Catalogo de Salvedades en Auditoría

De tipo administrativo.

 Carencia de manuales de procesos y procedimientos.

 Inadecuados perfiles del talento humano frente a las funciones y labores.
 Inexistencia de mapas de riesgos por los diferentes procesos.

 Archivos desorganizados, sin foliación e inadecuada custodia.

 Las áreas desconocen el normograma de su dependencia.

 Deficientes medidas de seguridad en el ingreso de personas ajenas a la organización.

 Inadecuada segregación de funciones.
 Inexistencia de inventarios físicos de manera periódica.
 Limitados proceso de inducción y capacitación.
 Sistemas de comunicación deficientes que imposibilitan la oportuna atención a los
requerimientos de los clientes o usuarios.
 Desactualización /o poco aprovechamiento de los equipos de computación.
 Estilos de dirección cerrados que entorpecen y limitan la consecución de información.
 Excesivos trámites que dificultan la atención ágil de los usuarios o clientes.
 Excesiva represa de operaciones y registros que general desgaste administrativo.
 Planeación informal, sin metas e indicadores coherentes productos de estudios ligeros,
carentes de compromiso.
 Deficientes programas de bienestar social.
 Recursos físicos obsoletos y sin adecuado mantenimiento.

De tipo económico

 Compra reiterada de elementos y suministros sin la concepción de un plan de compras.

 Inversiones temporales en empresas con alto riesgo.
 Exagerados montos de fondos en disponible, sin colocar en portafolio de inversiones-
rentabilidad.
 Desgreño en el manejo y utilización de los servicios públicos.

 Desconocimiento de la memoria institucional, al momento de estimar proyectos y

estudios.

 Plantas paralelas de personal.

 Tercerización de funciones propias de la entidad a través de contratos, sin suprimir cargos
de planta.
 Limitado control en el vencimiento de inventarios (medicamentos, productos
perecederos).
 Manejo de fondos, inversiones y bienes sin las pólizas de garantías necesarias.
 Sanciones por incumplimiento en las condiciones laborales.
 Limitada defensa de los intereses de la entidad.
  Exposición a multas por extemporaneidad en la entrega de información oficial.
 Uso indebido del parque automotor.
 Ausencia de controles automatizados en la generación de novedades de nómina.
 Viabilidad financiera de los contratos

De tipo contable- financiero

 Manejo del portafolio de inversiones sin considerar las oscilaciones del mercado de
valores.
 Cartera de préstamos sin las garantías necesarias y coberturas suficientes.
 Ausencia de arqueos de cajas menores y tesorería.
 Cartera sin clasificar por edades para estimar provisiones.
 Sin avalúos técnicamente reconocidos sobre bienes inmuebles, que demuestren la
verdadera situación patrimonial de la entidad.
 Inadecuadas políticas valuatívas de las inversiones, provisiones, depreciaciones,
valorizaciones.
 Carencia de conciliación y confirmación con áreas fuente y/o usuario.
 Falta de rigor en el calendario de entrega de información a contabilidad para su
consolidación.
 Exagerados procesos manuales de captura de información contable, aumentando la
posibilidad de error.
 Profesionales de contaduría dedicados a la captura de información, desplazando la labor
de análisis de cifras.
 Inoportunidad en el pago de aportes parafiscales.
 Utilización de la contabilidad de caja y no de causación.
 Contabilización acelerada de venta a largo plazo, con impacto en la utilidad del ejercicio.
 Afectación del resultado del ejercicio sin contabilizar apropiadamente los diferidos.
 Inapropiado control y registro de los ajustes por inflación de manera manual.
 Limitada cultura contable.
 Diferencia de saldos entre el área fuente y contabilidad.
 Partidas antiguas sin depurar.
 Saldos contrarios a la naturaleza de la cuenta.
 Registros sin soportes.

De tipo jurídico- legal.

 Inadecuada defensa de los intereses de la entidad ante los despachos judiciales por
parte de los abogados externos.
 Excesivos procesos en cabeza de pocos abogados.
 Carencia de un sistema de información automatizado de los procesos a favor y a cargo.
 Inadecuado archivo de expedientes.
 Falta de interventoría y seguimiento sobre los abogados y los procesos.
 Limitada comunicación y retroalimentación entre la oficina jurídica y la entidad para
erradicar las causas de los procesos judiciales.
  Falta de criterios para la causación de las contingencias por cuenta de los procesos.
 Inobservancia al proceso contractual.
 Fraccionamiento de contratos.
 Contratos sin registro y reserva presupuestal.
 Pólizas de cumplimiento y garantías sin la cobertura necesarias que respalden los
contratos.
 Contratos sin liquidar.

Tipo informático.

 Procesos manuales y desgaste administrativo.

 Gestión aislada, poco integrada y coordinada, de los procesos administrativos
financieros.
 Sistema de información disperso, poco confiables y desactualizado.
 Inoportunidad en las decisiones
 Mayor tiempo de ciclos de procesos por falta de eliminación de tareas manuales.
 No existe Información en línea
 Aumento en los trámites internos
 Manejo permanente del papel en detrimento del medio ambiente.
 Registro de la información desde el área fuente a través de reprocesos y medios
magnéticos.
 Descentralización en el manejo de datos maestros
 No se posibilita el control de los procesos en línea y en tiempo real.
 Sofware desactualizados y equipos arcaicos, con poca capacidad.
 Inadecuada custodia y seguridad de equipos.
 Carencia de Back up. de información clave.
 Inapropiado mantenimiento de equipos (Antivirus)
 Utilización de los equipos en labores distintas del objeto de la entidad.
 Inexistencia de claves de acceso sobre archivos reservados de la organización.
 Inexistencia de manuales de procesos y fuentes de información.
TIPOS DE AMENAZAS

Internas

Son originadas en la propia empresa por ejemplo empleados que intentan robar datos
e introducir virus.

Externas

Son las que provienen del exterior de la red corporativa (internet). Un ejemplo de este
tipo son los relacionados con las que se relacionan con los hackers, crackers e intrusos
de la red.

También Se suelen dividir las amenazas que existen sobre los sistemas informáticos
en tres grandes grupos, en función del ámbito o la forma en que se pueden producir:
 Desastres del entorno: Dentro de este grupo se incluyen todos los po- sibles
problemas relacionados con la ubicación del entorno de trabajo informático o de la
propia organización, así como con las personas que de una u otra forma están
relacionadas con el mismo. Por ejemplo, se han de tener en cuenta desastres naturales
(terremotos, inundaciones, etc.), desastres producidos por elementos cercanos, como
los cortes de fluido eléctrico, y peligros relacionados con operadores, programadores
o usuarios del sistema.

Amenazas en el sistema: Bajo esta denominación se contemplan todas las

vulnerabilidades de los equipos y su software que pueden acarrear amenazas a la
seguridad, como fallos en el sistema operativo, medidas de protección que éste ofrece,
fallos en los programas, copias de seguridad.

Amenazas en la red: Cada día es menos común que una máquina trabaje aislada de
todas las demás; se tiende a comunicar equipos mediante redes locales, Intranets o la
propia Internet, y esta interconexión acarrea nuevas y peligrosas amenazas a la
seguridad de los equipos, peligros que hasta el momento de la conexión no se suelen
tener en cuenta. Por ejemplo, es necesario analizar aspectos relativos al cifrado de los
datos en tránsito por la red, a proteger una red local del resto de Internet, o a instalar
sistemas de autenticación de usuarios remotos que necesitan acceder a ciertos recursos
internos a la organización (como un investigador que se conecta desde su casa a través
de un módem).

No humanas

 A1: Accidente físico de origen industrial, incendios, explosiones, inundaciones,

contaminación.
 A2: Averías que pueden ser de origen físico o lógico, se debe al el efecto de
origen.
 A3: Accidente físico de origen natural, riada, fenómeno sísmico o volcánico.
 A4: Interrupción de servicios o de suministros esenciales: energía, agua,
telecomunicaciones, fluidos y suministros.
 A5: Accidentes mecánicos o electromagnéticos.
Humanas

 E1: Errores de utilización ocurridos durante la recogida y transmisión de datos.

 E2: Errores de diseño existentes desde los procesos de desarrollo del software.
 E3: Errores de ruta, secuencia o entrega de la información durante el tránsito.
 E4: Errores de monitorización, trazabilidad o registros del tráfico de
información.
Humanas intencionales que necesitan presencia física

 P1: Acceso físico con inutilización.

 P2: Acceso lógico con intercepción pasiva simple de la información.
 P3: Acceso lógico con alteración o sustentación de la información en tránsito, o
reducir la confidencialidad para aprovechar los bienes o servicios.
 P4: Acceso lógico con corrupción o destrucción de información de
configuración, o con reducción de la integridad y la disponibilidad del sistema
sin provecho directo.
 P5: no se encuentran disponibles de recursos humanos.
Humana intencional que proceden de un origen remoto

 T1: Acceso lógico con intercepción pasiva.

 T2: Acceso lógico con corrupción de información en tránsito o de configuración.
 T3: Acceso lógico con modificación de información en tránsito.
 T4: Suplantación de origen o de identidad.
 T5: Repudio del origen o de la recepción de información en tránsito
Tipos de vulnerabilidad

Se pueden considerar dos acepciones principales:

 La vulnerabilidad intrínseca del activo respecto del tipo de amenaza sólo

depende de ambas cantidades.
 La vulnerabilidad efectiva del activo tiene en cuenta las salvaguardas
aplicadas en cada momento a dicho activo, como un factor en el que se estima
la eficacia global de dichas salvaguardas
Atributos de las vulnerabilidades

La vulnerabilidad intrínseca puede descomponerse en análisis detallados, que

se encuentran en varios bloques de atributos:

 Potencialidad autónoma respecto al activo de seguridad que se encuentre

amenazado.
 Potencialidad derivada de la relación entre activo y amenaza.
 Factores subjetivos generadores de más o menos fuerza.
 Oportunidad de acceso al dominio si se tiene la suficiente capacidad y los
recursos necesarios, que son cuatro: Accesibilidad física presencial,
accesibilidad física cualificada, accesibilidad lógica competencial y
accesibilidad lógica instrumental.
TIPOS DE ACTIVOS
Podemos considerar cinco grandes tipos de activos de información, que son:
1. El entorno del Sistema de Seguridad de la Información basado en ISO 27001,
que comprende a los activos y que se precisan para garantizar los siguientes niveles.
2. El sistema de información en sí.
3. La misma información generada por la aplicación del Sistema de Seguridad de la
Información.
4. Las funcionalidades de la organización, en las que se justifican las exigencias de
los Sistemas de Información anteriores y les generan la finalidad deseada.
5. Otros activos, ya que el tratamiento realizado a los activos es un método de
evaluación de riesgos que tienen que permitir la inclusión de cualquier otro activo,
sea cual sea su naturaleza.