocado a apoyar y facilitar el proceso de evaluacin de los resultados de los proyectos financiados por la sede Bogot, con respecto a los compromisos adquiridos en el proyecto aprobado. Adems de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtencin de los resultados esperados y de las actividades de investigacin cientfica. Los informes finales tcnico y financiero, deben ser entregados a la Direccin de Investigacin de la sede, al finalizar el periodo de ejecucin del proyecto. El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad, Centro o Instituto. El informe debe contener un ndice. Cada pgina del informe debe estar numerada. Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. El informe tcnico final deber presentarse en versin impresa y magntica (CD o disquete). I. CONTENIDO DEL INFORME TCNICO 1. Ttulo y cdigo del proyecto 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece 3. Fecha de entrega del Informe 4. Sinopsis divulgativa: Con el propsito de promover la divulgacin de las actividades investigativas que adelanta la Sede Bogot y para dar mayor difusin a los proyectos, deben incluir un resumen de una cuartilla que servir de base para la elaboracin de notas acadmicas dirigidas a los medios de comunicacin de la Universidad. 5. Resumen tcnico de los resultados obtenidos durante la realizacin del proyecto y de las principales conclusiones (mximo cinco pginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realizacin del proyecto, los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones, patentes, registros, normas, certificaciones, memorias, formacin de recurso humano, capacitacin, organizacin y/o participacin en eventos cientficos, etc., estos deben numerarse y adjuntarse como anexos del informe (ver cuadro No. 1). 7. Descripcin del impacto actual o potencial de los resultados: En trminos de generacin de nuevo conocimiento a nivel mundial, de aporte para el desarrollo del pas, de contribucin a la solucin de problemas especficos, de fortalecimiento de la capacidad cientfica, y de fortalecimiento de la investigacin y creacin en la Sede Bogot (mximo dos pginas).

20