UNIDAD I FUNDAMENTACIN DE LA AUDITORIA

Auditoria

El trmino auditora, en su acepcin ms amplia, significa verificar que la

informacin financiera, administrativa y operacional que se genera es confiable,
veraz y oportuna.
Es revisar que los hechos, fenmenos y operaciones se den en la forma en que
fueron planteados, que las polticas y procedimientos establecidos se han
observado y respetado. Es evaluar la forma en que se administra y opera para
aprovechar al mximo los recursos

Historia

El origen de la auditora surge con el advenimiento de la actividad comercial y

por la incapacidad de intervenir en los procesos tanto productivos como
comerciales de una empresa. Por estas razones surge la necesidad de buscar
personas capacitadas, de preferencia externas (imparciales), para que se
desarrollen mecanismos de supervisin, vigilancia y control de los empleados
que integran y desempean las funciones relativas a la actividad operacional de
la empresa.
Con el transcurso del tiempo, las relaciones comerciales y operaciones de
negocios empezaron a crecer rpidamente, sobre todo a partir de la Revolucin
Industrial, en ese momento el comerciante tuvo la necesidad decrear un nuevo
sistema de supervisin mediante el cual el dueo, o en su caso, el administrador
extendieran su control y vigilancia. Este tipo de servicios era provisto por una o
ms personas de la misma organizacin a quienes se les otorgaba la facultad de
revisin en relacin a los procedimientos establecidos, el enfoque que se le daba
a este tipo de auditoras en su inicio era de carcter contable, debido a que se
basaba principalmente en el resguardo de los activos, la finalidad era verificar
que los ingresos se administraban correctamente por los responsables en
cuestin.
Las primeras auditoras se enfocaban bsicamente en la verificacin de registros
contables, proteccin de activos y por tanto, en el descubrimiento y prevencin
de fraudes.
El auditor era considerado como un Revisor de Cuentas.
A principios del siglo XV, los parlamentos de algunos pases europeos
comenzaron a crear el denominado Tribunal Mayor de Cuentas, cuya funcin
especfica era la de revisar las cuentas que presentaban los reyes o monarquas
gobernantes.Con el paso del tiempo se extendi esta revisin a aspectos tales
como: revisin de la eficiencia de los empleados, procedimientos administrativos,
actualizacin de polticas, este es el origen de la auditoria interna

Objetivos

El objetivo tecnico de la auditoria consiste en recoger evidencias para poder

emitir un juicio sobre la adecuacin y el nivel de conformidad del mbito auditado
respecto a los procesos y controles definidos en las normas de referencia.

El objeto de una auditoria consiste en proporcionar los elementos tcnicos que

puedan ser utilizados por el auditor para obtener la informacin y
comprobacin necesaria que fundamente su opinin profesional sobre los
aspectos de una entidad sujetos a un examen. Consiste en apoyar
a los miembros de la

organizacin en relacin al desempeo de sus actividades, para ello la

auditoria les proporciona anlisis, evaluaciones, recomendaciones,
asesora y toda aquella informacin relacionada con todas las actividades
revisadas por el auditor, la auditoria se encarga de promocionar un control
efectivo o un mecanismo de prevencin a un costo considerado como
razonable.

El servicio de auditora constituye un apoyo a todos los miembros de la

organizacin, ya que durante el desempeo de su trabajo

sus propios conocimientos, experiencia y formacin acadmica y

profesional, le permite estar en condicin de externar opiniones, posturas y

procedimientos en beneficio de la organizacin.
La auditoria deber de proporcionar anlisis y las evaluaciones que se revisaron.
La auditoria apoya a niveles directivos y gerenciales.

Alcance de la auditora

El alcance de la auditoria deber de cubrir el examen y evaluacin de la

adecuacin y eficiencia del sistema de control interno con respecto a la
organizacin y calidad de ejecucin que se tendr en relacin al desempeo de
las responsabilidades que le fueron asignadas.El alcance tambin es conocido
como Objetivo. El objetivo de los procedimientos de auditoria es la conjugacin
de elementos tcnicos cuya aplicacin le servir al auditor de gua u orientacin
sistemtica y ordenada para poder reunir elementos informativos que, al ser
examinados, le proporcionarn bases para poder rendir su informe o emitir su
opinin.

El alcance es de vital importancia desde la apertura de la auditoria, ya que esto

especificar, el tiempo que durar la auditoria, la profundidad y la cantidad de
personal requerido.

Riesgos

En el proceso de auditoria el auditor deber de considerar aquellos eventos o

circunstancias externas o internas como cambios en principios de contabilidad,
reformas legales, lanzamientos de nuevos productos, cambios de personal y
cualquier cambio que se d en la organizacin, ya que stos podran traer
consigo riesgos por lo que la administracin de la entidad deber estar preparada
para afrontarlos. Por lo anterior el auditor evaluar cuales sern los
procedimientos que ayudarn a identificar, administrar, analizar riesgo, como
medir su impacto en la informacin financiera. La toma de decisiones de
negocios, es de suma importancia analizar las consecuencias ya que pueden
cambiar de alguna manera sustancial la situacin de la entidad.
Control

Un procedimiento de control es aquel que es establecido por la administracin

con la finalidad lograr los objetivos de la entidad, porque aunque existen polticas
o procedimientos de control, no significa que estn operando adecuadamente.
En este rubro la intervencin del auditor ser la de verificar que estn dando
dichos procedimientos los resultados esperados. El auditor para evaluar la
estructura del control interno deber de cerciorarse que los procedimientos de
control se cumplan, dicha valoracin se deber de llevar a cabo al momento de
la toma de decisiones. Pueden ser supervisiones independientes o una
combinacin de ambas.
Para una mejor comprensin al momento de la toma de decisiones, los
funcionarios debern cerciorarse que el control interno establecido se haya
completado.
Es importante que al momento de efectuar este mecanismo de vigilancia se
documente especificando quienes y en qu momento la realizan, ya que esto le
permitir al auditor determinar la oportunidad de aplicacin de los
procedimientos.

Caractersticas de una auditoria

1. Funciones
Analizar y evaluar el proceso desde el inicio hasta el final evaluando los
riesgos posibles.
Identificar reas de mejoras.
Ajustar polticas y procedimientos legales al marco de la empresa.
Priorizar acciones que optimicen a la organizacin.
Facilitar a la direccin no slo de la informacin correcta sino tambin de
proveer visin sobre determinada temtica en particular para que la
compaa logre alcanzar los objetivos propuestos.

2. Objetividad
Hace referencia a la caracterstica de imparcialidad que toda auditora debe
tener. Debe prevalecer el juicio crtico del auditor quien deber expresarse con
formalidad y llevar a cabo los pasos necesarios para cumplir con el objetivo de
la auditor

3. Misin
Toda auditora tiene como finalidad brindarle credibilidad y asistir a la empresa
frente a los cambios en cuanto a la legislacin vigente de tal modo que sta se
encuentre en regla.

4. Patrn de comparacin
Tal como se hizo mencin ms arriba es importante que toda auditora se realice
teniendo en cuenta un patrn de comparacin para poder volcar los resultados
obtenidos.

5. Fases
Toda auditora se lleva a cabo siguiendo un plan de accin o fases que es
importante respetar y cumplir. Estas fases son:
Planeacin: Donde se informa a la empresa el modo de actuar del auditor
y el tiempo que dure dicha auditora. En esta etapa se le puede solicitar a
la empresa determinadas cuestiones que faciliten la tarea del auditor. Por
ejemplo, acceso a depsitos, a material contable o a oficinas.
Ejecucin: Es la puesta en marcha de la etapa anterior.
Informe: Es la presentacin en forma escrita de todo el trabajo del auditor.

6. Auditor
El auditor es la o las personas que llevan a cabo la auditora desde el comienzo
hasta el final. Este examinador no puede actuar influenciado por conflictos
personales en ninguna auditora sino ms bien debe ser completamente
imparcial dado que se encuentra en una postura de evaluacin de la empresa u
organizacin.

7. Tipos de auditora
Las auditoras pueden ser internas o externas.
Auditoras interna: Son efectuadas por los mismos miembros de la
empresa
 Auditoras externas: Quienes realizan las auditoras son personas que no
pertenecen a la empresa que se desea auditar.

8. Qu se audita?
Otro tipo de clasificacin hace referencia a lo que se desee auditar. Se subdivide
en:
Auditora legal: Se presenta documentacin concerniente a las
obligaciones impositivas que tenga una empresa o entidad.
Auditora de certificacin: Sirve para evaluar el sistema de prevencin de
riesgos laborales de las empresas. Este tipo de auditoras son voluntarias
mientras que las primeras son de carcter obligatorio.

9. Alcance de las auditoras

Existen dos tipos de alcance de las auditoras:
Alcance parcial: Cuando se debe auditar solo una parte de la empresa
Alcance global o total: Cuando la totalidad de la empresa debe ser
auditada.

10. Formas de auditar

Existen, adems, diferentes formas en que una auditora se puede llevar a cabo.
Auditora programada: Es una actividad que se planifica y es de
conocimiento previo por la empresa que ser auditada.
Auditora extraordinaria: Surge sin aviso previo para la empresa vaya a
recibir dicha auditora

Auditor Externo Versus Auditor Interno

La responsabilidad del auditor externo para detectar irregularidades o fraude se

establece en el prefacio de las normas y estndares de auditora. En este
prefacio se indica que aunque el cometido de los auditores externos no exige
normalmente la bsqueda especfica de fraudes, la auditora deber planificarse
de forma que existan unas expectativas razonables de detectar irregularidades
materiales o fraude.
Si el auditor externo detecta algn tipo de delito deber presentar un informe
detallado sobre la situacin y aportar elementos de juicio adicionales durante las
investigaciones criminales posteriores. El auditor externo solamente puede emitir
opiniones basado en la informacin recabada y normalmente no estar
involucrado directamente en la bsqueda de pruebas; a menos que su contrato
sea extendido a otro tipo de actividades normalmente fuera de su alcance.

El cometido y responsabilidad de los auditores internos vienen definidos por la

direccin de la empresa a la que pertenecen.

En la mayora de ellas, se considera que la deteccin de delitos informticos

forma parte del cometido de los auditores internos.

Auditorias Eficientes En la mayora de las empresas existe la obligacin de

mantener en todo momento unos registros contables adecuados y el auditor
tendr que informar si no fuera as.

Lo ms probable es que el estudio completo de la seguridad y la planificacin de

emergencia de los sistemas mecanizados se incluyan entre las atribuciones de
la mayora de los departamentos de auditora interna. Por ello cuando se realice
un anlisis de seguridad informtica y de planificacin de emergencia, el auditor:

Examinar sistemticamente todos los riesgos que intervengan y acotarn las

prdidas probables en cada caso.

Considerar las maneras de aumentar la seguridad para reducir los riesgos.

Recomendar todas las acciones necesarias de proteccin encaminadas a

reducir el riesgo de que se produzca una interrupcin, en caso de que se
produzca.

Cuando corresponda, estudiar la cobertura de seguros de la empresa.

Cuando se hable de eficiencia, los auditores tendrn que tener en cuenta las
bases de referencia del grupo de auditoria, que considera lo siguiente:

A que nivel informan los auditores.

El apoyo que la direccin presta a los auditores.

El respeto que tenga la unidad informtica hacia el

grupo de auditora.

La competencia tcnica del equipo de auditora.

La eficiencia de la unidad informtica, en la que se

incluyen ms factores de proteccin y seguridad.

Si, durante el curso de auditora, los auditores tuvieran razones para pensar que
las disposiciones de seguridad de la empresa y los planes de emergencia no son
los adecuados, debern reflejar sus opiniones a la Alta Direccin, a travs del
informe de auditoria.

Si sospechase de fraude, el auditor deber avisar a la alta direccin para que se

pongan en contacto con su asesor jurdico, o con la polica, sin levantar las
sospechas del personal

o los clientes que estuviesen involucrados. El auditor deber asegurar tambin

que los originales de los documentos que pudieran utilizarse como prueba estn
custodiados y a salvo y que ninguna persona que sea sospechosa de fraude
tenga acceso a ellos.

Delito informtico

El delito informtico, o crimen electrnico, es el trmino genrico para aquellas

operaciones ilcitas realizadas por medio de Internet o que tienen como objetivo
destruir y daar ordenadores, medios electrnicos y redes de Internet.

Clasificacin de los Delitos Informticos.

La ley clasifica los delitos informticos de acuerdo al siguiente criterio:
Delitos contra los sistemas que utilizan tecnologas de informacin.

Delitos contra la propiedad.

Delitos contra la privacidad de las personas y de las comunicaciones.
Delitos contra nios, nias o adolescentes.
Delitos contra el orden econmico.
Posicin de la auditoria ante los delitos informticos
Es importante establecer claramente cul es el papel que juega el auditor
informtico en relacin con la deteccin y minimizacin de la ocurrencia de
delitos informticos dentro de la organizacin a que presta sus servicios. Para
lograr establecer dicho rol se debe examinar la actuacin del auditor frente a la
ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas,
conocimientos requeridos, en fin una serie de elementos que definen de manera
inequvoca el aporte que ste brinda en el manejo de los casos de delitos
informticos.

Tipos de delitos informaticos reconocidos por naciones unidas

Clasificacion segn la actividad informatica

DELITO CARACTERISTICAS

Fraudes cometidos mediante manipulacin de computadoras.

Este tipo de fraude informtico conocido tambin como sustraccin de

datos, representa el delito informtico ms comn ya que es fcil de
Manipulacin
cometer y difcil de descubrir. Este delito no requiere de conocimientos
de los datos
tcnicos de informtica y puede realizarlo cualquier persona que tenga
de entrada
acceso a las funciones normales de procesamiento de datos en la fase
de adquisicin de los mismos.

Es muy difcil de descubrir y a menudo pasa inadvertida debido a que

el delincuente debe tener conocimientos tcnicos concretos de
informtica. Este delito consiste en modificar los programas existentes
en el sistema de computadoras o en insertar nuevos programas o
La
nuevas rutinas. Un mtodo comn utilizado por las personas que
manipulacin
tienen conocimientos especializados en programacin informtica es
de programas
el denominado Caballo de Troya, que consiste en insertar
instrucciones de computadora de forma encubierta en un programa
informtico para que pueda realizar una funcin no autorizada al
mismo tiempo que su funcin normal.
 Se efecta fijando un objetivo al funcionamiento del sistema
informtico. El ejemplo ms comn es el fraude de que se hace objeto
a los cajeros automticos mediante la falsificacin de instrucciones
Manipulacin para la computadora en la fase de adquisicin de datos.
de los datos Tradicionalmente esos fraudes se hacan a base de tarjetas bancarias
de salida robadas, sin embargo, en la actualidad se usan ampliamente equipo
y programas de computadora especializados para codificar
informacin electrnica falsificada en las bandas magnticas de las
tarjetas bancarias y de las tarjetas de crdito.

Aprovecha las repeticiones automticas de los procesos de cmputo.

Fraude
Es una tcnica especializada que se denomina "tcnica del
efectuado por
salchichn" en la que "rodajas muy finas" apenas perceptibles, de
manipulacin
transacciones financieras, se van sacando repetidamente de una
informtica
cuenta y se transfieren a otra.

Falsificaciones informticas.

Cuando se alteran datos de los documentos almacenados en forma

Como objeto
computarizada.

Las computadoras pueden utilizarse tambin para efectuar

falsificaciones de documentos de uso comercial. Cuando empez a
disponerse de fotocopiadoras computarizadas en color a base de
rayos lser surgi una nueva generacin de falsificaciones o
Como
alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias
instrumentos
de alta resolucin, pueden modificar documentos e incluso pueden
crear documentos falsos sin tener que recurrir a un original, y los
documentos que producen son de tal calidad que slo un experto
puede diferenciarlos de los documentos autnticos.

Daos o modificaciones de programas o datos computarizados.

Es el acto de borrar, suprimir o modificar sin autorizacin funciones o

Sabotaje datos de computadora con intencin de obstaculizar el funcionamiento
informtico normal del sistema. Las tcnicas que permiten cometer sabotajes
informticos son:
 Es una serie de claves programticas que pueden adherirse a los
programas legtimos y propagarse a otros programas informticos. Un
Virus virus puede ingresar en un sistema por conducto de una pieza legtima
de soporte lgico que ha quedado infectada, as como utilizando el
mtodo del Caballo de Troya.

Se fabrica de forma anloga al virus con miras a infiltrarlo en

programas legtimos de procesamiento de datos o para modificar o
destruir los datos, pero es diferente del virus porque no puede
regenerarse. En trminos mdicos podra decirse que un gusano es
un tumor benigno, mientras que el virus es un tumor maligno. Ahora
Gusanos
bien, las consecuencias del ataque de un gusano pueden ser tan
graves como las del ataque de un virus: por ejemplo, un programa
gusano que subsiguientemente se destruir puede dar instrucciones
a un sistema informtico de un banco para que transfiera
continuamente dinero a una cuenta ilcita.

Exige conocimientos especializados ya que requiere la programacin

de la destruccin o modificacin de datos en un momento dado del
futuro. Ahora bien, al revs de los virus o los gusanos, las bombas
lgicas son difciles de detectar antes de que exploten; por eso, de
todos los dispositivos informticos criminales, las bombas lgicas son
Bomba lgica
las que poseen el mximo potencial de dao. Su detonacin puede
o cronolgica
programarse para que cause el mximo de dao y para que tenga
lugar mucho tiempo despus de que se haya marchado el delincuente.
La bomba lgica puede utilizarse tambin como instrumento de
extorsin y se puede pedir un rescate a cambio de dar a conocer el
lugar en donde se halla la bomba.

Acceso no
autorizado a Por motivos diversos: desde la simple curiosidad, como en el caso de
servicios y muchos piratas informticos (hackers) hasta el sabotaje o espionaje
sistemas informtico.
informticos
 El acceso se efecta a menudo desde un lugar exterior, situado en la
red de telecomunicaciones, recurriendo a uno de los diversos medios
que se mencionan a continuacin. El delincuente puede aprovechar la
falta de rigor de las medidas de seguridad para obtener acceso o
Piratas
puede descubrir deficiencias en las medidas vigentes de seguridad o
informticos o
en los procedimientos del sistema. A menudo, los piratas informticos
hackers
se hacen pasar por usuarios legtimos del sistema; esto suele suceder
con frecuencia en los sistemas en los que los usuarios pueden
emplear contraseas comunes o contraseas de mantenimiento que
estn en el propio sistema.

Esta puede entraar una prdida econmica sustancial para los

propietarios legtimos. Algunas jurisdicciones han tipificado como
Reproduccin
delito esta clase de actividad y la han sometido a sanciones penales.
no autorizada
El problema ha alcanzado dimensiones transnacionales con el trfico
de programas
de esas reproducciones no autorizadas a travs de las redes de
informticos
telecomunicaciones modernas. Al respecto, consideramos, que la
de proteccin
reproduccin no autorizada de programas informticos no es undelito
legal
informtico debido a que el bien jurdico a tutelar es la propiedad
intelectual.

Plataforma de los Sistemas

En el computador, la plataforma describe una cierta clase de arquitectura
de hardware o marco del software (incluyendo armazones del uso), eso permite
software para funcionar. Las plataformas tpicas incluyen una computadora
arquitectura, sistema operativo, lenguajes de programacin y relacionado tiempo
de pasada bibliotecas o interfaz utilizador grfico.

Hardware, sistema operativo y mquina virtual:

En lo referente a hardware, plataforma describe a menudo el sistema de

los componentes de hardware que componen la computadora s mismo, de que
el software se escribe a la blanco (a menudo apenas descrita segn lo escrito
para una arquitectura "). El lenguaje ensamblador puro se puede funcionar en
esta plataforma de hardware, pero lo ms comnmente posible, el software de
sistema operativo se escribe para apuntarla. Pero al hacer eso, se convierte en
una plataforma en s mismo, facilitando el funcionamiento del otro software que
se utiliza para apuntar el sistema operativo, y adems la arquitectura de
hardware. Adems, el software que se escribe para el sistema operativo se
puede utilizar para apoyar el funcionamiento del otro software: por ejemplo a
mquina virtual (que apunta un ciertos sistema operativo/hardware) que est
utilizado funcionar otros programas que se escriban para l, que constituye otra
plataforma.

Papel en software:

Una plataforma es un elemento crucial en el desarrollo del software. Una

plataforma se pudo definir simplemente como lugar para lanzar software. Es un
acuerdo que el abastecedor de la plataforma dio al software a revelador que el
cdigo de la lgica interpretar constantemente mientras la plataforma est
funcionando encima de otras plataformas. El cdigo de la lgica incluye cdigo
del octeto, cdigo de fuente, y cdigo automtico.

Fondo:

Las plataformas se mencionan con frecuencia con APIs. Una habitacin

completa de APIs constituya otro tipo de plataforma llamada plataforma del
software. Las plataformas del software son con frecuencia dependientes a los
sistemas operativos. Sin embargo esto no es siempre verdad. Por ejemplo, dos
plataformas dependientes populares no-OS son Java, segn lo mencionado
arriba, y ELABORE CERVEZA para los telfonos mviles.

Java Artculo principal: Plataforma de Java

Java los programas son un ejemplo tpico del ltimo punto. El cdigo de
fuente de Java se compila a una intermedio-lengua bytecode cul entonces es
interpretado por un intrprete, JVM, que entonces interconecta ese programa
 con las bibliotecas del software de Java. En telfonos, PDAs y otros dispositivos
mviles sin hilos, estas bibliotecas son Java YO. Algunos telfonos, incluso sin
un OS hecho y derecho, permiten a los programas de Java tales como juegos
funcionar. Java y el bytecode seran independientes de la plataforma. Pero esto
es porque Java es la plataforma as como un lenguaje de programacin. El
software realmente no puede funcionar sin una plataforma o ser independiente
de la plataforma. El lenguaje de programacin se refiere aqu, significando el
programador no necesite ser tratado sobre la plataforma del hardware o del
sistema operativo, ni el cambio de la lengua con una diversa plataforma.

.NET Artculo principal: Marco de .NET

Al marco de .NET es respuesta de Microsoft a Sun Java. Microsoft .NET

es un trmino del paraguas que se aplica a una coleccin ancha de productos y
de tecnologas de Microsoft. La mayora tienen en campo comn una
dependencia del marco de Microsoft .NET, un componente del sistema operativo
de Windows.

Los productos y los componentes de Microsoft que caen en la categora

de .NET incluyen:

El marco de Microsoft .NET, un componente del sistema

operativo requerido por la mayora de los productos de .NET.
Identificacin viva de Windows (conocido antes como pasaporte de .NET)

Ejemplos de la plataforma del sistema operativo:

Microsoft Windows

Linux

OS del Mac compatibilidad hacia atrs va Rosetta

VINO plataforma para comportarse gusto Microsoft Windows

 Ejemplos de la plataforma del software:

Java - JDK y JRE

Marco de .NET - dependencia del sistema operativo (MS Windows)

Prisma de Mozilla Corredor de XUL y de XUL

AIRE del adobe

Ejemplos del hardware:

Superordenador arquitecturas.

RISC el procesador bas las mquinas que funcionaban variantes del UNIX:

Sol funcionamiento de las computadoras Solaris sistema operativo.

Alfa de la DEC racimo funcionamiento debajo OpenVMS.

Macintosh, costumbre Computadora de Apple hardware y OS del Mac sistema

operativo (ahora emigrado en x86).

Computadora de la materia plataformas, por ejemplo:

Wintel, es decir, Intel x86 o compatible hardware y Windows sistema operativo.

Lintel, es decir, Intel x86 o compatible hardware y Linux sistema operativo.

x86 con otro Unix-como sistemas por ejemplo DEB variantes.

Gumstix computadoras miniatura de la funcin completa con Linux.

A ordenador central con su sistema operativo de encargo, diga IBM z/OS.

A computadora del alcance medio con su sistema operativo de encargo, diga

IBM OS/400.

Arquitectura del BRAZO encontrado en dispositivos mviles.

Cualquier variedad de consola video del juego.

 Auditora Interna

Es un elemento importante del control, independiente y objetiva est

destinada para incrementar valor y mejorar todas las operaciones de una
organizacin, todo ello se realiza a travs de un anlisis profesional, sistemtico,
objetivo y disciplinado en las operaciones financieras y administrativas despus
de que han sido ejecutadas.

Su finalidad es ayudar a cumplir las metas, mejorando la eficiencia de los

procesos de gestin y sus riesgos, mediante las evaluaciones llegando al control
y gobierno de las mismas.

En ese entendido diremos que el objetivo de la auditora interna, es

comprobar el cumplimiento de los planes y programas y evaluar los controles
internos.

Los usuarios que necesitan de esta informacin de manera oportuna son

la gerencia y sus colaboradores.

Los campos que cubre este tipo de auditora, son todas las reas de la
organizacin de forma selectiva, que estn de acuerdo a prioridades.

La auditora interna para cumplir con su objetivo, responde a

procedimientos especficos como: previa identificacin de reas y planeacin de
trabajo, se aplican los programas de auditora interna a reas especficas,
ejecucin de pruebas sobre transacciones e informes de realizacin.

Esta auditora es realizada por un el departamento de auditora interna

con un personal vinculado a la empresa de tiempo completo, que deber
depender jerrquicamente de la gerencia a nivel Staff.

Auditora Externa

Es el examen realizado para expresar un criterio profesional sobre el

funcionamiento y eficiencia que tiene una organizacin en el desarrollo de una
determinada gestin, este trabajo lo elabora personal independiente, ya sea que
trabaje en forma lucrativa o no, las entidades dedicadas a estas evaluaciones
son independientes sin importar su tamao o forma legal.

En ese entendido diremos que el objetivo de la auditora externa, es emitir

una opinin sobre la razonabilidad de la informacin financiera, dando confianza
a los usuarios de dicha informacin.

Los usuarios que hacen uso de la informacin que contiene el dictamen

de auditora externa son, los propietarios y cualquier otro que tenga inters en el
desarrollo de actividades de la empresa como: Bancos, inversionistas, etc.

Los campos que cubre una auditora externa son los estudios y
evaluacin de los controles existentes. Variacin de aspectos importantes del
sistema de informacin contable, evaluacin de controles en el procesamiento
electrnico de datos.

La auditora externa para cumplir con su objetivo debe de seguir los

siguientes procedimientos especficos como: planeacin, evaluacin de
controles y aplicacin de pruebas sustantivas y de cumplimiento. Mediante
programas de trabajo y papeles de trabajo como: Soportes y aplicacin de
muestreo.

Esta auditora, es realizada por una firma de contadores pblicos con la

colaboracin de analistas de sistemas, ingenieros industriales y otros
profesionales.
DIFERENCIAS ENTRE LA AUDITORIA INTERNA Y LA AUDITORIA EXTERNA

Sintomas de Necesidad de auditoria Informatica

Por lo regular las empresas cuentan con auditores internos, pero por lo regular
esta no puede ser de lo mas sertera ya que puede ser que el auditor tenga algun
compadrasgo dentro de la zona a auditar y por eso pase por alto algunas de las
fallas ahy detectadas por lo cual las empresas optan tambien por acudir a una
empresa externa para realizar una auditoria y esto es mas funcional ya que al
contratar personas que no pertenescan a la empresa las fallas pueden ser
detectadas.

Sintomas de descoordinacion y desorganizacion

Estos sintomas surgen cuando los objetivos propuestos por la empresa no

coinciden con los que resultan en el departamento informatico esto es sintoma
de que no se estan cumpliendo al 100% asi como los estandares de
productividad se desvian o no cumplen con los estandares de la empresa
conseguidos en auditorias anteriores.

Sntomas de mala imagen e insatisfaccin de los usuarios

Estos Sintomas se presentan cuando las averias surgidas en el hardware no se

reparan a tiempo asi como las incidencias se pasan por altoy esto es perjudicial
ya que si no se reparan a tiempo esto puede causar un gasto mayor para la
empresa ademas de inecesario si esto se cumple antes.

Sintomas de debilidades economico-financiero

Cuando los costes de manutencion del area informatica son demasiado elevados
es unnsintoma de debilidades economico-financiero, ademas del desvio de
presupuesto hacia otras causa o a otro tipo de programas que no son necesarios
.

Sintomas de inseguridad

Evaluacion de nivel de riesgos

Seguridad logica
Seguridad fisica
Confidencialidad

estos tres sintomas son muy importantes ya que de esto depende la

funcionalidad del area informatica ya que si no se tiene una seguridad logica es
decir que los archivos que ahy se procesen y aya robo de estos algo no se esta
haciendo bien en esta area por lo mismo deve de existir la confidencialidad,
tambien lo que es la seguridad fisica es de suma importancia ya que si existen
robos del hardware existente esta area no funcionara al 100% ya que los equipos
no podran brindar su servicio.

Continuidad del servicio

es un concepto aun mas importante que la seguridad

 Centro de proceso de datos fuera de control

si tal situacion llegara a percibirse seria practicamente inutil la auditoria.

SEGURIDAD DE LOS SISTEMAS

Vulnerabilidad

Debilidad de cualquier tipo que compromete la seguridad del sistema

informtico.

Las vulnerabilidades de los sistemas informticos (SI) las podemos agrupar en

funcin de:

Diseo

Debilidad en el diseo de protocolos utilizados en las redes.

Polticas de seguridad deficiente e inexistente.

Implementacin

Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.

Uso

Configuracin inadecuada de los sistemas informticos.

Desconocimiento y falta de sensibilizacin de los usuarios y de los
responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.
Vulnerabilidad del da cero

Cuando no exista una solucin conocida para una vulnerabilidad,

pero si se conoce como explotarla, entonces se le conoce como
vulnerabilidad 0 days.

Globalmente clasificamos las vulnerabilidades en:

Vulnerabilidades de desbordamiento de buffer.

Se produce cuando un programa no controla la cantidad de datos que

se copian en buffer, de forma que si esa cantidad es superior a la
capacidad del buffer los bytes sobrantes se almacenan en zonas de
memoria adyacentes, sobrescribiendo su contenido original. Se
puede aprovechar para ejecutar cdigo que nos de privilegios de
administrador.

Vulnerabilidades de condicin de carrera (race condition).

La condicin de carrera se da principalmente cuando varios procesos acceden
al mismo tiempo a un recurso compartido, por ejemplo una variable, cambiando
su estado y obteniendo de esta forma un valor no esperado de la misma.

Vulnerabilidades de error de formato de cadena (format string

bugs).
La principal causa de los errores de cadena de formato es aceptar sin validar la
entrada de datos proporcionada por el usuario.
Es un error de programacin y el lenguaje ms afectado es C/C++. Un ataque
puede conducir de manera inmediata a la ejecucin de cdigo arbitrario y a
revelacin de informacin.

Vulnerabilidades de Cross Site Scripting (XSS).

Abarcaban cualquier ataque que permitiera ejecutar scripts como VBScript o
JavaScript, en el contexto de otro sitio web. Estos errores se pueden encontrar
en cualquier aplicacin que tenga como objetivo final presentar la informacin en
un navegador web.
Un uso de esta vulnerabilidad es hacer phishing. La vctima ve en la barra de
direcciones un sitio, pero realmente est en otro. La vctima introduce su
contrasea y se la enva al atacante.

Vulnerabilidades de Inyeccin SQL.

Una inyeccin SQL se produce cuando, de alguna manera, se inserta o "inyecta"
cdigo SQL invasor dentro del cdigo SQL programado, a fin de alterar el
funcionamiento normal del programa y lograr as que se ejecute la porcin de
cdigo "invasor" incrustado, en la base de datos.

Vulnerabilidades de denegacin del servicio.

La denegacin de servicio provoca que un servicio o recurso sea inaccesible a
los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la
red por el consumo del ancho de banda de la red de la vctima o sobrecarga de
los recursos informticos del sistema de la vctima.

Vulnerabilidades de ventanas engaosas (Window Spoofing).

Las ventanas engaosas son aquellas que dicen que eres el ganador de tal o
cual cosa, lo cual es mentira y lo nico que quieren es que des informacin. Hay
otro tipo de ventanas que, si las sigues, obtienen datos del ordenador para luego
realizar un ataque.
UNIDAD II TIPOS Y CLASES DE AUDITORIAS

TIPOS Y CLASES DE AUDITORIAS INFORMTICAS

El objetivo fundamental de la Auditoria informtica es la operatividad. La

operatividad es una funcin de mnimos consistente en que la organizacin y las
maquinas funcionen, siquiera mnimamente. No es admisible detener la
maquinaria informtica para descubrir sus fallos y comenzar de nuevo. La
Auditoria debe iniciar su actividad cuando los Sistemas estn operativos, es el
principal objetivo el de mantener tal situacin. Tal objetivo debe conseguirse
tanto a nivel global como parcial.
La operatividad de los Sistemas ha de constituir entonces la principal
preocupacin del auditor informtico. Para conseguirla hay que acudir a la
realizacin de Controles Tcnicos Generales de Operatividad y Controles
Tcnicos Especficos de Operatividad, previos a cualquier actividad de aquel.

Dentro de las reas generales, es posible establecer los siguientes tipos de

auditoria:
a) Auditoria Informtica de Explotacin
b) Auditoria Informtica de Sistemas
c) Auditoria Informtica de Comunicaciones y Redes
d) Auditoria Informtica de Desarrollo de Proyectos
e) Auditoria Informtica de Seguridad

Las Auditorias ms usuales son las referidas a las actividades especficas e

internas de la propia actividad informtica.

a) Auditora Informtica de Explotacin: se ocupa de producir resultados

informticos de todo tipo: listados impresos, archivos magnticos para otros
informticos, ordenes automatizadas para lanzar o modificar procesos
industriales, etc.
Para realizar la Explotacin Informtica se dispone de materia prima los Datos,
que es necesario transformar, y que se sometan previamente a controles de
integridad y calidad.
La transformacin se realiza por medio del Proceso informtico, el cual est
dirigido por programas. Obtenido el producto final, los resultados son sometidos
a controles de calidad, y finalmente son distribuidos al cliente, al usuario. En
ocasiones, el propio cliente realiza funciones de reelaboracin del producto
terminado.
Para mantener el criterio finalista y utilitario, el concepto de centro productivo
ayuda a la elaboracin de la Auditoria de la Explotacin. Auditar Explotacin
consiste en auditar las secciones que la componen y sus interrelaciones.
Las Bsicas son la planificacin de la produccin y la produccin misma de
resultados informticos. El auditor debe tener en cuenta que la organizacin
informtica est supeditada a la obtencin de resultados en plazo y calidad,
siendo subsidiario a corto plazo cualquier otro objetivo.
Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que
el plan crtico diario de produccin que debe ser protegido a toda costa.

Control de entrada de datos

Se analiza la captura de informacin, plazos y agenda de tratamiento y
entrega de datos, correccin en la transmisin de datos entre plataformas,
verificacin de controles de integridad y calidad de datos se realizan de acuerdo
a Norma.
Planificacin y Recepcin de Aplicaciones
Se auditarn las normas de entrega de Aplicaciones, verificando
cumplimiento y calidad de interlocutor nico. Debern realizarse muestras
selectas de la documentacin de las Aplicaciones explotadas. Se analizarn las
Libreras que los contienen en cuanto a su organizacin y en lo relacionado con
la existencia de Planificadores automticos o semiautomticos.
Centro de Control y Seguimiento de Trabajos
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria de
los procesos Batch, o en tiempo real (Teleproceso).
Las Aplicaciones de Teleproceso estn activas y la funcin de Explotacin
se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte
 de los efectivos de Explotacin. Este grupo determina el xito de la explotacin,
ya que es el factor ms importante en el mantenimiento de la produccin.
Operadores de Centros de Cmputos
Es la nica profesin informtica con trabajo de noche. Destaca el factor
de responsabilidad ante incidencias y desperfectos. Se analiza las relaciones
personales, coherencia de cargos y salarios, la equidad de turnos de trabajos.
Se verificar la existencia de un responsable del Centro de Cmputos el
grado de automatizacin de comandos, existencia y grado de uso de Manuales
de Operacin, existencia de planes de formacin, cumplimiento de los mismos y
el tiempo transcurrido para cada operador desde el ltimo Curso recibido.
Se analizar cantidad de montajes diarios y por horas de cintas o cartuchos,
as como los tiempos transcurridos entre la peticin de montaje por parte del
Sistema hasta el montaje real.
Centro de Control de Red y Centro de Diagnosis
El Centro de Control de Red suele ubicarse en el rea de Explotacin. Sus
funciones se refieren al mbito de Comunicaciones, estando relacionado con la
organizacin de Comunicaciones Software de Tcnica de Sistemas.
Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre
ambos, se verificar la existencia de un punto focal nico, desde el cual sean
perceptibles todas las lneas asociadas a los Sistemas. El Centro de Diagnosis
(Help-desk) es el ente en donde se atienden las llamadas de los usuarios-clientes
que han sufrido averas o incidencias, tanto de software como de hardware. En
funcin del cometido descrito, y en cuanto a software, est relacionado con el
Centro de Control de Red.
El Centro de Diagnosis indicado para empresas grandes y usuarios
dispersos en un amplio territorio, es un elemento que contribuye a configurar la
imagen de la Informtica de la Empresa. Debe ser auditado desde esta
perspectiva, desde la sensibilidad del usuario sobre el servicio que se le
dispensa.

b) Auditora Informtica de Sistemas: Se ocupa de analizar la actividad que se

conoce como Tcnica de Sistemas en todas sus facetas. Hoy en da, la
importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen
por separado, aunque formen parte del entorno general de Sistemas.

A continuacin se detallan los grupos a revisar:

1) Sistemas Operativos
Proporcionados por el fabricante junto al equipo. Engloba los Subsistemas de
Teleproceso, Entrada/Salida, etc. Los Sistemas deben estar actualizados con las
ltimas versiones del fabricante, indagando las causas de las omisiones si stas
se han producido. El anlisis de las versiones de los S.O. permite descubrir
posibles incompatibilidades entre algunos productos de Software adquiridos por
la instalacin y determinadas versiones. Deben revisarse los parmetros de las
Libreras importantes de los Sistemas, especialmente si difieren de los valores
aconsejados por el constructor.
2) Software Bsico
Conjunto de productos que, sin pertenecer al Sistema Operativo, configuran
completamente los Sistemas Informticos, haciendo posible la reutilizacin de
funciones bsicas no incluidas en aqul. Cmo distinguir ambos conceptos? La
respuesta tiene un carcter econmico.
El Software bsico, o parte de l es abonado por el cliente a la firma constructora,
mientras el Sistema Operativo y algunos programas muy bsicos, se incorporan
a la mquina sin cargo al cliente.
Es difcil decidir si una funcin debe ser incluida en el SO o puede ser omitida.
Con independencia del inters terico que pueda tener la discusin de si una
funcin es o no integrante del SO, para el auditor es fundamental conocer los
productos de software bsico que han sido facturados aparte.
Los conceptos de Sistema Operativo y Software Bsico tienen fronteras
comunes, la poltica comercial de cada Compaa y sus relaciones con los
clientes determinan el precio y los productos gratuitos y facturables.
Otra parte importante del Software Bsico es el desarrollado e implementado en
los Sistemas Informticos por el personal informtico de la empresa que permiten
mejorar la instalacin. El auditor debe verificar que el software no agrede, no
condiciona al Sistema, debe considerar el esfuerzo realizado en trminos de
costos, por si hubiera alternativas ms econmicas.
3) Software de Teleproceso
 Se ha agregado del apartado anterior de Software Bsico por su especialidad e
importancia. Son vlidas las consideraciones anteriores, Ntese la especial
dependencia que el Software del Tiempo Real tiene respecto a la arquitectura de
los Sistemas.
4) Tunning
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la
evaluacin del comportamiento de los subsistemas y del Sistema en su conjunto.
Las acciones de Tunning deben diferenciarse de los controles y medidas
habituales que realiza el personal de Tcnica de Sistemas.
El Tunning posee una naturaleza ms revisora, establecindose previamente
planes y programas de actuacin segn los sntomas observados.
Los Tunning pueden realizarse:
Cuando existe la sospecha de deterioro del comportamiento parcial o general del
Sistema.
De modo sistemtico y peridico, por ejemplo cada seis meses. En este ltimo
caso, las acciones de Tunning son repetitivas y estn planificadas y organizadas
de antemano.
El auditor informtico deber conocer el nmero de Tunning realizados el ltimo
ao, sus resultados, analizara los modelos de carga utilizados y los niveles e
ndices de confianza de las observaciones.
5) Optimizacin de los Sistemas y Subsistemas
Tcnica de Sistemas deber realizar acciones permanentes de optimizacin como
consecuencia de la informacin diaria obtenida a travs de Log, Account-ing, etc.
Acta igualmente como consecuencia de la realizacin de Tunnings pre
programado o especfico.
El auditor verificar que las acciones de optimizacin fueron efectivas y no
comprometieron la Operatividad de los Sistemas ni el "plan crtico de produccin
diaria" de Explotacin.
6) Administracin de Base de Datos
Es un rea que ha adquirido una gran importancia a causa de la proliferacin de
usuarios y de las descentralizaciones habidas en las informticas de las
empresas, el diseo de las bases de datos, ya sean relacionales o jerrquicas,
se ha convertido en una actividad muy compleja y sofisticada, por lo general
 desarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reas
de Desarrollo y los usuarios de la empresa.
El conocimiento de diseo y arquitectura de dichas Bases de Datos por parte de
los Sistemas, ha cristalizado en la administracin de las mismas les sea
igualmente encomendada. Aunque esta descripcin es la ms frecuente en la
actualidad, los auditores informticos han observado algunas disfunciones
derivadas de la relativamente escasa experiencia que Tcnica de Sistemas tiene
sobre la problemtica general de los usuarios de las Bases de Datos.
Comienzan a percibirse hechos tendentes a separar el diseo y la construccin
de las Bases de Datos, de la administracin de las mismas, administracin sta
que sera realizada por Explotacin. Sin embargo, esta tendencia es an poco
significativa.
El auditor informtico de Bases de Datos deber asegurarse que Explotacin
conoce suficientemente las que son accedidas por los Procedimientos que ella
ejecuta. Analizar los sistemas de salvaguarda existentes, que competen
igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los
datos, as como la ausencia de redundancias entre ellos.
7) Investigacin y Desarrollo
El campo informtico sigue evolucionando rpidamente. Multitud de Compaas,
de Software mayoritariamente, aparecen en el mercado. Como consecuencia,
algunas empresas no dedicadas en principio a la venta de productos
informticos, estn potenciando la investigacin de sus equipos de Tcnica de
Sistemas y Desarrollo, de forma que sus productos puedan convertirse en
fuentes de ingresos adicionales.

c) Auditora Informtica de Comunicaciones y Redes: Se ha producido un

cambio conceptual muy profundo en el tratamiento de las comunicaciones
informticas y en la construccin de los modernos Sistemas de Informacin,
basados en Redes de Comunicaciones muy sofisticadas.
Para el Auditor Informtico, el entramado conceptual que constituyen las Redes
Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no son
sino el soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobre este
avanzado concepto, que repetimos: Las Comunicaciones son el Soporte Fsico-
Lgico de la Informtica en Tiempo Real.
 El auditor informtico tropieza con la dificultad tcnica del entorno, pues ha de
analizar situaciones y hechos alejados entre s, y est condicionado a la
participacin del monopolio telefnico que presta el soporte en algunos lugares.
Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros
casos, la Auditoria de este sector requiere un equipo de especialistas, expertos
simultneamente en Comunicaciones y en Redes Locales. No debe olvidarse
que en entornos geogrficos reducidos, algunas empresas optan por el uso
interno de Redes Locales, diseadas y cableadas con recursos propios.
El entorno del Online tiene una especial relevancia en la Auditoria Informtica
debido al alto presupuesto anual que los alquileres de lneas significan. El auditor
de Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas
contratadas, con informacin abundante sobre tiempos de desuso.
Deber proveerse de la topologa de la Red de Comunicaciones, actualizada. La
des actualizacin de esta documentacin significara una grave debilidad.
La inexistencia de datos sobre cuntas lneas existen, cmo son y dnde estn
instaladas, supondra que se bordea la Inoperatividad Informtica.
Sin embargo, y como casi siempre, las debilidades ms frecuentes e importantes
en la informtica de Comunicaciones se encuentran en las disfunciones
organizativas. La contratacin e instalacin de lneas va asociada a la instalacin
de los Puestos de Trabajo correspondientes (Monitores, Servidores de Redes
Locales, Ordenadores Personales con tarjetas de Comunicaciones, impresoras,
etc.). Todas estas actividades deben estar muy coordinadas y a ser posible,
dependientes de una sola organizacin.

d) Auditora Informtica de Desarrollo de Proyectos o Aplicaciones: La funcin

de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas
y Aplicaciones. A su vez, engloba muchas reas, tantas como sectores
informatizables que tiene la empresa.
Muy escuetamente, una Aplicacin recorre las siguientes fases:

a. Prerrequisitos del Usuario (nico o plural), y del entorno.

b. Anlisis funcional.
c. Anlisis orgnico. (Pre programacin y Programacin).
d. Pruebas.
e. Entrega a Explotacin y alta para el Proceso.

Finalmente, la Auditoria informtica deber comprobar la seguridad de los

programas, en el sentido de garantizar que los ejecutados por la mquina son
totalmente los previstos y no otros.
Una razonable Auditoria informtica de Aplicaciones pasa indefectiblemente por
la observacin y el anlisis de estas consideraciones.
a) Revisin de las metodologas utilizadas: Se analizarn stas, de modo que
se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin
y el fcil mantenimiento de las mismas.
b) Control Interno de las Aplicaciones: La Auditoria informtica de Desarrollo
de Aplicaciones deber revisar las mismas fases que presuntamente ha debido
seguir el rea correspondiente de Desarrollo. Las principales son:

1. Estudio de Viabilidad de la Aplicacin.

2. Definicin Lgica de la Aplicacin.
3. Desarrollo Tcnico de la Aplicacin.
4. Diseo de Programas.
5. Mtodos de Pruebas.
6. Documentacin.
7. Equipo de Programacin.

c) Satisfaccin de Usuarios: Una Aplicacin eficiente y bien desarrollada

tericamente, deber considerarse un fracaso si no sirve a los intereses del
usuario que la solicit. Surgen nuevamente las premisas fundamentales de la
informtica eficaz: fines y utilidad. No puede desarrollarse de espaldas al usuario,
sino contando con sus puntos de vista durante todas las etapas del Proyecto. La
presencia del usuario proporcionar adems grandes ventajas posteriores,
evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin.
d) Control de Procesos y Ejecuciones de Programas Crticos
El auditor no debe descartar la posibilidad de que se est ejecutando un mdulo
lo que no se corresponde con el programa fuente que desarroll, codific y prob
el rea de Desarrollo de Aplicaciones.
 Se est diciendo que el auditor habr de comprobar fehaciente y personalmente
la correspondencia biunvoca y exclusiva entre el programa codificado y el
producto obtenido como resultado de su compilacin y su conversin en
ejecutables mediante la linkeditacin (Linkage Editor).
Obsrvense las consecuencias de todo tipo que podran derivarse del hecho de
que los programas fuente y los programas mdulos no coincidieran provocando
graves retrasos y altos costos de mantenimiento, hasta fraudes, pasando por
acciones de sabotaje, espionaje industrial-informtico, etc.
Esta problemtica ha llevado a establecer una normativa muy rgida en todo lo
referente al acceso a las Libreras de programas.
Una Informtica medianamente desarrollada y eficiente dispone de un solo juego
de Libreras de Programas de la Instalacin. En efecto, Explotacin debe
recepcionar programas fuente, y solamente fuente. Cules? Aquellos que
Desarrollo haya dado como buenos.
La asumir la responsabilidad de:

1. Copiar el programa fuente que Desarrollo de Aplicaciones ha dado por

bueno en la Librera de Fuentes de Explotacin, a la que nadie ms tiene
acceso.
2. Compilar y linkeditar ese programa, depositndolo en la Librera de
Mdulos de Explotacin, a la que nadie ms tiene acceso.
3. Copiar los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc., en el lugar que se le indique. Cualquier cambio exigir
pasar nuevamente al punto 1.

Ciertamente, hay que considerar las cotas de honestidad exigible a Explotacin.

Adems de su presuncin, la informtica se ha dotado de herramientas de
seguridad sofisticadas que permiten identificar la personalidad del que accede a
las Libreras. No obstante, adems, el equipo auditor intervendr los programas
crticos, compilando y linkeditando nuevamente los mismos para verificar su
biunivocidad.

e) Auditora de la Seguridad informtica: La seguridad en la informtica abarca

los conceptos de seguridad fsica y seguridad lgica.
La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de
datos, as como a la de los edificios e instalaciones que los albergan. Contempla
las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
Igualmente, a este mbito pertenece la poltica de Seguros.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin
de los datos, procesos y programas, as como la del ordenado y autorizado
acceso de los usuarios a la informacin.
La decisin de abordar una Auditoria Informtica de Seguridad Global en una
empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a
los que est sometida.
Tal estudio comporta con frecuencia la elaboracin de "Matrices de Riesgo" en
donde se consideran los factores de las "Amenazas" a las que est sometida
una instalacin y de los "Impactos" que aquellas pueden causar cuando se
presentan.