Jesus13ejer[1]
Descargar como DOCX, PDF0 recomendaciones174 vistas
Este documento presenta una introducción a la auditoría informática. Explica que la auditoría informática evalúa si un sistema de información protege los activos de una empresa, mantiene la integridad de los datos, cumple con los objetivos de la organización y utiliza los recursos de manera eficiente. También describe los tipos de auditoría, los campos de aplicación de la informática, los modelos de control como COBIT y los principios que aplican los auditores informáticos.
Jesus13ejer[1]
- 1. Contenido del Curso: Administración de la función informática UNIDAD I Introducción a la auditoria informática. Conceptos de auditoría y auditoria Informática. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste * El análisis de la eficiencia de Auditoría contable (de principalmente en los Sistemas Informáticos estados financieros) – no es interés del curso. estudiar los * La verificación del Auditoría interna. La lleva a mecanismos de cumplimiento de la Normativa cabo un departamento dentro de la organización y control que en este ámbito existe una relación laboral. están * La revisión de la eficaz Auditoría externa. No existe gestión de los recursos relación laboral y la hacen implantados en personas externas al una empresa u informáticos. negocio para que los resultados que nos arroje organización, La auditoría informática sean imparciales como determinando si sirve para mejorar ciertas pueden ser las firmas de los mismos son características en la contadores o empresa como: administradores adecuados y - Eficiencia independientes. cumplen unos - Eficacia Auditoria administrativa. - Rentabilidad (William. P Leonard) es un determinados - Seguridad examen completo y objetivos o constructivo de la Generalmente se puede estructura organizativa de la estrategias, desarrollar en alguna o empresa, institución o estableciendo los combinación de las departamento cambios que se siguientes áreas: gubernamental o de - Gobierno corporativo cualquier otra entidad y de deberían realizar - Administración del Ciclo sus métodos de control, para la de vida de los sistemas medios de operación y - Servicios de Entrega y empleo que dé a sus consecución de Soporte recursos humanos y los mismos. - Protección y Seguridad materiales. - Planes de continuidad y Auditoria gubernamental. Recuperación de desastres Auditoría Financiera: Los objetivos de la auditoría Informática son: Consiste en una revisión * El control de la función 1.2 Tipos de auditoría. exploratoria y critica de los controles subyacentes y los informática registros de contabilidad de
- 2. una empresa realizada por forma independiente para ingeniería y de productos un contador público. otorgarle validez ante los comerciales, trazado de Auditoria de operaciones: usuarios del producto de planos, etc. Se define como una técnica este, por lo cual Documentación e para evaluar tradicionalmente se ha información: Es uno de los sistemáticamente de una asociado el término campos más importantes función o una unidad con Auditoría Externa a para la utilización de referencia a normas de la Auditoría de Estados computadoras. Estas se empresa, utilizando Financieros, lo cual como usan para el personal no especializado se observa no es totalmente almacenamiento de grandes en el área de estudio. equivalente, pues puede cantidades de datos y la Auditoría fiscal: Consiste existir. Auditoría Externa recuperación controlada de en verificar el correcto y del Sistema de Información los mismos en bases de oportuno pago de los Tributario, Auditoría datos. diferentes impuestos y Externa del Sistema de Gestión administrativa: obligaciones fiscales de los Información Automatiza las funciones de contribuyentes desde el Administrativo, Auditoría gestión típicas de una punto de vista físico Externa del Sistema de empresa. (SHCP), direcciones o Información Automático Inteligencia artificial: Las tesorerías de hacienda etc. computadoras se programan estatales o tesorerías de forma que emulen el municipales. La auditoría Interna es el comportamiento de la Auditoria de resultados de examen crítico, sistemático mente humana. Los programas: Esta auditoría la y detallado de un sistema de programas responden como eficacia y congruencia información de una unidad previsiblemente lo haría una alcanzadas en el logro de económica, realizado por un persona inteligente. los objetivos y las metas profesional con vínculos Instrumentación y control: establecidas. laborales con la misma, Instrumentación Auditoria de legalidad: Este utilizando técnicas electrónica, electro tipo de auditoría tiene como determinadas y con el medicina, robots finalidad revisar si la objeto de emitir informes y industriales, entre otros. dependencia o entidad, en formular sugerencias para el desarrollo de sus el mejoramiento de la 1.4 Control interno. actividades. misma. Estos informes son Auditoría integral: Es un de circulación interna y no El Control Interno examen que proporciona tienen trascendencia a los Informático puede definirse una evaluación objetiva y terceros pues no se como el sistema integrado constructiva acerca del producen bajo la figura de al proceso administrativo, grado en que los recursos la Fe Pública. en la planeación, humanos, financieros y organización, dirección y materiales. 1.3 Campo de la auditoria control de las operaciones informática. con el objeto de asegurar la 1.2.1 Auditoría interna y protección de todos los externa. Algunos campos de recursos informáticos y aplicación de la informática mejorar los índices de La Auditoría Externa son las siguientes: economía, eficiencia y examina y evalúa efectividad de los procesos cualquiera de los sistemas Investigación científica y operativos automatizados. de información de una humanística: Se usan la las organización y emite una computadoras para la También se puede definir opinión independiente sobre resolución de cálculos el Control Interno como los mismos, pero las matemáticos, recuentos cualquier actividad o acción empresas generalmente numéricos, etc. realizada manual y/o requieren de la evaluación Aplicaciones técnicas: Usa automáticamente para de su sistema de la computadora para prevenir, corregir errores o información financiero en facilitar diseños de irregularidades que puedan 2
- 3. afectar al funcionamiento específicos de IT desde una define un marco de de un sistema para perspectiva de negocios. referencia que clasifica los conseguir sus objetivos. “La adecuada procesos de las unidades de implementación de un tecnología de información 1.5 Modelos de control modelo COBIT en una de las organizaciones en utilizados en auditoria organización, provee una cuatro “dominios” informática. herramienta automatizada, principales, a saber: para evaluar de manera ágil -Planificación y El COBIT es precisamente y consistente el organización un modelo para auditar la cumplimiento de los -Adquisición e gestión y control de los objetivos de control y implantación sistemas de información y controles detallados, que -Soporte y Servicios tecnología, orientado a aseguran que los procesos y - Monitoreo todos los sectores de una recursos de información y organización, es decir, tecnología contribuyen al Estos dominios agrupan administradores IT, logro de los objetivos del objetivos de control de alto usuarios y por supuesto, los negocio en un mercado nivel, que cubren tanto los auditores involucrados en el cada vez más exigente, aspectos de información, proceso. complejo y diversificado”, como de la tecnología que señaló un informe de la respalda. Estos dominios Las siglas COBIT ETEK. y objetivos de control significan Objetivos de facilitan que la generación y Control para Tecnología de COBIT, lanzado en 1996, procesamiento de la Información y Tecnologías es una herramienta de información cumplan con relacionadas (Control gobierno de TI que ha las características de Objetives cambiado la forma en que efectividad, eficiencia, forInformationSystems and trabajan los profesionales confidencialidad, relatedTechnology). El de tecnología. Vinculando integridad, disponibilidad, modelo es el resultado de tecnología informática y cumplimiento y una investigación con prácticas de control, el confiabilidad. expertos de varios países, modelo COBIT consolida y desarrollado por ISACA armoniza estándares de Asimismo, se deben tomar (InformationSystemsAudit fuentes globales en cuenta los recursos que and Control Association). prominentes en un recurso proporciona la tecnología crítico para la gerencia, los de información, tales como: La estructura del modelo profesionales de control y datos, aplicaciones, COBIT propone un marco los auditores. plataformas tecnológicas, de acción donde se evalúan instalaciones y recurso los criterios de información, COBIT se aplica a los humano. como por ejemplo la sistemas de información de seguridad y calidad, se toda la empresa, incluyendo “Cualquier tipo de empresa auditan los recursos que los computadores puede adoptar una comprenden la tecnología personales y las redes. Está metodología COBIT, como de información, como por basado en la filosofía de parte de un proceso de ejemplo el recurso humano, que los recursos TI reingeniería en aras de instalaciones, sistemas, necesitan ser administrados reducir los índices de entre otros, y finalmente se por un conjunto de procesos incertidumbre sobre realiza una evaluación sobre naturalmente agrupados vulnerabilidades y riesgos los procesos involucrados para proveer la información de los recursos IT y en la organización. pertinente y confiable que consecuentemente, sobre la requiere una organización posibilidad de evaluar el El COBIT es un modelo de para lograr sus objetivos. logro de los objetivos del evaluación y monitoreo que negocio apalancado en enfatiza en el control de El conjunto de lineamientos procesos tecnológicos”, negocios y la seguridad IT y y estándares internacionales finalizó el informe de que abarca controles conocidos como COBIT, ETEK. 3
- 4. informático a auditar, el Fase VII: Seguimiento de 1.6 Principios aplicados a auditor deberá establecer las Recomendaciones los auditores informáticos. los requisitos mínimos, aconsejables y óptimos para 2.1.1 Planeación. El auditor deberá ver cómo su adecuación a la finalidad se puede conseguir la para la que ha sido Para hacer una adecuada máxima eficacia y diseñado. El auditor deberá planeación de la auditoría rentabilidad de los medios lógicamente abstenerse de en informática, hay que informáticos de la empresa recomendar actuaciones seguir una serie de pasos auditada, estando obligado innecesariamente onerosas, previos que permitirán a presentar dañinas o que generen dimensionar el tamaño y recomendaciones acerca del riesgos injustificados para características de área reforzamiento del sistema y el auditado. Una de las dentro del organismo a el estudio de las soluciones cuestiones más auditar, sus sistemas, más idóneas según los controvertidas, respecto de organización y equipo. En problemas detectados en el la aplicación de este el caso de la auditoría en sistema informático de esta principio, es la referente a informática, la planeación última. En ningún caso está facilitar el derecho de las es fundamental, pues habrá justificado que realice su organizaciones auditadas a que hacerla desde el punto trabajo el prisma del propio la libre elección del auditor. de vista de los dos beneficio. Cualquiera Si el auditado decidiera objetivos: actitud que se anteponga encomendar posteriores intereses personales del auditorías a otros • Evaluación de los sistemas auditor a los del auditado profesionales, éstos y procedimientos. deberá considerarse como deberías poder tener acceso • Evaluación de los equipos no ética. Para garantizar el a los informes de los de cómputo. beneficio del auditado como trabajos profesionales, éstos la necesaria independencia deberían poder tener acceso 2.1.2 Revisión preliminar. del auditor, este último a los informes de los deberá evitar estar ligado en trabajos anteriormente En esta fase el auditor debe cualquier forma, a intereses realizados sobre el sistema de armarse de un de determinadas marcas, del auditado. conocimiento amplio del productos o equipos área que va a auditar, los compatibles con los de su del grado de cobertura que objetivos que debe cumplir, cliente. La adaptación del dan las aplicaciones a las tiempos (una empresa no auditor al sistema del necesidades estratégicas y pude dejar sus equipos y auditado debe implicar una operativas de información personal que lo opera sin cierta simbiosis con el de la empresa. trabajar porque esto le mismo, a fin de adquirir un genera pérdidas conocimiento UNIDAD II Planeación de sustanciosas), herramientas pormenorizado de sus la auditoria Informática. y conocimientos previos, características intrínsecas. así como de crear su equipo Únicamente en los casos en 2.1 Fases de la auditoria. de auditores expertos en la el que el auditor dedujese la materia con el fin de evitar imposibilidad de que el Fase I: Conocimientos del tiempos muertos a la hora sistema pudiera acomodarse Sistema de iniciar la auditoria. a las exigencias propias de Fase II: Análisis de su cometido, este podrá transacciones y recursos Es de tomarse en cuenta que proponer un cambio Fase III: Análisis de riesgos el propietario de dicha cualitativamente y amenazas empresa, ordena una significativo de Fase IV: Análisis de auditoria cuando siente que determinados elementos o controles un área tiene una falla o del propio sistema Fase V: Evaluación de simplemente no trabaja informático globalmente Controles productivamente como se contemplado. Una vez Fase VI: El Informe de sugiere, por esta razón estudiado el sistema auditoria habrá puntos claves que se 4
- 5. nos instruya sean revisados, como de la evidencia del será preciso determinar si hay que recordar que las cumplimiento, dentro del los errores tienen una auditorias parten desde un periodo restante, que puede repercusión directa en los ámbito administrativo y no obtenerse de las pruebas estados financieros, o si los solo desde la parte sustantivas realizadas por el puntos fuertes del control tecnológica, porque al fin auditor independiente. eliminarían el error. de cuentas hablamos de tiempo y costo de La determinación de la 2.1.5 Pruebas de controles producción, ejercicio de extensión de las pruebas de de usuario. ventas, etc. Es decir, todo cumplimento se realizará aquello que representa un sobre bases estadísticas o En una auditoria existen los gasto para la empresa. sobre bases subjetivas. El siguientes módulos para muestreo estadístico es, en ayudarle a planificar y 2.1.3 Revisión detallada. principio, el medio idóneo ejecutar pruebas: para expresar en términos Los objetos de la fase cuantitativos el juicio del Aéreas de Auditoria detallada son los de obtener auditor respecto a la Registro de Riesgos y la información necesaria razonabilidad, Controles para que el auditor tenga un determinando la extensión Plan de Pruebas profundo entendimiento de de las pruebas y evaluando Realizar pruebas los controles usados dentro su resultado. Permite especificar la del área de informática. estructura bajo la cual se Cuando se utilicen bases agruparan las pruebas. El auditor debe de decidir subjetivas se deberá dejar Permite planificar y ejecutar se debe continuar constancia en los papeles de pruebas relacionadas con elaborando pruebas de trabajo de las razones que los riesgos y controles consentimiento, con la han conducido a tal definidos para esta esperanza de obtener mayor elección, justificando los auditoría. confianza por medio del criterios y bases de Permite agregar, editar y sistema de control interno, o selección. borrar pruebas con proceder directamente a independencia del Registro revisión con los usuarios Evaluación del control de Riesgos y Controles. (pruebas compensatorias) o interno Permite registrar el a las pruebas sustantivas. resultado y el status de cada Realizados los cuestionarios prueba (completadas, 2.1.4 Examen y evaluación y representado gráficamente revisadas o aprobadas). de la información. el sistema de acuerdo con los procedimientos vistos, Una Librería de Áreas y una Periodo en el que se hemos de conjugar ambos a Librería de Pruebas pueden desarrollan las pruebas y su fin de realizar un análisis e también ser mantenida para extensión identificar los puntos proveer Áreas y Pruebas fuertes y débiles del Standard para su selección Los auditores sistema. en cada auditoria. independientes podrán realizar las pruebas de En esa labor de Las Áreas de Auditoria cumplimiento durante el identificación, influye estructuran sus pruebas en periodo preliminar. primordialmente la programas de trabajo habilidad para entender el lógicos y pueden usarse Cuando éste sea el caso, la sistema y comprender los para capturar información aplicación de tales pruebas puntos fuertes y débiles de relacionada con los a todo el periodo restante su control interno. objetivos de cada programa puede no ser necesaria, de trabajo. dependiendo La conjugación de ambas fundamentalmente del nos dará el nivel de 2.1.6 Pruebas sustantivas. resultado de estas pruebas confianza de los controles en el periodo preliminar así que operan en la empresa, y 5
- 6. El objetivo de las pruebas Garantía o conjunto de personal que habrá de sustantivas es obtener garantías que se da a participar en la auditoria. evidencia suficiente que alguien sobre el permita al auditor emitir su cumplimiento de algo. Uno de los esquemas juicio en las conclusiones generalmente aceptados acerca de cuándo pueden Ejemplo: Seguridad Social para tener un adecuado ocurrir pérdidas materiales Conjunto de organismos, control es que el personal durante el proceso de la medios, medidas, etc., de la que intervenga esté información. administración estatal para debidamente capacitado, prevenir o remediar los que tenga un alto sentido de Se pueden identificar 8 posibles riesgos, problemas moralidad, al cual se le diferentes pruebas y necesidades de los exija la optimización de sustantivas: trabajadores, como recursos (eficiencia) y se le enfermedad, accidentes retribuya o compense 1 pruebas para identificar laborales, incapacidad, justamente por su trabajo. errores en el procesamiento maternidad o jubilación; se o de falta de seguridad o financia con aportaciones Con estas bases debemos confidencialidad. del Estado, trabajadores y considerar los 2 prueba para asegurar la empresarios. conocimientos, la práctica calidad de los datos. profesional y la 3 pruebas para identificar la Se dice también de todos capacitación que debe tener inconsistencia de datos. aquellos objetos, el personal que intervendrá 4 prueba para comparar con dispositivos, medidas, etc., en la auditoria. los datos o contadores que contribuyen a hacer físicos. más seguro el También se deben contar 5 confirmaciones de datos funcionamiento o el uso de con personas asignadas por con fuentes externas una cosa: cierre de los usuarios para que en el 6 pruebas para confirmar la seguridad, cinturón de momento que se solicite adecuada comunicación. seguridad. información, o bien se 7 prueba para determinar efectúe alguna entrevista de falta de seguridad. 2.4 Personal participante. comprobación de hipótesis, 8 pruebas para determinar nos proporcionen aquello problemas de legalidad. Una de las partes más que se está solicitando, y importantes en la complementen el grupo 2.2 Evaluación de los planeación de la auditoría multidisciplinario, ya que sistemas de acuerdo al en informática es el debemos analizar no sólo el riesgo. personal que deberá punto de vista de la participar, ya que se debe dirección de informática, Riesgo contar con un equipo sino también el del usuario seleccionado y con ciertas del sistema. Proximidad o posibilidad de características que puedan un daño, peligro, etc. ayudar a llevar la auditoria UNIDAD III Auditoria de de manera correcta y en el la función informática. Cada uno de los tiempo estimado. imprevistos, hechos 3.1 Recopilación de la desafortunados, etc., que Aquí no se verá el número información organizacional. puede cubrir un seguro. de persona que deberán participar, ya que esto Para que un proceso de Sinónimos: amenaza, depende de las dimensiones D.O. tenga éxito debe contingencia, emergencia, de la organización, de los comenzar por obtener un urgencia, apuro. sistemas y de los equipos, diagnostico con lo que se deberá considerar información verdadera y a Seguridad son exactamente las tiempo de lo que sucede en características que debe la organización bajo Cualidad o estado de seguro cumplir cada uno del análisis, esta obtención de la información debe ser 6
- 7. planeada en forma perjudiciales para la obtener la máxima estructurada para garantizar empresa o que no están información posible del una generación de datos que justificando su costo, o candidato. ayuden posteriormente su prácticas y condiciones que análisis. Es un ciclo deben incrementarse. Te preguntará por tu continuo en el cual se currículum, experiencias, planea la recolección de La auditoría es un sistema habilidades, aficiones e datos, se analiza, se de revisión y control para intentará ponerte en retroalimentan y se da un informar a la administración situaciones reales para seguimiento. sobre la eficiencia y la estudiar tus reacciones. En eficacia del programa que ocasiones puede haber más La recolección de datos lleva a cabo. de un entrevistador, con el puede darse de varias fin de tener más de un maneras: El sistema de punto de vista a la hora de administración de recursos elegir el candidato final. • Cuestionarios humanos necesita patrones • Entrevistas capaces de permitir una Modalidades de la • Observación continua evaluación y Entrevista Personal • Información documental control sistemático de su (archivo) funcionamiento. Estructurada (dirigida) Toda la información tiene Patrón en in criterio o un El entrevistador dirige la un valor en sí misma, el modelo que se establece conversación y hace las método de obtención de previamente para permitir la preguntas al candidato información está comparación con los siguiendo un cuestionario o directamente ligado a la resultados o con los guión. El entrevistador disponibilidad, dificultad y objetivos alcanzados. Por formulará las mismas costo. Existen ventajas y medio de la comparación preguntas a todos los desventajas en el uso de con el patrón pueden candidatos. cada una de estas evaluarse los resultados herramientas, su utilidad obtenidos y verificar que Se recomienda contestar a dependerá del objetivo que ajustes y correcciones las preguntas aportando se busque y los medios para deben realizarse en el aquella información que se llevar a cabo esa sistema, con el fin de que pide, con claridad y recolección de datos en funcione mejor. brevedad. tiempo y forma para su posterior análisis. 3.3 Entrevistas con el No estructurada (libre) personal de informática. 3.2 Evaluación de los El entrevistador te dará la recursos humanos La entrevista es uno de los iniciativa a ti, y deberás eslabones finales para desenvolverte por tu cuenta. La auditoría de recursos conseguir la posición El entrevistador podría humanos puede definirse deseada. Desde el otro lado empezar con la pregunta: como el análisis de las del mostrador y habiendo “Háblame de ti”, y luego políticas y prácticas de entrevistado a 5.000 seguir con preguntas personal de una empresa y profesionales en sistemas generales, que surgen en la evaluación de su entre nuestro equipo de función del desarrollo de la funcionamiento actual, selectores, te dejamos conversación. seguida de sugerencias para valiosos consejos en esta mejorar. El propósito nota. Lo más aconsejable es principal de la auditoria de empezar siguiendo el guión recursos humanos es Es un diálogo directo entre de tu historial profesional. mostrar cómo está el entrevistador y También puedes preguntar funcionado el programa, entrevistado. El si está interesado en localizando prácticas y entrevistador dirige la conocer algo en particular. condiciones que son conversación e intenta Aprovecha para llevar la 7
- 8. conversación a los puntos Existencia de un sistema y el ejercicio presupuestario fuertes que deseas destacar presupuestal que permita del gasto, tal como lo en relación con el puesto identificar, reunir, analizar, establecen los Términos de ofertado. clasificar, registrar y Referencia para auditorías a producir información Órganos Semi-estructurada (mixta) cuantitativa de las Desconcentrados y operaciones basadas en Entidades Paraestatales de Es una combinación de las flujos de efectivo y partidas la SFP, así como el flujo de dos anteriores. El devengadas efectivo que detalle el entrevistador utilizará origen y el destino de los preguntas directas para - Existencia de egresos (Art.103 de la Ley conseguir informaciones procedimientos relativos a Federal de Presupuesto y precisas sobre ti, y autorización, procesamiento Responsabilidad preguntas indirectas para y clasificación de Hacendaria) sondearte respecto a tus transacciones, salvaguarda motivaciones. Intenta seguir física de documentación un orden discursivo, sé soporte y de verificación y conciso e intenta relacionar evaluación, incluyendo los UNIDAD IV Evaluación de tus respuestas y aplicables a la actualización la seguridad. comentarios con las de cifras y a los controles exigencias del puesto al que relativos al procesamiento Generalidades de la optas. electrónico de datos. - seguridad del área física. Vigilancia sobre el 3.4 Situación presupuestal establecimiento y Es muy importante ser y financiera. mantenimiento de controles consciente que por más que internos con objeto de nuestra empresa sea la más El estudio y evaluación del identificar si están operando segura desde el punto de control interno deberá efectivamente y si deben ser vista de ataques externos, efectuarse conforme a lo modificados cuando existan Hackers, virus, etc. dispuesto en el boletín 3050 cambios importantes. (conceptos luego “Estudio y Evaluación del tratados);la seguridad de la Control Interno”, emitido Para efectos de estudio y misma será nula si no se ha por la Comisión de Normas evaluación del control previsto como combatir un y Procedimientos de interno en una revisión en incendio. Auditoría del Instituto una revisión de estados Mexicano de Contadores presupuestarios, el auditor La seguridad física es uno Públicos, A.C., éste servirá deberá considerar los de los aspectos más de base para determinar el siguientes aspectos: olvidados a la hora del grado de confianza que se diseño de un sistema depositará en él y le permita a. Existencia de un Informático. Si bien determinar la naturaleza, presupuesto anual algunos de los aspectos alcance y oportunidad, que autorizado tratados a continuación se va a dar a los b. Existencia e políticas, prevén, otros, como la procedimientos de bases y lineamientos detección de un atacante auditoría, por lo que el presupuestarios interno a la empresa que auditor para el c. Existencia de un sistema intenta a acceder cumplimiento de los de registro presupuestario físicamente a una sala de objetivos deberá considerar d. Existencia de un operaciones de la misma, lo siguiente: procedimiento de no. autorizaciones - Existencia de factores que e. Procedimientos de Esto puede derivar en que aseguren un ambiente de registro, control y reporte para un atacante sea más control presupuestario fácil lograr tomar y copiar - Existencia de riesgo en la una cinta de la sala, que información financiera Obtener el estado analítico intentar acceder vía lógica a de recursos presupuestarios la misma. 8
- 9. Cambio de los datos antes o "management" o gestión de Así, la Seguridad Física cuando se le da entrada a la la empresa. Cabe aclarar consiste en la “aplicación computadora. que la Informática no de barreras físicas y Copias de programas y /o gestiona propiamente la procedimientos de control, información. empresa, ayuda a la toma de como medidas de Código oculto en un decisiones, pero no decide prevención y contramedidas programa por sí misma. Por ende, ante amenazas a los Entrada de virus debido a su importancia en recursos e información el funcionamiento de una confidencial” (1). Se refiere Un método eficaz para empresa, existe la Auditoría a los controles y proteger sistemas de Informática. mecanismos de seguridad computación es el software dentro y alrededor del de control de acceso. Los El término de Auditoría se Centro de Cómputo así paquetes de control de ha empleado como los medios de acceso acceso protegen contra el incorrectamente con remoto al y desde el mismo; acceso no autorizado, pues frecuencia ya que se ha implementados para piden al usuario una considerado como una proteger el hardware y contraseña antes de evaluación cuyo único fin medios de almacenamiento permitirle el acceso a es detectar errores y señalar de datos. información confidencial. fallas. A causa de esto, se Sin embargo, los paquetes ha tomado la frase "Tiene 4.2 Seguridad lógica y de control de acceso Auditoría" como sinónimo confidencial. basados en componentes de que, en dicha entidad, pueden ser eludidos por antes de realizarse la La seguridad lógica se delincuentes sofisticados en auditoría, ya se habían encarga de los controles de computación, por lo que no detectado fallas. acceso que están diseñados es conveniente depender de para salvaguardar la esos paquetes por si solos El concepto de auditoría es integridad de la información para tener una seguridad mucho más que esto. Es un almacenada de una adecuada. examen crítico que se computadora, así como de realiza con el fin de evaluar controlar el mal uso de la 4.3 Seguridad personal. la eficacia y eficiencia de información. una sección, un organismo, A finales del siglo XX, los una entidad, etc. La seguridad lógica se Sistemas Informáticos se encarga de controlar y han constituido en las 4.4 Clasificación de los salvaguardar la información herramientas más poderosas controles de seguridad. generada por los sistemas, para materializar uno de los por el software de conceptos más vitales y Clasificación general de los desarrollo y por los necesarios para cualquier controles programas en aplicación. organización empresarial, los Sistemas de Información Controles Preventivos Identifica individualmente a de la empresa. cada usuario y sus Son aquellos que reducen la actividades en el sistema, y La Informática hoy, está frecuencia con que ocurren restringe el acceso a datos, subsumida en la gestión las causas del riesgo, a los programas de uso integral de la empresa, y permitiendo cierto margen general, de uso específico, por eso las normas y de violaciones. de las redes y terminales. estándares propiamente informáticos deben estar, Ejemplos: Letrero "No La falta de seguridad lógica por lo tanto, sometidos a los fumar" para salvaguardar o su violación puede traer generales de la misma. En las instalaciones las siguientes consecuencias consecuencia, las a la organización: organizaciones informáticas Sistemas de claves de forman parte de lo que se ha acceso denominado el 9
- 10. Controles detectives Sistemas de identificación, y se obtiene son la parte asignación y cambio de más importante de todo el Son aquellos que no evitan derechos de acceso, control sistema informático y su que ocurran las causas del de accesos, restricción de razón de ser. Un sistema riesgo sino que los detecta terminales, desconexión de informático existe como tal luego de ocurridos. Son los la sesión, limitación de desde el momento en que más importantes para el reintento. es capaz de tratar y auditor. En cierta forma suministrar información. sirven para evaluar la Software de base. Sin ésta, se reduciría a un eficiencia de los controles conjunto de elementos preventivos. Control de cambios y lógicos sin ninguna utilidad. versiones, control de uso de Ejemplo: Archivos y programas de utilidad, En la actualidad la inmensa procesos que sirvan como control de uso de recursos y mayoría de sistemas tienen pistas de auditoría medición de 'performance'. la información organizada en sendas Bases de Datos. Procedimientos de Software de aplicación. Los criterios que se citan a validación continuación hacen En este apartado se trata referencia a la seguridad de Controles Correctivos todo lo concerniente al los Sistemas de Gestión de software de aplicación, es Bases de Datos (SGBD) Ayudan a la investigación y decir, todo lo relativo a las que cumplan normas ANSI, corrección de las causas del aplicaciones de gestión, si bien muchos de ellos riesgo. La corrección sean producto de desarrollo pueden ser aplicables a los adecuada puede resultar interno de la empresa o bien archivos de datos difícil e ineficiente, siendo sean paquetes estándar convencionales. necesaria la implantación de adquiridos en el mercado. controles defectivos sobre Diseño de bases de datos. los controles correctivos, Desarrollo de software. debido a que la corrección Es importante la utilización de errores es en sí una . Metodología: existe, se de metodologías de diseño actividad altamente aplica, es satisfactoria. de datos. El equipo de propensa a errores. Documentación: existe, esta analistas y diseñadores actualizada, es accesible. deben hacer uso de una 4.5 Seguridad en los datos . Estándares: se aplican, misma metodología de y software de aplicación. como y quien lo controla. diseño, la cual debe estar en Involucración del usuario. concordancia con la Este apartado aborda los . Participación de personal arquitectura de la Base de aspectos asociados al externo. Datos elegida jerárquica, componente lógico del . Control de calidad. relacional, red, o bien sistema: programas y datos. . Entornos real y de prueba. orientada a objetos. Para ello, se distingue entre . Control de cambios. las medidas para restringir y Debe realizarse una controlar el acceso a dichos Adquisición de software estimación previa del recursos, los estándar. volumen necesario para el procedimientos para almacenamiento de datos asegurar la fiabilidad del Metodología, basada en distintos aspectos software (tanto operativo pruebas, condiciones, tales como el número como de gestión) y los garantías, contratos, mínimo y máximo de criterios a considerar para capacitación, licencias, registros de cada entidad garantizar la integridad de derechos, soporte técnico. del modelo de datos y las la información. predicciones de Datos. crecimiento. Control de acceso. Los datos es decir, la A partir de distintos información que se procesa factores como el número de 10
- 11. usuarios que accederá a la centralizar en personas 4.6 Controles para evaluar información, la necesidad especializadas en el tema software de aplicación. de compartir información y las tareas de redacción de las estimaciones de normas referentes al gestor Una vez conseguida la volumen se deberá elegir el de datos utilizado, Operatividad de los SGBD más adecuado a las definición de estándares y Sistemas, el segundo necesidades de la empresa o nomenclatura, diseño de objetivo de la auditoría es la proyecto en cuestión. procedimientos de arranque, verificación de la recuperación de datos, observancia de las normas En la fase de diseño de asesoramiento al personal teóricamente existentes en datos, deben definirse los de desarrollo entre algunos el departamento de procedimientos de otros aspectos. Informática y su coherencia seguridad, confidencialidad con las del resto de la e integridad que se Creación de bases de datos. empresa. Para ello, habrán aplicarán a los datos: de revisarse sucesivamente Debe crearse un entorno de y en este orden: Procedimientos para desarrollo con datos de recuperar los datos en casos prueba, de modo que las 1. Las Normas Generales de de caída del sistema o de actividades del desarrollo la Instalación Informática. corrupción de los archivos. no interfieran el entorno de Se realizará una revisión explotación. Los datos de inicial sin estudiar a fondo Procedimientos para prueba deben estar las contradicciones que prohibir el acceso no dimensionados de manera pudieran existir, pero autorizado a los datos. Para que permitan la realización registrando las áreas que ello deberán identificarlos. de pruebas de integración carezcan de normativa, y con otras aplicaciones, de sobre todo verificando que Procedimientos para rendimiento con volúmenes esta Normativa General . restringir el acceso no altos. Informática no está en autorizado a los datos. contradicción con alguna Debiendo identificar los En la fase de creación, Norma General no distintos perfiles de usuario deben desarrollarse los informática de la empresa. que accederán a los procedimientos de archivos de la aplicación y seguridad, confidencialidad 2. Los Procedimientos los subconjuntos de e integridad definidos en la Generales Informáticos. Se información que podrán etapa de diseño: verificará su existencia, al modificar o consultar. . Construcción de los menos en los sectores más procedimientos de copia y importantes. Por ejemplo, la Procedimientos para restauración de datos. recepción definitiva de las mantener la consistencia y . Construcción de los máquinas debería estar corrección de la procedimientos de firmada por los información en todo restricción y control de responsables de momento. acceso. Existen dos Explotación. Tampoco el enfoques para este tipo de alta de una nueva Básicamente existen dos procedimientos: Aplicación podría niveles de integridad: la de producirse si no existieran datos, que se refiere al tipo, Confidencialidad basada en los Procedimientos de longitud y rango aceptable roles, que consiste en la Backup y Recuperación en cada caso, y la lógica, definición de los perfiles de correspondientes. que hace referencia a las usuario y las acciones que relaciones que deben existir les son permitidas (lectura, 3. Los Procedimientos entre las tablas y reglas del actualización, alta, borrado, Específicos Informáticos. negocio. creación/eliminación de Igualmente, se revisara su tablas, modificación de la existencia en las áreas Debe designarse un estructura de las tablas). fundamentales. Así, Administrador de Datos, ya Explotación no debería que es importante explotar una Aplicación sin 11
- 12. haber exigido a Desarrollo delincuentes pueden pasar medio de disquetes la pertinente desapercibidos a través de "infectados"; también se documentación. Del mismo las fronteras, ocultarse tras están propagando modo, deberá comprobarse incontables "enlaces" o últimamente por las redes, que los Procedimientos simplemente desvanecerse con frecuencia camuflados Específicos no se opongan a sin dejar ningún documento en mensajes electrónicos o los Procedimientos de rastro. Pueden despachar en programas Generales. En todos los directamente las "descargados" de la red. casos anteriores, a su vez, comunicaciones o esconder deberá verificarse que no pruebas delictivas en 4.8 Plan de contingencia, existe contradicción alguna "paraísos informáticos" - o seguros, procedimientos de con la Normativa y los sea, en países que carecen recuperación de desastres. Procedimientos Generales de leyes o experiencia para de la propia empresa, a los seguirles la pista -. Medida que las empresas se que la Informática debe han vuelto cada vez más estar sometida. Según datos recientes del dependientes de las Servicio Secreto de los computadoras y las redes 4.7 Controles para prevenir Estados Unidos, se calcula para manejar sus crímenes y fraudes que los consumidores actividades, la informáticos. pierden unos 500 millones disponibilidad de los de dólares al año debido a sistemas informáticos se ha En los años recientes las los piratas que les roban de vuelto crucial. Actualmente, redes de computadoras han las cuentas online sus la mayoría de las empresas crecido de manera números de tarjeta de necesitan un nivel alto de asombrosa. Hoy en día, el crédito y de llamadas. disponibilidad y algunas número de usuarios que se Dichos números se pueden requieren incluso un nivel comunican, hacen sus vender por jugosas sumas continuo de disponibilidad, compras, pagan sus cuentas, de dinero a falsificadores ya que les resultaría realizan negocios y hasta que utilizan programas extremadamente difícil consultan con sus médicos especiales para codificarlos funcionar sin los recursos online supera los 200 en bandas magnéticas de informáticos. millones, comparado con 26 tarjetas bancarias y de millones en 1995. crédito, señala el Manual de Los procedimientos la ONU. manuales, si es que existen, A medida que se va sólo serían prácticos por un ampliando la Internet, Otros delincuentes de la corto periodo. En caso de asimismo va aumentando el informática pueden sabotear un desastre, la interrupción uso indebido de la misma. las computadoras para prolongada de los servicios Los denominados ganarle ventaja económica a de computación puede delincuentes cibernéticos se sus competidores o llevar a pérdidas financieras pasean a su aire por el amenazar con daños a los significativas, sobre todo si mundo virtual, incurriendo sistemas con el fin de está implicada la en delitos tales como el cometer extorsión. Los responsabilidad de la acceso sin autorización o malhechores manipulan los gerencia de informática. Lo "piratería informática", el datos o las operaciones, ya más grave es que se puede fraude, el sabotaje sea directamente o mediante perder la credibilidad del informático, la trata de los llamados "gusanos" o público o los clientes y, niños con fines "virus", que pueden como consecuencia, la pornográficos y el acecho. paralizar completamente los empresa puede terminar en sistemas o borrar todos los un fracaso total. Los delincuentes de la datos del disco duro. informática son tan diversos Algunos virus dirigidos En un estudio realizado por como sus delitos; puede contra computadoras la Universidad de tratarse de estudiantes, elegidas al azar; que Minnesota, se ha terroristas o figuras del originalmente pasaron de demostrado que más del crimen organizado. Estos una computadora a otra por 60% de las empresas que 12
- 13. sufren un desastre y que no transporte, sesión, tienen un plan de UNIDAD V Auditoria de la presentación y aplicación. recuperación ya en seguridad en la funcionamiento, saldrán del teleinformática. También, mencionamos las negocio en dos o tres años. redes de área local ya que Mientras vaya en aumento 5.1 Generalidades de la son muy importantes en lo la dependencia de la seguridad en el área de la que a la teleinformática disponibilidad de los teleinformática. respecta. recursos informáticos, este porcentaje seguramente En la actualidad tiene una Hicimos inca pié en la red crecerá. gran trascendencia tanto Internet y su protocolo técnica como social, lo que TCP/IP, y en los conceptos Por lo tanto, la capacidad se denomina básicos sobre para recuperarse teleinformática: la unión de Programas de exitosamente de los efectos la informática y las Comunicación y Gestión de de un desastre dentro de un telecomunicaciones. Tanto Red. periodo predeterminado en la vida profesional como debe ser un elemento en las actividades Analizamos los servicios de crucial en un plan cotidianas, es habitual el valor añadido como el estratégico de seguridad uso de expresiones y Video tex, Ibercom o La para una organización. conceptos relacionados con Telefonía Móvil. la teleinformática. 4.9 Técnicas y herramientas Además, establecimos los relacionadas con la Este trabajo se basa en últimos desarrollos y las seguridad física y del conceptos fundamentales tendencias de la personal. expresados de la manera teleinformática, desde las más simple posible, pero a redes digitales hasta el SEGURIDAD FISICA su vez siendo precisos. proceso distribuido. Es todo lo relacionado con Comenzamos por introducir Por último, manifestamos la la seguridad y salvaguarda la historia y evolución de importancia de la relación de los bienes tangibles de lateleinformática y de la que existe entre la los sistemas manera en que fue teleinformática y la computacionales de la desarrollándose, y a su vez, sociedad, en lo que respecta empresa, tales como el proporcionando un a la educación, la sanidad y hardware, periféricos, y panorama general del tema. la empresa. equipos asociados, las Luego mencionamos de instalaciones eléctricas, las forma genérica los Explicaremos claramente la instalaciones de elementos que integran un importancia de la comunicación y de datos. sistema teleinformática, teleinformática y su desde un simple terminal desarrollo a través de la Igualmente todo lo hasta una red. historia desde el comienzo relacionado con la ya que es uno de los seguridad y salvaguarda de Continuamos explicando las factores que ha constituido las construcciones, el técnicas fundamentales de y constituye un elemento mobiliario y equipo de transmisión de datos, para fundamental para la oficina, así como la comprender cómo viaja la evolución de la humanidad: protección a los accesos al información de un sistema a la comunicación. centro de sistematización. otro a través de los circuitos de telecomunicación. En una comunicación se En sí, es todo lo relacionado transmite información con la seguridad, la Las técnicas de desde una persona a otra e prevención de riesgos y comunicación se intervienen tres elementos: protección de los recursos estructuran en niveles: el emisor, que da origen a la físicos informáticos de la físico, enlace de datos, red, información, el medio, que empresa. permite la transmisión, y el 13
- 14. receptor, que recibe la habilitaron un gran número su profesión, debiendo información. de técnicas y métodos que abordar aspectos luego fueron muy relacionados con el La primera comunicación importantes a lo que Gobierno Corporativo y los que existió entre los respecta a la comunicación. nuevos riesgos a los que se hombres fue a base de enfrentan las signos o gestos que 5.2 Objetivos y criterios de organizaciones. expresaban intuitivamente la auditoria en el área de la 5.3 Síntomas de riesgo. determinadas teleinformática. manifestaciones con sentido La Auditoría de la propio. Estos gestos iban Así ante la continua Seguridad acompañados de sonidos. aparición de nuevas herramientas de gestión, la Para muchos la seguridad Posteriormente, comenzó la auditoría interna se ve sigue siendo el área comunicación hablada a compelida a velar entre principal a auditar, hasta el través de un determinado otras cosas por la aplicación punto de que en algunas lenguaje, en el cuál cada y buen uso de las mismas. entidades se creó palabra significaba algo y Ello ciertamente implica un inicialmente la función de cada frase tenía un muy fuerte compromiso. auditoría informática para contenido informativo. Dijimos antes que la revisar la seguridad, aunque auditoría debía velar no después se hayan ido Más tarde, el hombre tubo sólo por los activos de la ampliando los objetivos. necesidad de realizar empresa sino además por su Cada día es mayor la comunicaciones a distancia capacidad competitiva. importancia de la como por ejemplo, entre Cuidar de esto último información, especialmente personas de dos aldeas significa difundir, apoyar y relacionada con sistemas situadas a cierta distancia controlar las nuevas y basados en el uso de pero con visibilidad entre buenas prácticas. Así, tecnología de información y ambas, o bien entre un haciendo uso del comunicaciones, por lo que barco y la costa. Es aquí benchmarking puede el impacto de las fallas, los donde aparecen las señales verificar y promover las accesos no autorizados, la de humo, destellos con mejores prácticas para revelación de la espejos entre innumerables elmantenimiento de la más información, entre otros métodos de comunicación. alta competitividad. Ser problemas, tienen un competitivo es continuar en impacto mucho mayor que Con el paso del tiempo y la la lucha por la subsistencia hace algunos años. evolución tecnológica, la o continuidad de la comunicación a distancia empresa. En la auditoría de otras comenzó a ser cada vez más áreas pueden también surgir importante. Como brillantemente lo revisiones solapadas con la expresa Fernando Gaziano seguridad; así a la hora de La primera técnica utilizada (Deloitte Chile), "los revisar el desarrollo se verá surgió con la aparición del auditores y los astrónomos si se realiza en un entorno telégrafo y el código morse compartimos plenamente seguro, etc. que permitieron una idea: el universo se comunicaciones a través de expande. Así como después Los controles directivos. cables a unas distancias del "bigbang" un universo Son los fundamentos de la considerables. de planetas y estrellas seguridad: políticas, planes, Posteriormente se comenzó y continúa funciones, objetivos de desarrolló la técnica que dio expandiéndose, de la misma control, presupuesto, así origen al teléfono para la forma el mundo del Auditor como si existen sistemas y comunicación directa de la Interno es cada vez más métodos de evaluación voz a larga distancia. Más amplio. Como nunca, periódica de riesgos. tarde la radio y la probablemente hoy se El desarrollo de las transmisión de imágenes a enfrenta a uno de los políticas. Procedimientos, través de la televisión cambios más importantes en 14
- 15. posibles estándares, normas así como el comercio y guías. electrónico. Introducir al estudiante en Amenazas físicas externas. El entorno de producción. los aspectos técnicos, Inundaciones, incendios, Cumplimiento de contratos, funcionales y explosiones, corte de líneas outsourcing. organizacionales que o suministros, terremotos, El desarrollo de componen la problemática terrorismo, huelgas, etc., se aplicaciones en un entorno de seguridad en las redes considera: la ubicación del seguro, y que se incorporen teleinformáticas, ilustrando centro de procesos, de los controles en los productos las operaciones, técnicas y servidores, PCs, desarrollados y que éstos herramientas más usuales computadoras portátiles resulten auditables. Con el para garantizar privacidad, (incluso fuera de las uso de licencias (de los autenticación y seguridad. oficinas); estructura, diseño, programas utilizados). construcción y distribución La continuidad de las Introducción General a la de edificios; amenazas de operaciones. Planes de Seguridad en Redes fuego, riesgos por agua, por contingencia o de accidentes atmosféricos; Continuidad. . Definiciones contenido en paquetes}, . Generalidades bolsos o carteras que se No se trata de áreas no . Intrusos introducen o salen de los relacionadas, sino que casi . Amenazas edificios; visitas, clientes, todas tienen puntos de . Ataques proveedores, contratados; enlace comunes: protección de los soportes comunicaciones con control Planeación de la Seguridad magnéticos en cuanto a de accesos, cifrado con acceso, almacenamiento y comunicaciones, etc. . Análisis del sistema actual transporte. . Análisis de riesgos Control de accesos Evaluación de riesgos . Definición de políticas de adecuado. Tanto físicos seguridad como lógicos, que se Se trata de identificar . Implantación de la realicen sólo las riesgos, cuantificar su seguridad operaciones permitidas al probabilidad e impacto y usuario: lectura, variación, analizar medidas que los Servicios de Seguridad ejecución, borrado y copia, eliminen o que disminuyan y quedando las pistas la probabilidad de que . Modelo OSI para necesarias para el control y ocurran los hechos o arquitecturas de Seguridad la auditoría. Uso de mitiguen el impacto. Para . Modelo TCP/IP contraseñas, cifrado de las evaluarlos hay que mismas, situaciones de considerar el tipo de bloqueo. información almacenada, UNIDAD VI Informe de la Protección de datos. Origen procesada y transmitida, la auditoria informática. del dato, proceso, salida de criticidad de las los datos. operaciones, la tecnología 6.1 Generalidades de la Comunicaciones y redes. usada, el marco legal seguridad del área física. Topología y tipo de aplicable, el sector de la comunicaciones, posible entidad, la entidad misma y Es muy importante ser uso de cifrado, protecciones el momento. Los riesgos consciente que por más que ante virus. Tipos de pueden disminuirse nuestra empresa sea la más transacciones. Protección de (generalmente no pueden segura desde el punto de conversaciones de voz en eliminarse), transferirse o vista de ataques externos, caso necesario, protección asumirse. Hackers, virus, etc. de transmisiones por fax (conceptos luego tratados); para contenidos 5.4 Técnicas y la seguridad de la misma clasificados. Internet e herramientas de auditoría será nula si no se ha Intranet, correo electrónico, relacionadas con la previsto como combatir un control sobre páginas web, seguridad en la incendio. teleinformática. 15
- 16. La seguridad física es uno patrimonio, de la situación contenida en las cuentas de los aspectos más financiera y del resultado de anuales. olvidados a la hora del sus operaciones, así como diseño de un sistema de los recursos obtenidos y En su caso, explica las informático. Si bien algunos aplicados durante el desviaciones que presentan de los aspectos tratados a ejercicio. los estados financieros con continuación se prevén, respecto a unos estándares otros, como la detección de Características del informe preestablecidos. un atacante interno a la de auditoría: empresa que intenta a Podemos sintetizar que el acceder físicamente a una 1. Es un documento informe es una presentación sala de operaciones de la mercantil o público. pública, resumida y por misma, no. escrito del trabajo realizado 2. Muestra el alcance del por los auditores y de su Esto puede derivar en que trabajo. opinión sobre las cuentas para un atacante sea más anuales. fácil lograr tomar y copiar 3. Contiene la opinión del una cinta de la sala, que auditor. 6.3 Estructura del informe. intentar acceder vía lógica a la misma. 4. Se realiza conforme a un Concluido el Trabajo de marco legal. Campo, el auditor tendrá Así, la Seguridad Física como responsabilidad la consiste en la “aplicación Principales afirmaciones confección del de barreras físicas y que contiene el informe: Informe de Auditoría como procedimientos de control, un producto final de este como medidas de Indica el alcance del trabajo trabajo. El informe prevención y contramedidas y si ha sido posible llevarlo contendrá el mensaje del ante amenazas a los a cabo y de acuerdo con qué Auditor sobre lo que ha recursos e información normas de auditoría. hecho y como lo ha confidencial”(1). Se refiere realizado, así como los a los controles y Expresa si las cuentas resultados obtenidos. mecanismos de seguridad anuales contienen la dentro y alrededor del información necesaria y Concepto Centro de Cómputo así suficiente y han sido Es el documento emitido como los medios de acceso formuladas de acuerdo con por el Auditor como remoto al y desde el mismo; la legislación vigente y, resultado final de su implementados para también, si dichas cuentas examen y/o evaluación, proteger el hardware y han sido elaboradas incluye información medios de almacenamiento teniendo en cuenta el suficiente sobre de datos. principio contable de Observaciones, uniformidad. Conclusiones de hechos 6.2 Características del significativos, así como informe. Asimismo, expresa si las Recomendaciones cuentas anuales reflejan, en constructivos para superar Objetivos, características y todos los aspectos las debilidades en cuanto a afirmaciones que contiene significativos, la imagen políticas, procedimientos, el informe de auditoría fiel del patrimonio, de la cumplimiento de situación financiera, de los actividades y otras. El informe de auditoría resultados y de los recursos financiera tiene como obtenidos y aplicados. Importancia objetivo expresar una El Informe de Auditoría, opinión técnica de las Se opina también sobre la reviste gran Importancia, cuentas anuales en los concordancia de la porque suministra a la aspectos significativos o información contable del administración de la importantes, sobre si éstas informe de gestión con la empresa, información muestran la imagen fiel del sustancial sobre su proceso 16
- 17. administrativo, como una del auditor para que tenga la forma de contribuir al acogida y aceptación que El formato para informes cumplimiento de sus metas los empresarios esperan de finales está enfocado a y objetivos programados. él, en este sentido el apoyar y facilitar el proceso Informe debe: de evaluación de los El Informe a través de sus resultados de los proyectos observaciones, conclusiones . Despertar o motivar financiados por la sede y recomendaciones, interés. Bogotá, con respecto a los constituye el mejor medio . Convencer mediante compromisos adquiridos en para que las organizaciones información sencilla, veraz el proyecto aprobado. puedan apreciar la forma y objetiva. Además de reportar sobre el como están operando. En cumplimiento de los algunas oportunidades 2. Requisitos del informe objetivos y el impacto puede ocurrir que, debido a logrado a partir del uso y un descuido en su Claridad y simplicidad. obtención de los resultados preparación, se pierde la La Claridad y Simplicidad, esperados y de las oportunidad de hacer significan introducir sin actividades de investigación conocer a la empresa lo que mayor dificultad en la científica. realmente desea o necesita mente del lector del conocer para optimizar su informe, lo que el Auditor • Los informes finales administración, a pesar de ha escrito o pensó escribir. técnico y financiero, deben que se haya emitido un A veces lo que ocasiona la ser entregados a la voluminoso informe, pero deficiencia de claridad y Dirección de inadvertidamente puede simplicidad del informe es Investigación de la sede, al estar falto de sustentación y precisamente la falta de finalizar el periodo de fundamento adecuado; en claridad en los conceptos ejecución del proyecto. consecuencia su contenido que el Auditor tiene en • El informe debe ser puede ser pobre; con esto mente, es decir, no hay una aprobado previamente por queremos hacer resaltar el cabal comprensión de lo el respectivo Consejo hecho de que, el Informe que realmente quiere Directivo de cada debe comunicar comunicar, asimismo Facultad, Centro o Instituto. información útil para cuando el Informe está falto • El informe debe contener promover la toma de de claridad, puede dar lugar un índice. Cada página del decisiones. a una doble interpretación, informe debe estar Lamentablemente esto no se ocasionando de este modo numerada. logrará si el informe revela que, se torne inútil y pierda • Cada anexo debe estar pobreza de expresión y no su utilidad. En numerado haciendo se aportan comentarios consecuencia, para que el referencia a lo anotado en constructivos. informe logre su objetivo de los cuadros de resultados. informar o comunicar al • El informe técnico final Redacción del Informe cliente, el Auditor: deberá presentarse en La Redacción se efectuará versión impresa y en forma corriente a fin de . Evitará el uso de un magnética (CD o disquete). que su contenido sea lenguaje técnico, florido o comprensible al lector, vago. I. CONTENIDO DEL evitando en lo posible el . Evitará ser muy breve. INFORME TÉCNICO uso de terminología muy . Evitará incluir mucho especializada; evitando detalle. 1. Título y código del párrafos largos y . Utilizará palabras simples, proyecto complicados, así como familiares al lector, es decir, 2. Nombre del investigador expresiones grandilocuentes escribirá en el idioma que el principal y de la Facultad, y confusas. lector entiende. Centro o Instituto al que pertenece La Redacción del Informe 3. Fecha de entrega del debe merecer mucha 6.4 Formato para el Informe atención cuidado de parte informe. 17
- 18. 4. Sinopsis divulgativa: Con 8. Conclusiones el propósito de promover la . divulgación de las actividades investigativas que adelanta la Sede Bogotá y para dar mayor difusión a los proyectos, deben incluir un resumen de una cuartilla que servirá de base para la elaboración de notas académicas dirigidas a los medios de comunicación de la Universidad. 5. Resumen técnico de los resultados obtenidos durante la realización del proyecto y de las principales conclusiones (máximo cinco páginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realización del proyecto, los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones, patentes, registros, normas, certificaciones, memorias, formación de recurso humano, capacitación, organización y/o participación en eventos científicos, etc., estos deben numerarse y adjuntarse como anexos del informe (ver cuadro No. 1). 7. Descripción del impacto actual o potencial de los resultados: En términos de generación de nuevo conocimiento a nivel mundial, de aporte para el desarrollo del país, de contribución a la solución de problemas específicos, de fortalecimiento de la capacidad científica, y de fortalecimiento de la investigación y creación en la Sede Bogotá (máximo dos páginas). 18