Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno

5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com

http://slidepdf.com/reader/full/planeacion-de-un-programa-de-auditoria-analisis-de-riesgos-y-plan-de-control-interno 1/41

DESARROLLO DE LA PLANEACIÓN ESTRATÉGICA DE UN PROGRAMA DEAUDITORÍA, EL ANÁLISIS DE RIESGOS Y UN PLAN DE CONTROL INTERNO

PARA LA EMPRESA EL CÓNDOR

JHON ADRIÁN CERÓN GUZMÁNLUÍS FERNANDO CAMACHO ENRÍQUEZ

UNIVERSIDAD COOPERATIVA DE COLOMBIAFACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA DE SISTEMASSANTIAGO DE CALI

2011



DESARROLLO DE LA PLANEACIÓN ESTRATÉGICA DE UN PROGRAMA DEAUDITORÍA, EL ANÁLISIS DE RIESGOS Y UN PLAN DE CONTROL INTERNO

PARA LA EMPRESA EL CÓNDOR

JHON ADRIÁN CERÓN GUZMÁN

LUÍS FERNANDO CAMACHO ENRÍQUEZ

PROYECTO DE AULA

Docente: Víctor David Mosquera FernándezIngeniero de Sistemas

UNIVERSIDAD COOPERATIVA DE COLOMBIAFACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA DE SISTEMASSANTIAGO DE CALI

2011



CONTENIDO

pág.

INTRODUCCIÓN 11

1. PLANTEAMIENTO DEL PROBLEMA 12

2. OBJETIVOS 13

2.1. OBJETIVO GENERAL 13

2.2. OBJETIVOS ESPECÍFICOS 13

3. ALCANCE 14

4. MARCO LEGAL 15

4.1. LEY 527 DE 1999 15

4.1.1. Artículo 5. Reconocimiento jurídico de los mensajes de datos 15

4.1.2. Artículo 6. Escrito 15

4.1.3. Artículo 8. Original 15

4.1.4. Artículo 9. Integridad de un mensaje de datos 16

4.1.5. Artículo 10. Admisibilidad y fuerza probatoria de los mensajes de datos 16

4.1.6. Artículo 11. Criterio para valorar probatoriamente un mensaje de datos 16

4.1.7. Artículo 12. Conservación de los mensajes de datos y documentos 17

4.1.8. Artículo 16. Atribución de un mensaje de datos 17



pág.

4.1.9. Artículo 18. Concordancia del mensaje de datos enviado con el mensaje de

datos recibido 17

4.1.10. Artículo 25. Lugar del envío y recepción del mensaje de datos 18

4.2. LEY 599 DE 2000 18

4.2.1. Artículo 192. Violación ilícita de comunicaciones 18

4.2.2. Artículo 193. Ofrecimiento, venta o compra de instrumento apto para interceptarla comunicación privada entre personas 19

4.2.3. Artículo 194. Divulgación y empleo de documentos reservados 19

4.2.4. Artículo 195. Acceso abusivo a un sistema informático 19

4.3. LEY 1273 DE 2009 19

4.3.1. Artículo 269A. Acceso abusivo a un sistema informático 19

4.3.2. Artículo 269B. Obstaculización ilegítima de sistema informático o red detelecomunicación 19

4.3.3. Artículo 269C. Interceptación de datos informáticos 20

4.3.4. Artículo 269D. Daño Informático 20

4.3.5. Artículo 269F. Violación de datos personales 20

4.3.6. Artículo 269H. Circunstancias de agravación punitiva 20

4.3.7. Artículo 269J. Transferencia no consentida de activos 21

4.4. CÓDIGO DE PROCEDIMIENTO CIVIL. SECCIÓN TERCERA. RÉGIMENPROBATORIO 21

5. ACTIVIDADES DE LA AUDITORÍA 23



pág.

5.1. INICIO DE LA AUDITORÍA 23

5.1.1. Nombramiento del líder del equipo de la auditoría 23

5.1.2. Viabilidad de la auditoría 23

5.1.3. Conformación del equipo auditor 23

5.1.3.1. Ingeniero de Sistemas. Ingeniería de Software y Telemática 24

5.1.3.2. Ingeniero Electrónico. Mantenimiento y adquisición de tecnologías 24

5.1.3.3. Ingeniero de Sistemas. Control Interno y Calidad 24

5.1.3.4. Ingeniero de Sistemas. Auditoría Informática 24

5.2. CRONOGRAMA DE ACTIVIDADES DE LA AUDITORÍA 24

5.3. RECURSOS DEL PROGRAMA DE AUDITORÍA 26

5.3.1. Financieros para el equipo de auditoría 26

5.3.2. Técnicos y tecnológicos 26

6. ANÁLISIS DE RIESGOS 28

6.1. INVENTARIO DE ACTIVOS 29

6.1.1. Análisis de riesgos unidad Mesa Ayuda 29

6.1.2. Análisis de riesgos unidad Mantenimiento 30

6.1.3. Análisis de riesgos unidad Desarrollo 30

6.1.4. Análisis de riesgos unidad Tecnologías 30

6.1.5. Análisis de riesgos departamento Sistemas 31



pág.

6.2. VALORACIÓN DE RIESGOS 31

6.2.1. Valoración de riesgos unidad Mesa de Ayuda 31

6.2.2. Valoración de riesgos unidad Mantenimiento 32

6.2.3. Valoración de riesgos unidad Desarrollo 32

6.2.4. Valoración de riesgos unidad Tecnologías 33

6.2.5. Valoración de riesgos departamento Sistemas 34

7. CONTROL INTERNO 35

7.1. DEFINICIÓN 35

7.2. OBJETIVOS 35

7.3. ACTIVIDADES 36

7.3.1. Control Interno unidad Desarrollo 36

7.3.2. Control Interno unidad Tecnología 37

7.3.3. Control Interno unidad Mesa de Ayuda 37

7.3.4. Control Interno unidad Mantenimiento 38

7.3.5. Control Interno sobre Redes 38

7.4. RESPONSABLES 39

7.4.1. Ingeniero de Sistemas. Control Interno unidades de Desarrollo y Mesa de Ayuda39

7.4.2. Ingeniero Electrónico. Control Interno unidades de Mantenimiento y Tecnologías40



pág.

7.4.3. Ingeniero de Sistemas. Control Interno sobre Redes 40

BIBLIOGRAFÍA 41



LISTA DE TABLAS

pág.

Tabla 1. Recursos financieros para el equipo de la auditoría 26

Tabla 2. Recursos técnicos y tecnológicos 26

Tabla 3. Convenciones usadas para el análisis de riesgos 28

Tabla 4. Matriz de riesgos 29

Tabla 5. Análisis de riesgos unidad Mesa de Ayuda 29

Tabla 6. Análisis de riesgos unidad Mantenimiento 30

Tabla 7. Análisis de riesgos unidad Desarrollo 30

Tabla 8. Análisis de riesgos unidad Tecnologías 30

Tabla 9. Análisis de riesgos departamento Sistemas 31

Tabla 10. Valoración de riesgos unidad Mesa de Ayuda 31

Tabla 11. Valoración de riesgos unidad Mantenimiento 32

Tabla 12. Valoración de riesgos unidad Desarrollo 32

Tabla 13. Valoración de riesgos unidad Tecnologías 33

Tabla 14. Valoración de riesgos departamento Sistemas 34



LISTA DE FIGURAS

pág.

Figura 1. Cronograma de actividades de la auditoría 25



GLOSARIO

MENSAJE DE DATOS: información generada, enviada, recibida, almacenada ocomunicada por medios electrónicos, tales como el Internet, el correo electrónico,entre otros.

SISTEMA DE INFORMACIÓN: conjunto de elementos que interactúan entre sícon el fin de apoyar las actividades de una empresa. Los sistemas de informaciónpermiten la automatización de procesos, o proporcionan información que sirve deapoyo para la toma de decisiones de la alta gerencia.

TIC (TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN ): es un

conjunto de elementos, herramientas y técnicas utilizadas para gestionar ytransmitir información.



11

INTRODUCCIÓN

En la actualidad, el éxito de las organizaciones depende, en un alto porcentaje, dela infraestructura tecnológica que tengan implementada, además del correcto (yadecuado) uso que los miembros de la organización le dan a dicha infraestructura;esta situación se genera a raíz de la globalización y el fenómeno de lasTecnologías de la Información y Comunicación.

En el momento que se generan anomalías como consecuencia de lainfraestructura tecnológica, el sistema Organizacional falla, generando efectoscomo la pérdida de clientes de la organización e inconformidades en los usuarios

que hace uso de dicha infraestructura, y cuya área encargada de su operatividades el departamento de Sistemas.

La estructura del departamento de sistemas de la empresa El Cóndor lacomponen los departamentos de Mesa de Ayuda , Mantenimiento , Desarrollo ,Adquisiciones y Control Interno que está en proceso de estructuración. Todas laspersonas que integran el departamento de Sistemas son coordinadas por unIngeniero de Sistemas, siendo este el encargado de supervisar todas lasactividades que son llevadas a cabo en el departamento, realizando informes y

controles a todos los procesos, además de coordinar reuniones de trabajo entre elIngeniero encargado del departamento con las distintas áreas que la componen.

Teniendo en cuenta el inadecuado rendimiento organizacional de la empresa ElCóndor, es necesario desarrollar un programa de auditoria que comprenda laplaneación estratégica , el análisis de riesgos y el plan de control interno para laorganización, con el objeto de plantear alternativas de solución a los diferentesproblemas que presenta la empresa El Cóndor.



12

1. PLANTEAMIENTO DEL PROBLEMA

Todas las organizaciones, independientes a cuál sea su fin o el porqué de sufuncionar, deben de entender que la razón principal de su existir es el cliente . Enrazón a este principio, las empresas han decidido recurrir a teoríasorganizacionales y administrativas para fundamentar un accionar que permitacautivar potenciales clientes y consolidar aquellos con que la empresa ya cuenta;entendiéndose que para alcanzar dicho objetivo es necesario contar con unadecuado plan estratégico y operativo.

La Empresa El Cóndor, siendo consciente de esta obligación y representada porsu junta directiva ha detectado que su estructura organizacional (y más

específicamente sus funciones y funcionarios estratégicos y operativos) no estágenerando los resultados necesarios para el cumplimiento de sus objetivos,sumándole a esto la continua pérdida de clientes y la insatisfacción de aquellosmiembros que hacen uso (sea directa o indirectamente) del departamento desistemas; como causas (u origen) a esta situación la junta directiva haresponsabilizado a dicho departamento, que en la actualidad es dirigido por el Ing.Gonzalo Andrade, hijo del presidente de la organización.

Para contrarrestar las causas que generan dicha situación, la junta directiva hadecido plantear a su presidente, la necesidad de contratar un programa de

auditoría, además de un plan de control interno, que permita (a través de lasestrategias que se puedan obtener) contrarrestar las causas que están desviandoa la organización del cumplimiento de sus objetivos y minimizando los efectos quese generan a raíz de dicha situación.



13

2. OBJETIVOS

2.1. OBJETIVO GENERALDesarrollar la planeación estratégica, el análisis de riesgos y el plan de controlinterno para llevar a cabo un programa de auditoría al departamento de sistemasde la empresa El Cóndor.

2.2. OBJETIVOS ESPECÍFICOS

Identificar cada uno de los procesos y controles que se llevan a cabo en lasdiferentes unidades del departamento de sistemas de la empresa El

Cóndor, analizando si el uso que se le da a dichos procesos y controles esel más adecuado, además del grado de cumplimiento de los resultadosesperados.

Determinar cuáles son las amenazas que pueden afectar al departamentode sistemas de la empresa El Cóndor, analizando los diferentes factoresque influyen para que estas amenazas se conviertan en riesgos.

Plantear estrategias que permitan mitigar las amenazas y los riesgos,además de brindar alternativas de solución al problema que se genera

como consecuencia de la inadecuada administración del departamento desistemas.



14

3. ALCANCE

EL programa de auditoría para el inadecuado rendimiento organizacional de laempresa El Cóndor, se llevara a cabo en el departamento de sistemas, analizandocómo se realizan los procesos de cada una de las unidades que lo integran (Mesade ayuda, Mantenimiento, Desarrollo, Adquisición de tecnologías y ControlInterno).

Los procesos que se auditarán en cada una de las unidades son:

Revisión y mantenimiento de los equipos informáticos. Desarrollo de software.

Adquisición y subcontratación de tecnologías. Cumplimiento de procedimientos y normas legales. Contratación de personal. Estructura tecnológica. Seguridad informática. Control de calidad.

Restricciones y Limitaciones:

Disponibilidad del personal a auditar.

Acceso a la infraestructura tecnológica de empresa. Temor de las personas auditadas a decir la verdad del cómo se llevan a

cabo los procesos. Barrera de comunicación entre el auditor y el auditado. No contar con la información, tiempo y recursos suficientes para el

programa de auditoria. Falta de conocimiento en los procesos a auditar.



15

4. MARCO LEGAL

El marco legal y jurídico que regirá el programa de auditoría a realizar en laempresa El Cóndor, se describirá en las siguientes subsecciones. Es importantemencionar que, el programa de auditoría (y más exactamente las actividades deeste) se regirán por las leyes Colombianas que al momento de llevarse a cabo elprograma se hayan establecido y estén en vigencia. Las leyes que regirán dichoprograma son: Ley 527 de 1999, Ley 599 de 2000 y Ley 1273 de 2009.

4.1. LEY 527 DE 1999

4.1.1. Artículo 5. Reconocimiento jurídico de los mensajes de datos. “No senegarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de informaciónpor la sola razón de que esté en forma de mensaje de datos ”1.

4.1.2. Artículo 6. Escrito. “Cuando cualquier norma requiera que la informaciónconste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si lainformación que éste contiene es accesible para su posterior consulta”2.

4.1.3. Artículo 8. Original.

Cuando cualquier norma requiera que la información sea presentada y conservadaen su forma original, ese requisito quedará satisfecho con un mensaje de datos, si:

a) Existe alguna garantía confiable de que se ha conservado la integridad de lainformación, a partir del momento en que se generó por primera vez en suforma definitiva, como mensaje de datos o en alguna otra forma;

b) De requerirse que la información sea presentada, si dicha información puede

ser mostrada a la persona que se deba presentar3.

1 COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 527. (18, agosto, 1999). Por medio de la cualse define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de lasfirmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.Diario Oficial. Bogotá, D.C., 1999. no. 43673. 17p.2 Ibíd.3 Ibíd.



16

4.1.4. Artículo 9. Integridad de un mensaje de datos. “Para efectos del artículoanterior, se considerará que la información consignada en un mensaje de datos esíntegra, si ésta ha permanecido completa e inalterada, salvo la adición de algúnendoso o de algún cambio que sea inherente al proceso de comunicación, archivo

o presentación. El grado de confiabilidad requerido, será determinado a la luz delos fines para los que se generó la información y de todas las circunstanciasrelevantes del caso”4.

4.1.5. Artículo 10. Admisibilidad y fuerza probatoria de los mensajes dedatos.

Los mensajes de datos serán admisibles como medios de prueba y su fuerzaprobatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII,Sección Tercera, Libro Segundo del Código de Procedimiento Civil.

En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerzaobligatoria y probatoria a todo tipo de información en forma de un mensaje de datos,por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sidopresentado en su forma original5.

4.1.6. Artículo 11. Criterio para valorar probatoriamente un mensaje dedatos.

Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiereesta ley, se tendrán en cuenta las reglas de la sana crítica y demás criteriosreconocidos legalmente para la apreciación de las pruebas. Por consiguiente habránde tenerse en cuenta: la confiabilidad en la forma en la que se haya generado,archivado o comunicado el mensaje, la confiabilidad en la forma en que se hayaconservado la integridad de la información, la forma en la que se identifique a suiniciador y cualquier otro factor pertinente6.

4 Ibíd.5 Ibíd.6 Ibíd.



17

4.1.7. Artículo 12. Conservación de los mensajes de datos y documentos.

Cuando la ley requiera que ciertos documentos, registros o informaciones seanconservados, ese requisito quedará satisfecho, siempre que se cumplan las

siguientes condiciones:

1. Que la información que contengan sea accesible para su posterior consulta.2. Que el mensaje de datos o el documento sea conservado en el formato en que

se haya generado, enviado o recibido o en algún formato que permita demostrarque reproduce con exactitud la información generada, enviada o recibida, y

3. Que se conserve, de haber alguna, toda información que permita determinar elorigen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido elmensaje o producido el documento.No estará sujeta a la obligación de conservación, la información que tenga porúnica finalidad facilitar el envío o recepción de los mensajes de datos7.

4.1.8. Artículo 16. Atribución de un mensaje de datos.

Se entenderá que un mensaje de datos proviene del iniciador, cuando éste ha sidoenviado por:

1. El propio Iniciador.2. Por alguna persona facultada para actuar en nombre del iniciador respecto

de ese mensaje, o3. Por un sistema de información programado por el iniciador o en su nombre

para que opere automáticamente8.

4.1.9. Artículo 18. Concordancia del mensaje de datos enviado con elmensaje de datos recibido.

Siempre que un mensaje de datos provenga del iniciador o que se entienda queproviene de él, o siempre que el destinatario tenga derecho a actuar con arreglo aeste supuesto, en las relaciones entre el iniciador y el destinatario, este últimotendrá derecho a considerar que el mensaje de datos recibido corresponde al quequería enviar el iniciador, y podrá proceder en consecuencia.

7 Ibíd.8 Ibíd.



18

El destinatario no gozará de este derecho si sabía o hubiera sabido, de haberactuado con la debida diligencia o de haber aplicado algún método convenido, quela transmisión había dado lugar a un error en el mensaje de datos recibido9.

4.1.10. Artículo 25. Lugar del envío y recepción del mensaje de datos.

De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrápor expedido en el lugar donde el iniciador tenga su establecimiento y por recibidoen el lugar donde el destinatario tenga el suyo. Para los fines del presente artículo:

a) Si el iniciador o destinatario tienen más de un establecimiento, suestablecimiento será el que guarde una relación más estrecha con laoperación subyacente o, de no haber una operación subyacente, su

establecimiento principal;b) Si el iniciador o el destinatario no tienen establecimiento, se tendrá en

cuenta su lugar de residencia habitual10.

4.2. LEY 599 DE 2000

4.2.1. Artículo 192. Violación ilícita de comunicaciones.

El que ilícitamente sustraiga, oculte, extravíe, destruya, intercepte, controle o impidauna comunicación privada dirigida a otra persona, o se entere indebidamente de sucontenido, incurrirá en prisión de uno (1) a tres (3) años, siempre que la conducta noconstituya delito sancionado con pena mayor

Si el autor de la conducta revela el contenido de la comunicación, o la emplea enprovecho propio o ajeno o con perjuicio de otro, la pena será prisión de dos (2) acuatro (4) años11.

9 Ibíd.10 Ibíd.11 COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 599. (24, julio, 2000). Por la cual se expideel Código Penal. Diario Oficial. Bogotá, D.C., 2000. no. 44097. 65 p.



19

4.2.2. Artículo 193. Ofrecimiento, venta o compra de instrumento apto parainterceptar la comunicación privada entre personas. “El que sin permiso deautoridad competente, ofrezca, venda o compre instrumentos aptos parainterceptar la comunicación privada entre personas, incurrirá en multa, siempre

que la conducta no constituya delito sancionado con pena mayor ”12.

4.2.3. Artículo 194. Divulgación y empleo de documentos reservados. “El queen provecho propio o ajeno o con perjuicio de otro divulgue o emplee el contenidode un documento que deba permanecer en reserva, incurrirá en multa, siempreque la conducta no constituya delito sancionado con pena mayor ”13.

4.2.4. Artículo 195. Acceso abusivo a un sistema informático. “El queabusivamente se introduzca en un sistema informático protegido con medida deseguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo,incurrirá en multa”14.

4.3. LEY 1273 DE 2009

4.3.1. Artículo 269A. Acceso abusivo a un sistema informático. “El que, sin

autorización o por fuera de lo acordado, acceda en todo o en parte a un sistemainformático protegido o no con una medida de seguridad, o se mantenga dentrodel mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo,incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses yen multa de 100 a 1.000 salarios mínimos legales mensuales vigentes”15.

4.3.2. Artículo 269B. Obstaculización ilegítima de sistema informático o redde telecomunicación. “El que, sin estar facultado para ello, impida u obstaculiceel funcionamiento o el acceso normal a un sistema informático, a los datos

12 Ibíd.13 Ibíd.14 Ibíd.15 COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 1273. (5, enero, 2009). Por medio de la cualse modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protecciónde la información y de los datos”- y se preservan integralmente los sistemas que utilicen lastecnologías de la información y las comunicaciones, entre otras disposiciones. Bogotá, D.C., 2009.



20

informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en penade prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta noconstituya delito sancionado con una pena mayor”16.

4.3.3. Artículo 269C. Interceptación de datos informáticos. “El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior deun sistema informático, o las emisiones electromagnéticas provenientes de unsistema informático que los transporte incurrirá en pena de prisión de treinta y seis(36) a setenta y dos (72) meses”17.

4.3.4. Artículo 269D. Daño Informático. “El que, sin estar facultado para ello,destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistemade tratamiento de información o sus partes o componentes lógicos, incurrirá enpena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de100 a 1.000 salarios mínimos legales mensuales vigentes”18.

4.3.5. Artículo 269F. Violación de datos personales. “El que, sin estar facultadopara ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o

emplee códigos personales, datos personales contenidos en ficheros, archivos,bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta yocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimoslegales mensuales vigentes”19.

4.3.6. Artículo 269H. Circunstancias de agravación punitiva.

Las penas imponibles de acuerdo con los artículos descritos en este título, seaumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:

16 Ibíd.17 Ibíd.18 Ibíd.19 Ibíd.



21

1. Sobre redes o sistemas informáticos o de comunicaciones estatales uoficiales o del sector financiero, nacionales o extranjeros.

2. Por servidor público en ejercicio de sus funciones.3. Aprovechando la confianza depositada por el poseedor de la información o

por quien tuviere un vínculo contractual con este.4. Revelando o dando a conocer el contenido de la información en perjuicio deotro.

5. Obteniendo provecho para sí o para un tercero.6. Con fines terroristas o generando riesgo para la seguridad o defensa

nacional.7. Utilizando como instrumento a un tercero de buena fe.8. Si quien incurre en estas conductas es el responsable de la administración,

manejo o control de dicha información, además se le impondrá hasta por tresaños, la pena de inhabilitación para el ejercicio de profesión relacionada consistemas de información procesada con equipos computacionales20.

4.3.7. Artículo 269J. Transferencia no consentida de activos.

El que, con ánimo de lucro y valiéndose de alguna manipulación informática oartificio semejante, consiga la transferencia no consentida de cualquier activo enperjuicio de un tercero, siempre que la conducta no constituya delito sancionado conpena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte(120) meses y en multa de 200 a 1.500 salarios mínimos legales mensualesvigentes. La misma sanción se le impondrá a quien fabrique, introduzca, posea o

facilite programa de computador destinado a la comisión del delito descrito en elinciso anterior, o de una estafa.

Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a200 salarios mínimos legales mensuales, la sanción allí señalada se incrementaráen la mitad21.

4.4. CÓDIGO DE PROCEDIMIENTO CIVIL. SECCIÓN TERCERA.RÉGIMEN PROBATORIO.

El Código de Procedimiento Civil, expedido por el Senado de la República deColombia, el 6 de agosto de 1970, a través del Diario Oficial no. 33150, publicadoel 21 de septiembre del mismo año, decreta en la Sección Tercera el RégimenProbatorio, Título XIII Pruebas, los siguientes capítulos (y sus respectivos

20 Ibíd.21 Ibíd.



22

artículos) que deben de tenerse en cuenta para el procedimiento de Recolecciónde Pruebas, con el fin de garantizar la eficaz iniciación del proceso penal:

1. Capítulo I. Disposiciones generales.

2. Capítulo II. Declaración de parte.3. Capítulo III. Juramento.4. Capítulo IV. Declaración de terceros.5. Capítulo V. Prueba pericial.6. Capítulo VI. Inspección judicial.7. Capítulo VII. Indicios.8. Capítulo VIII. Documentos.9. Capítulo IX. Pruebas anticipadas.



23

5. ACTIVIDADES DE LA AUDITORÍA

5.1. INICIO DE LA AUDITORÍA

5.1.1. Nombramiento del líder del equipo de la auditoría. La personaresponsable del programa de auditoria es Luis Fernando Camacho Enríquez, deprofesión Ingeniero de Sistemas.

El líder de la auditoría deberá:

Liderar todo los procesos del programa de auditoría.

Seleccionar y contratar al equipo auditor que lo acompañará. Asignar roles a cada uno de los integrantes del equipo del programa de

auditoría. Presentar informes del programa de auditoria a la junta directiva o persona

delegada de la organización El Cóndor. Entrevistar a los miembros del departamento de Sistemas de la empresa El

Cóndor. Motivar al equipo auditor para que sean realizadas las tareas asignadas,

con el objeto de que el programa de auditoría tenga éxito. Revisar y analizar todos los hallazgos, evidencias y registros que se

encuentran durante el proceso de la auditoría. Documentar todo las actividades que se lleven a cabo en el programa de

auditoría.

5.1.2. Viabilidad de la auditoría. Para que el programa de auditoría sea viable, eldepartamento de sistemas de la empresa El Cóndor, deberá brindarle al equipoauditor la información suficiente y apropiada para desarrollar la planeación de laauditoría. Se requerirá de la disponibilidad de cooperación adecuada, por parte de

los miembros y el gerente encargado de la organización; además, la disponibilidadde tiempo y de recursos para el programa de auditoría.

5.1.3. Conformación del equipo auditor. Para llevar a cabo el programa deauditoria al departamento de sistemas de la empresa El Cóndor es necesario



24

seleccionar y contratar a tres (3) Ingenieros de Sistemas y un (1) IngenieroElectrónico.Las personas adecuadas para llevar a cabo el programa de auditoría semencionarán en las subsiguientes secciones.

5.1.3.1. Ingeniero de Sistemas. Ingeniería de Software y Telemática. Persona encargada de determinar si todos los sistemas de información con el cualcuenta la empresa cumplen con los requerimientos planteados, estándares deseguridad. Además, será el encargado de revisar los procesos de administración ycontrol de las redes de datos de la organización, analizando quién y cómo serealizan dichos procesos.

5.1.3.2. Ingeniero Electrónico. Mantenimiento y adquisición detecnologías. Persona encargada de revisar los procesos de mantenimiento yadquisición de la infraestructura tecnológica con que cuenta la organización,verificando que dichas actividades se realicen de forma adecuada.

También se encargará de analizar si las tecnologías que se adquieren osubcontratan son las más adecuadas para la empresa, o si estas no sonnecesarias para el crecimiento de la organización.

5.1.3.3. Ingeniero de Sistemas. Control Interno y Calidad. Personaencargada de revisar si todas las actividades que se realizan dentro deldepartamento de sistemas cumplen con los procedimientos, estándares y normasfijadas por la dirección de la organización y/o la dirección informática, así comolos requerimientos legales.

5.1.3.4. Ingeniero de Sistemas. Auditoría Informática. Persona encargadade dirigir, planear y organizar todo los procesos del programa de auditoria que sellevarán a cabo en el departamento de sistema de la empresa El Cóndor.

5.2. CRONOGRAMA DE ACTIVIDADES DE LA AUDITORÍA



25

Figura 1. Cronograma de actividades de la auditoría

Fuente: Los Autores.

1

2

3

4

5

6

7

8

9

1 0

1 1

1 2

1 3

1 4

1 5

1

6

1 7

1 8

1 9

2 0

2 1

2 2

2 3

2 4

2 5

2 6

2 7

2 8

2 9

3 0

C i e r r e d e l a a u d i t o r í a

A c t i v i d a d 4 : F i n a l i z

a c i ó n

d e l a a u d i t o r í a

A c t i v i d a d 3 : A n á l i s i s d e

r i e s g o s

I n f o r m e d e d i a g n ó s t i c o

d e f i n i t i v o d e l a s i t u a c i ó n

C o n c l u s i o n e s y

r e c o m e n d a c i o n e s

R e a l i z a c i ó n a n á l i s i s d e

r i e s g o s d e l a R e d

( I n t r a n e t ) d e l a E m p r e s a

y d e l p r o c e s o d e

C o o r d i n a c i ó n d e l d e p t o .

d e S i s t e m a s

D e f i n i c i ó n d e a l c a n c e y

r e s t r i c c i o n e s d e l a

a u d i t o r í a


r i e s g o s d e p t o .

M e s a d e

A y u d a



M a n t e n i m i e n t o



T e c n o l o g í a s

A c t i v i d a d 2 :

A d m i n i s t r a c i ó n d

e l a

a u d i t o r í a

S e m a n a s

E s t r u c t u r a c i ó n y

d e f i n i c i ó n d e l d e p t o .

d e

C o n t r o l I n t e r n o

E l a b o r a c i ó n d e l i n f o r m e

d e l a p l a n e a c i ó n d e l

p r o g r a m a d e a u d i t o r í a

E l a b o r a c i ó n d e l c o n t r a t o

( f i j a n d o t é r m i n o s y

c o n d i c i o n e s ) d e l a

a u d i t o r í a

A c e p t a c i ó n d e l c o n t r a t o

e n t r e l a s p a r t e s

S e l e c c i ó n d e l e q u i p o

a u d i t o r

A c t i v i d a d 1 : P l a n e

a c i ó n

d e l a A u d i t o r í

a A c t i v i d a d e s

E l a b o r a c i ó n d e h i p ó t e s i s

O b t e n c i ó n d e

i n f o r m a c i ó n ( E n c u e s t a s ,

e n t r e v i s t a s ,

o b s e r v a c i ó n ,

e t c . ) .

D e f i n i c i ó n d e o b j e t i v o s

d e l a a u d i t o r í a

D e f i n i c i ó n d e l p r o b l e m a

I n f o r m e d e d i a g n ó s t i c o

d e l a s i t u a c i ó n y d e l

p r o b l e m a

A n á l i s i s d e l a s i t u a c i ó n y

d e f i n i c i ó n p a r c i a l d e l

p r o b l e m a



26

5.3. RECURSOS DEL PROGRAMA DE AUDITORÍA

5.3.1. Financieros para el equipo de auditoría

Tabla 1. Recursos financieros para el equipo de la auditoría

CargoNo.

Semanas Valor/Semana Total

Ingeniero de Software yTelemática 14 $550.000 $7’700.000

Ingeniero Electrónico 14 $550.000 $7’700.000 Ingeniero de ControlInterno y Calidad 14 $550.000 $7’700.000

Líder del equipo deauditoría 30 $750.000 $22’500.000 Total $45’600.000


5.3.2. Técnicos y tecnológicos

Tabla 2. Recursos técnicos y tecnológicos Producto Cant. Valor Unitario Total

Portátil Dell Inspiron 15R Garantía 1 año Sistema Operativo: Windows

7 Home Premium 64 bits Procesador: Intel Core i3-

370M (2.4GHz / 3M cache) Memoria: 3GB Doble Canal

Compartido DDR3 Disco Duro: 250GB

(5400RPM) McAfee SecurityCenter, 15

meses

Microsoft Office Home andStudent 2010 Protección de datos de 2

gigas, 12 meses

4 $1’459.837 $5’839.348

Impresora MultifuncionalCanon mx 30 1 $340.000 $340.000




27

Tabla 3. (Continuación)

Disco Duro externo 500GBSamsung

1 $187.000 $187.000

Otros

Resmas de papel Lapiceros Etc.

- - $100.000

Total $6’484.348 Fuente: Los Autores.

La auditoría requiere de $52.084.348 COP para su desarrollo.



28

6. ANÁLISIS DE RIESGOS

Para un completo análisis de la situación, y con el objeto de conocer exactamentelas causas de los problemas del departamento de sistemas de la empresamencionada, entre otros, la pérdida de clientes, inconformidades de los usuariosdirectos e indirectos del departamento, retardo y fallas en los servicios ofrecidos,se hace necesario realizar un informe detallado de los riesgos caracterizados porcada departamento (o sub departamento), en el cual se determinen las amenazas,la probabilidad de ocurrencia y el impacto que generaría cada amenaza si dado elcaso ocurriese.

En las siguientes subsecciones se mostrará el análisis de riesgos por cada

departamento, previo a las siguientes tablas de convenciones utilizadas para eldesarrollo del análisis.

Tabla 3. Convenciones usadas para el análisis de riesgos

CriteriosConvención Significado

C ConfidencialidadI IntegridadD Disponibilidad

Calificación

Convención Significado1 Insignificante2 Bajo3 Medio4 Alto5 Muy alto




29

Tabla 4. Matriz de riesgos

Ocurrencia

Casi cierto 5 Bajo Moderado Alto Alto Crítico

Probable 4 Bajo Moderado Moderado Alto Alto

Posible 3 Bajo Bajo Moderado Moderado Alto

Improbable 2 Bajo Bajo Bajo Moderado ModeradoRaro 1 Bajo Bajo Bajo Bajo Bajo

1 2 3 4 5

Insignificante Menor Moderada Mayor Catastrófica

Impacto

Fuente: Ingrid Lucía Muñoz Periñán.

6.1. INVENTARIO DE ACTIVOS

6.1.1. Análisis de riesgos unidad Mesa Ayuda

Tabla 5. Análisis de riesgos unidad Mesa de AyudaActivos C I D Total Valor

Analistas (5) 1 3 3 7 No críticoSoporte técnico (bugs,consultas) 2 2 3 7 No crítico

Soporte telefónico 2 2 2 6 No crítico

Soporte usuarios de laorganización 2 2 5 9 CríticoSoporte en necesidades delcliente y proveedor 2 2 3 7 No crítico

Oficina mesa ayuda 3 3 3 9 CríticoComputador 2 2 2 6 No críticoTeléfonos 2 1 2 5 No crítico




30

6.1.2. Análisis de riesgos unidad Mantenimiento

Tabla 6. Análisis de riesgos unidad Mantenimiento

Activos C I D Total ValorTecnólogos (5) 2 2 3 7 No críticoServidores 4 4 5 13 CríticoSwitches 2 2 3 7 No críticoRouters 3 2 2 7 No críticoMantenimientoinfraestructuratecnológica

1 4 4 9 Crítico

Oficina unidad demantenimiento 1 2 3 6 No crítico


6.1.3. Análisis de riesgos unidad Desarrollo

Tabla 7. Análisis de riesgos unidad Desarrollo Activos C I D Total Valor

Programadores (5) 1 3 3 7 No críticoAplicación SEUS 4 4 4 12 CríticoBase de datos SEUS 3 3 3 9 Crítico

Computadores 4 4 4 12 CríticoOficina de desarrollo 4 4 4 12 Crítico


6.1.4. Análisis de riesgos unidad Tecnologías

Tabla 8. Análisis de riesgos unidad TecnologíasActivos C I D Total Valor

Ingenieros (4) 2 2 2 6 No críticoEvaluación necesidad 2 1 3 7 No críticoTendencias tecnológicas 1 2 4 7 No críticoContratación y subcontrataciónde tecnologías

2 3 3 8 Crítico

Oficina unidad detecnologías

2 4 4 10 Crítico




31

6.1.5. Análisis de riesgos departamento Sistemas

Tabla 9. Análisis de riesgos departamento Sistemas

Activos C I D Total ValorIngeniero Pedro Franco 4 4 5 13 CríticoIngeniero Gonzalo Andrade 4 3 2 9 CríticoAdministración y control deredes de datos

4 4 5 13 Crítico

Informes y control deprocesos

3 4 4 11 Crítico

Departamento Sistemas 4 4 4 12 CríticoFuente: Los Autores.

6.2. VALORACIÓN DE RIESGOS

6.2.1. Valoración de riesgos unidad Mesa de Ayuda

Tabla 10. Valoración de riesgos unidad Mesa de Ayuda Activo Valor Vulnerabilidad Amenazas Impacto Probabilidad Total

Soporteusuariosde laempresa

9

Los usuarios nocuentan con la

capacitaciónnecesaria paraenfrentar losproblemas deseguridad y de laaplicación

Robo delogin ypassword

Filtración alos sistemasdeinformación

4 4 16

Oficina demesa deayuda

9

La oficina nocuenta con losrecursosnecesarios pararealizar laslabores

Disminuciónen laproductividad

Desercióndeempleados

3 2 6




32

6.2.2. Valoración de riesgos unidad Mantenimiento

Tabla 11. Valoración de riesgos unidad Mantenimiento Activo Valor Vulnerabilidad Amenazas Impacto Probabilidad Total

Servidor 13Caída y colapsosdel servidor

Se paran losprocesos

Pérdida detiempo ydinero

Disminuciónde laproductividad

4 4 16

Mantenimi-entoinfraestruc-turatecnológica

9

Daños en lainfraestructu-ra tecnológica

Pérdida deelementos

Perdida dedinero yrecursos quesostienen a laorganización

3 2 6


6.2.3. Valoración de riesgos unidad Desarrollo

Tabla 12. Valoración de riesgos unidad Desarrollo Activo Valor Vulnerabilidad Amenazas Impacto Probabilidad Total

AplicaciónSEUS 12

Acceso depersonas noautorizadas

Pérdida deinformaciónvaliosa paralaorganizaci-ón

Dañossignificati-vos en elsistema

5 4 20

Base de

datosSEUS

12

Dependenciadelconocimiento

deladministrador Alto consumo

de recursos

Incapacidaden salud del

administra-dor

Query

4 3 12




33

Tabla 12. (Continuación)

Ingenieros 12

Dependencia delconocimiento delosprogramadores

Incapacidaden salud

Ausenciapor despido

o por mejoroportunidadde trabajo

3 2 6

Oficina dedesarrollo 9 No hay control en

la documentación.

Mantenimiento sistemadeinformación

Estandari-zación

4 3 12


6.2.4. Valoración de riesgos unidad Tecnologías

Tabla 13. Valoración de riesgos unidad Tecnologías Activo Valor Vulnerabilidad Amenazas Impacto Probabilidad Total

Contrata-ción ysubcon-tratacióndetecnolo-gías

8

Compra detecnologíainadecuadas parala organización

Pérdida dedinero ydisminución enla productividad

4 4 16

Oficina demesa deayuda

10Acceso depersonal noautorizado

Manipulaciónen losdocumentosimportantespara el soportede lainfraestructuratecnológica

3 2 6




34

6.2.5. Valoración de riesgos departamento Sistemas

Tabla 14. Valoración de riesgos departamento Sistemas

Activo Valor Vulnerabilidad Amenazas Impacto Probabilidad Total

PedroFranco 13

Dependencia enel control deprocesos yactividadespropias deldepartamento desistemas

Incapacidad ensalud por partede PedroFranco

4 3 12

Administra-ción ycontrol de

las redesde datos

13 Hacker, Cracker

Destruccióndeinformación

Revelaciónilegal de

información Alteración

de datos

4 3 12

Departa-mento desistemas

12 No hay control deacceso físico

Personal detrabajodescontento

4 2 8




35

7. CONTROL INTERNO

Sabido es que, el rendimiento organizacional de la empresa El Cóndor no es elmás adecuado y los controles empleados para revisar dicho rendimiento no estándando los resultados esperados; por tal razón, se hace necesario plantear,estructurar y definir la unidad de control interno para el departamento de Sistemas,cuyo objeto sea a corto plazo la mejora significativa en el rendimiento de dichodepartamento, y a largo plazo permita mantener un equilibrio en el rendimiento eimpacto del departamento tanto en el entorno interno como externo de la empresa.

7.1. DEFINICIÓN

La unidad de Control Interno realizará las actividades o acciones necesarias (seade forma manual o automática), que permitan prevenir y corregir los errores y lasirregularidades que pueden afectar el rendimiento y funcionamiento deldepartamento de Sistemas22.

7.2. OBJETIVOS

Verificar y garantizar que todas las actividades realizadas por eldepartamento de sistemas cumplan con los procedimientos y normasfijados, evaluando el rendimiento y asegurando el cumplimiento de lasnormas legales23.

Capacitar y orientar a todos los miembros del departamento de sistemassobre la normatividad tanto interna como externa que debe cumplirse en larealización de las actividades.

“Definir, implantar y ejecutar mecanismos y controles para comprobar ellogro de los grados adecuados del servicio informático”24.

22 SÁNCHEZ VALRIBERAS, GLORIA. Control Interno y auditoría informática. En: PIATTINIVELTHUIS, Mario Gerardo; DEL PESO NAVARRO, Emilio. Auditoría informática; un enfoquepráctico. México, D.F., Alfaomega, 1998. P 25-43.23 Ibíd.24 Ibíd.



36

7.3. ACTIVIDADESEn las siguientes subsecciones se definen las actividades que deben realizarsepor la unidad de Control Interno a todos los procesos y unidades del departamentode sistemas.

7.3.1. Control Interno unidad Desarrollo

“Cumplimiento de procedimientos, normas y controles establecidos”25. Supervisar, verificar y validar el control de cambios y versiones del

software. “Controles sobre la producción diaria”26.

o Software para desarrollo de programas.

o Software de gestión de bibliotecas. “Controles sobre la calidad y eficacia del desarrollo del software y del

servicio informático”27. Controles sobre la seguridad informática.

o Confidencialidad, integridad y disponibilidad. Controles sobre los usuarios, responsables y perfiles de uso de archivos y

sistemas de información.o Identificar y verificar usuarios.o Control de acceso.o Controles de supervisión.o Registros e información (logs).

Configuración del servidor.o Soporte físico.o Sistema operativo.o Particiones o división lógica del disco duro.o Entornos (prueba o producción).o Programas.o Conjunto de datos.

Entorno aplicaciones.

o Transacciones.o Sistema de gestión de bases de datos.

25 Ibíd.26 Ibíd.27 Ibíd.



37

o “Políticas, pautas y normas técnicas que sirvan para el diseño y laimplantación de los sistemas de información y de los controlescorrespondientes”28.

“Preparar manuales de operación y mantenimiento como parte de todo

proyecto de desarrollo o modificación de sistemas de información, así comomanuales de usuario”29.

Controles sobre el acceso a datos y concurrencia.

7.3.2. Control Interno unidad Tecnología

Establecer un estudio tecnológico de viabilidad en el cual se formule unanálisis costo-beneficio de cada alternativa cuando se plantea adquirir

tecnologías30

. Control de la infraestructura e inventario de tecnologías. Los procesos de adquisición (tanto de software como de hardware) deberán

seguir las políticas de la organización y dichos productos debieran serprobados y revisados antes de pagar por ellos y ponerlos en uso31.

“Revisar los contratos de mantenimiento y el tiempo medio de servicios

acordados con el proveedor con objeto de obtener una cifra de controlconstante”32.

Políticas de adquisición y utilización. “Cuando en las acciones de mantenimiento se requiera la acción de

terceros o la salida de los equipos de los límites de la oficina, se deberíanestablecer procedimientos para evitar la divulgación de informaciónconfidencial o sensible”33.

7.3.3. Control Interno unidad Mesa de Ayuda

Gestión de problemas. Soporte usuarios tanto internos como externos (clientes y proveedores) de

la organización.

28 Ibíd.29 Ibíd.30 Ibíd.31 Ibíd.32 Ibíd.33 Ibíd.



38

Mantener un registro documental de las acciones de soporte realizadas,incluyendo la descripción del problema y la solución dada al mismo34.

7.3.4. Control Interno unidad Mantenimiento

“Existencia de un plan de contingencias para el respaldo de recursos de

ordenador críticos y para la recuperación de los servicios del departamentode Sistemas después de una interrupción imprevista de los mismos”35.

Mantenimiento preventivo de todos los activos. Asegurar la existencia de procedimientos de recuperación y de reinicio. Revisiones periódicas del uso de los ordenadores personales. “Mantener un registro documental de las acciones de mantenimiento

realizadas, incluyendo la descripción del problema y la solución dada almismo”36.

“Protección contra incendios, inundaciones o electricidad estática”37.

7.3.5. Control Interno sobre Redes

Controles en las redes de comunicaciones. Administración de la red. Entorno de red.

o Esquema de la red.o Configuración hardware de comunicaciones.o Configuración software para el acceso a las telecomunicaciones.o Control de red.o Seguridad de la red.

Instalación de medidas de protección contra el fuego. Cuando una persona externa a la organización ingrese a las instalaciones

(de las redes físicas) deberá ser acompañada por un miembro de laplantilla.

“Controles físicos para asegurar que el acceso a las instalaciones deldepartamento de Sistemas queda restringido a las personas autorizadas”38.

34 Ibíd.35 Ibíd.36 Ibíd.37 Ibíd.38 Ibíd.



39

“Formación y concienciación en procedimiento de seguridad y evacuaciónde las instalaciones de la empresa”39.

“Planes adecuados de implantación, conversión y pruebas de aceptaciónpara la red”40.

“Controles para asegurar la compatibilidad de conjunto de datos entre

aplicaciones cuando la red es distribuida”41. Identificar los conjuntos de datos sensibles de la red y que se han

determinado las especificaciones para su seguridad42. Inventariar todos los activos de la red. “Procedimientos de respaldo del hardware y software de la red”43. Monitorear la eficacia de la red. Detectar la correcta o mala recepción de mensajes. Controles para evitar modificar la configuración de una red. “Controlar las conexiones remotas in/out (CAL): Módems, Gateway,

Mapper”44.

7.4. RESPONSABLES

7.4.1. Ingeniero de Sistemas. Control Interno unidades de Desarrollo y Mesade Ayuda. Persona con experiencia demostrable de tres (3) años en desarrollo de

software. Las actividades a realizar, entre otras, son:

Ejecución de las actividades de Control Interno a las unidades de Desarrolloy Mesa de Ayuda.

Análisis de riesgos en un entorno informático. Gestión de bases de datos. “Operaciones y planificación informática; efectividad de las operaciones y

del rendimiento de los sistemas”45. Ofimática.

39 Ibíd.40 Ibíd.41 Ibíd.42 Ibíd.43 Ibíd.44 Ibíd.45 Ibíd.



40

7.4.2. Ingeniero Electrónico. Control Interno unidades de Mantenimiento yTecnologías. Persona con experiencia demostrable de dos (2) años enmantenimiento lógico y preventivo de hardware y conocedor de nuevastecnologías y sus posibles tendencias. Las actividades a realizar, entre otras, son:

Ejecución de las actividades de Control Interno a las unidades deMantenimiento y Tecnologías.

7.4.3. Ingeniero de Sistemas. Control Interno sobre Redes. Persona conexperiencia demostrable de tres (3) años en actividades de telemática y redes. Lasactividades a realizar, entre otras, son:

Ejecución de las actividades de Control Interno sobre redes.



41

BIBLIOGRAFÍA

COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 527. (18, agosto, 1999). Pormedio de la cual se define y reglamenta el acceso y uso de los mensajes de datos,del comercio electrónico y de las firmas digitales, y se establecen las entidades decertificación y se dictan otras disposiciones. Diario Oficial. Bogotá, D.C., 1999. no.43673. 17p.

--------. --------. Ley 599. (24, julio, 2000). Por la cual se expide el Código Penal.Diario Oficial. Bogotá, D.C., 2000. no. 44097. 65 p.

--------. --------. Ley 1273. (5, enero, 2009). Por medio de la cual se modifica elCódigo Penal, se crea un nuevo bien jurídico tutelado - denominado “de la

protección de la información y de los datos”- y se preservan integralmente lossistemas que utilicen las tecnologías de la información y las comunicaciones, entreotras disposiciones. Bogotá, D.C., 2009.

--------. SENADO DE LA REPÚBLICA. Decreto 1400 (6, agosto, 1970). Por loscuales se expide el Código de Procedimiento Civil. Diario Oficial. Bogotá, D.C.,

1970. no. 33150.

MUÑOZ PERIÑÁN, Ingrid Lucía. Aspectos éticos y jurídicos en seguridad[diapositivas]. Cali, Colombia. 100 diapositivas, color.

PIATTINI VELTHUIS, Mario Gerardo; DEL PESO NAVARRO, Emilio. Auditoríainformática; un enfoque práctico. México, D.F., Alfaomega, 1998. 609 p.

Documents

Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno