1) PROCESOS DE SELECCIÓN Y MODALIDADES ESPECIALES

2) Elementos fundamentales de la Auditoría

1. Contenido: dar asesoramiento o consejo

2. Condición: de carácter especializado
3. Justificación: Se sustenta en determinados Procedimientos que proporciona seguridad de
lo que se afirma. En base a un examen o análisis (experiencia).
4. Objeto: Una determinada información obtenida con un cierto soporte (Evidencias)
5. Finalidad: Determinar si presenta adecuadamente la realidad o esta responde a las
expectativas que le son atribuidas, es decir, su fiabilidad. Establecer la manera de llevarla a
cabo adecuadamente.

3) Clases de Auditoría

4) Objetivos Genéricos de CII

1. Control del cumplimiento de procedimientos y normas fijadas (legales), evaluar su

bondad.
2. Asesorar sobre el cumplimiento de las normas.
3. Colaborar y apoyar en el trabajo de AI.
 4. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informático

5) Realización en los diferentes sistemas y entornos informáticos el control de las diferentes

actividades operativas

1. Control de cambios y versiones del sw.

2. Controles sobre la producción diaria.
3. Controles sobre la calidad y eficiencia de desarrollo y mto. del sw y del servicio
informático.
4. Controles en las redes de comunicaciones.
5. Controles sobre el Sw de base (sist. Op.)
6. Seguridad: usuarios, responsables y perfiles de uso de archivos y bases de datos.
7. Licencias y relaciones contractuales con terceros.
8. Asesorar y transmitir cultura sobre el riesgo informático.

6) Funciones Generales del A.I.

1. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y

procedimientos informáticos más complejos, desarrollando y aplicando técnicas
mecanizadas de auditoría, incluyendo el uso de Sw. Por los que hoy en día ya no es posible
verificar manualmente los procedimientos informatizados que resumen y calculan datos.
2. El auditor es responsable de revisar e informar a la Dirección de la organización sobre el
diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la
información suministrada.

7) C.I.I. y A.I. campos análogos

1. Ambas funciones han evolucionado rápida y paralelamente.

2. Para ser auditores se debió ser control interno alguna vez o viceversa.
3. Formación en seguridad informática reciben tanto los de CII y AI.
4. Existe similitud de los objetivos profesionales de Control y Auditoria, campos análogos que
propician una transición natural.

8) Similitudes y Diferencias entre CII y AI

9) Objetivos generales de la Auditoría Informática

Según la RC_162_95_CG

A. Evaluar la correcta utilización de los recursos públicos, verificando el cumplimiento de las

disposiciones legales y reglamentarias

B. Determinar la razonabilidad de la información financiera

C. Determinar el grado en que se han alcanzado los objetivos previstos y los resultados obtenidos
en relación a los recursos asignados y el cumplimiento de los planes y programas aprobados de la
entidad examinada.

D. Recomendar medidas para promover mejoras en la gestión pública

E. Fortalecer el sistema de control interno de la entidad auditada

Esto también sirve

1. Asegurar la integridad, confidencialidad y confiabilidad de la información.

2. Minimizar existencias de riesgos en el uso de Tecnología de información
3. Conocer la situación actual del área informática para lograr los objetivos.
4. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así
como también seguridad del personal, los datos, el hardware, el software y las
instalaciones.
5. Incrementar la satisfacción de los usuarios de los sistemas informáticos.
6. Capacitación y educación sobre controles en los Sistemas de Información.
7. Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones
en cuanto a inversiones para la tecnología de información.
179 2004 PCM TECNOLOGIA DE LA INFORMACION

5 procesos principales del ciclo de vida

- adquisición

10) Elementos a conocer para implantar sistemas de control interno informático.

1. Entorno de red.
2. Configuración de ordenadores.
3. Entorno de aplicaciones.
4. Productos y herramientas.
5. Seguridad.
6. Gestión de sistemas de información.
7. Gestión de cambio.
8. Sistemas de gestión de seguridad informática.

11) implantación de políticas y cultura sobre la seguridad

12) ROL DE LA DIRECCIONES

1. DIRECCION DEL NEGOCIO O DIRECCION DE S.I.- Definen políticas y/o directrices para los
sistemas en base a las exigencias del negocio, que podrán ser internas o externas.
2. DIRECCION DE INFORMATICA.- Definen normas de funcionamiento del entorno
informático y de cada una de las funciones de informática mediante la creación y
publicación de procedimientos, estándares, metodología y normas, aplicables a todas las
áreas de informática así como a los usuarios, que establezcan el marco de funcionamiento.
3. CONTROL INTERNO INFORMATICO.- Define los diferentes controles periódicos a realizar
en cada una de las funciones informáticas, de acuerdo al nivel de riesgo da cada una de
ellas y ser diseñados conforme a los objetivos de negocio y dentro del marco legal
aplicable. También realizara periódicamente la revisión de los controles establecidos de CII
informando de las desviaciones a la Dirección de Informática y sugiriendo cuantos cambios
crea convenientes en los controles, así como transmitirá constantemente a toda la
organización de informática la cultura y políticas del riesgo informático.
4. AUDITOR INTERNO/EXTERNO INFORMATICO.- Revisa los diferentes controles internos
definidos en cada una de las funciones informáticas y el cumplimiento de normativa
interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la
Dirección del Negocio y la Dirección de Informática.
5. Informará a la alta Dirección de los hechos observados y al detectarse deficiencias o
ausencias de controles recomendaran acciones que minimicen los riesgos que pueden
originarse.
 13) Controles generales organizativos

1. Estándares.- que regulen la adquisición de recursos (reglamento de adquisiciones del

estado), el diseño, desarrollo y modificación y explotación de sistemas.
2. Procedimientos.- que describan la forma y las responsabilidades de ejecutoria para
regular las relaciones entre el Dep. de Informática y los Deptos Usuarios.
3. Organizar el Dep. de informática en un nivel suficientemente superior de estructura
organizativa como para asegurar su independencia de los demás departamentos.
4. Descripción de la funciones y responsabilidades dentro del Departamento con una
clara separación de las mimas.
5. Políticas de personal.- selección, plan de formación, plan de vacaciones y evaluación y
promoción.
6. Asegurar que la Dirección revise todos los informes de control y resuelva todas las
observaciones.
7. Asegurar que exista una política de clasificación de la información para saber dentro
de la Organización que personas están autorizadas y a qué tipo de información.
8. Designar oficialmente la figura de CII y de AI.

14) Controles en sistemas de gestión de bases de datos

1. El Sw de GBD debe instalarse y mantenerse asegurando la integridad del software, las BD y

las instrucciones que definen el entorno.
2. Definir las responsabilidades sobre la planificación, organización, dotación y control de los
activos de datos (Administrador).
3. Deben existir procedimientos para la descripción y los cambios de datos así como para el
mantenimiento del diccionario de datos
4. Controles sobre el acceso de datos y de concurrencia.
5. Controles para minimizar fallos, recuperar el entorno de las BD hasta el punto de caída y
minimizar el tiempo para la recuperación.
6. Controles para asegurar la integridad de los datos: como comprobar enlaces físicos,
registros de control para mantener los balances de transacciones.

15) Controles en informática distribuida y redes

1. Planes adecuados de implantación, conversión y pruebas de aceptación para la red.

2. Existencia de un grupo de control de red.
3. Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando
la red es distribuida.
4. Procedimiento que definan las medidas y controles de seguridad a ser usados en la red
entre los departamentos interconectados.
5. Existencia de inventario de todos los activos de la red.
6. Procedimientos de respaldo del Hw. y Sw. de la red.
7. Existencia del mantenimiento preventivo de todos los activos.
 8. Controles que verifiquen que todos los mensajes de salida se validen de forma rutinaria
para asegurar que contienen direcciones de destino válidas.
9. Controles de seguridad lógica: control de acceso a la red, establecimiento de perfiles de
usuario.
10. Procedimientos de cifrado de la información crítica que se transmite a través de la red
11. Procedimientos automáticos para resolver cierres del sistema.
12. Monitorización para medir la eficiencia de la red.
13. Diseñar el trazado físico y las medidas de seguridad de las líneas de comunicación local
dentro de la organización.
14. Detectar la correcta o mala recepción de mensajes.
15. Identificar los mensajes por una clave individual de usuario, por terminal, y por el número
de secuencia del mensaje.
16. Revisar los contratos de mantenimiento y el tiempo de servicios acordados con el
proveedor, cumpliendo así con los cronogramas propuestos.
17. Determinar si el equipo MUX/Concentrador/Procesador Frontal remoto tiene lógica
redundante y poder de respaldo con realimentación automática en caso de fallas.
18. Asegurarse de que haya procedimientos de recuperación y reinicio.
19. Asegurarse que existan pistas de auditoria que puedan usarse en la reconstrucción de
archivos de datos y de las transacciones de las diversas terminales. Debe existir la
capacidad de rastrear los datos entre el terminal y el usuario.
20. Considerar circuitos de conmutación que usen rutas alternativas para diferentes paquetes
de información provenientes del mismo mensaje; esto ofrece una forma de seguridad en
caso de que alguien intercepte los mensajes.

16) Puntos Esenciales, genéricos y mínimos del Informe

17) Contratos informáticos

Es aquel cuyo objeto es un bien o servicio informático - o ambos. Los contratos informáticos van
en crecimiento, lo que viene sucediendo en función de los avances tecnológicos y de su mayor
utilización por la sociedad.

Se clasifican en:

1. Contratación de hardware.
El objeto en esta clase de contratos es el Hardware y equipos auxiliares.
No presentan problemas específicos. Los contratos más usuales son:
• Compraventa.
• Arrendamiento.
• Mantenimiento.
2. Contratación de Software.
(Se da este contrato en caso de que la empresa titular de los derechos de propiedad
intelectual desaparezca - el programa fuente queda bajo custodia del notario público por
si en el futuro amerita acceder a este código.
3. Contratación de datos.
El valor de la información aumenta cada día más, la comercialización de Bases de Datos es
el negocio de hoy y del futuro.
4. Contratación de servicios.
Los más importantes son:
• Consultoría informática.
• Auditoria informática.
• Formación.
• Seguridad informática.
• Contratación de personal informático.
• Instalación.
• Comunicaciones.
• Seguros.
• Responsabilidad civil. Tratos complejos.
18)

19) Tipos de licitación

Compra Directa.- Hasta 10650

No necesita normas ni días hábiles para este proceso .

Menor Cuantía.- desde 10651 – 36920

ADS (Adquisición Directa Selectiva).- 36921 – 184600

• 10 días para el proceso

• Por invitación
• Calificación privada
• Sin Notario.

ADP (Adquisición Directa Pública).- 184601 – 369200

LP.- 369201 ++
 • 20 días calendario
• Publico
• Bajo normas
• Presencia de Notario y Control Interno.

20) Proceso de licitación

21) Partes de la ADP

22) Procesos principales del ciclo de vida

5. Proceso de adquisición (apartado 5.1). Define las actividades del

6. adquiriente, la organización que adquiere un sistema, producto software o
7. servicio software.
8. 2) Proceso de suministro (apartado 5.2). Define las actividades del proveedor,
9. organización que proporciona un sistema, producto software o servicio
10. software al adquiriente.
11. 3) Proceso de desarrollo (apartado 5.3). Define las actividades del
12. desarrollador, organización que define y desarrolla el producto software.
13. 4) Proceso de operación (apartado 5.4). Define las actividades del operador,
14. organización que proporciona el servicio de operar un sistema informático en
15. su entorno real, para sus usuarios.
16. 5) Proceso de mantenimiento (apartado 5.5). Define las actividades del
17. responsable de mantenimiento, organización que proporciona el servicio de
18. mantenimiento del producto software; esto es, la gestión de las modificaciones
19. al producto software para mantenerlo actualizado y operativo. Este proceso
20. incluye la migración y retirada del producto software.