Bienvenidos Para asegurar el éxito de este programa, te invitamos a seguir las siguientes recomendaciones. Favor de ponerlo en la modalidad de vibrador.

Presentación del tema: "Bienvenidos Para asegurar el éxito de este programa, te invitamos a seguir las siguientes recomendaciones. Favor de ponerlo en la modalidad de vibrador."— Transcripción de la presentación:

1 Bienvenidos Para asegurar el éxito de este programa, te invitamos a seguir las siguientes recomendaciones. Favor de ponerlo en la modalidad de vibrador. Proponemos, en la medida de sus posibilidades, utilizar los recesos para ir al baño. Sea cortés, no realice una conversación privada mientras habla otra persona. Participe con entusiasmo, pero no se salga del tema.

2 AUDITORIA V Catedrático: Msc. Giovanny Ramón Silva Cruz. Email: giosilawlers@hotmail.comgiosilawlers@hotmail.com giosilawlers@gmail.com Móvil: XXXX XXXX Asignatura

3 3 Objetivo General Auditoria de Sistemas Informáticos: llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. Objetivos instructivos: Conocer debidamente las normativas aplicables en la ejecución de la auditoría de sistemas informáticos. Manejo de los métodos de planeación, organización y control de la información y documentación generada en una auditoría informática. Importancia de la documentación que soporta la opinión del auditor, de conformidad a la veracidad de los hechos determinados y la calidad de la auditoría. Universidad de Managua, UdeM El Mas Alto Nivel

4 Contenido del curso Universidad de Managua, UdeM El Mas Alto Nivel Tema 1: Generalidades de la Auditoria Objetivos: Afianzar los conocimientos básicos necesarios para el entendimiento de la Auditoria de Sistemas. Sistema de conocimientos: 1.1Proceso Administrativo  Metodología de Desarrollo Organizacional 1.2Control Interno  Estructura Conceptual Integrada (Informe COSO)  Conceptos y Elementos de la Función de Auditoria  Tipos de Auditoria: Comparación de los diferentes tipos de Auditoria con la Informática  Normas de Auditoria, Técnicas y Procedimientos de Auditoria, Papeles de Trabajo. 1.4Introducción a la Informática  Concepto, funciones, ¿Qué es una computadora? Tipos de Computadoras, Configuración del equipamiento, Hardware Software, redes, aplicación informática, sistemas de información, tecnología de la información.

5 COSO: Según el Informe COSO (Committe of Sponsoring Organizations of the Treadway Commission) “el control interno es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones Fiabilidad de la información financiera Cumplimiento de las leyes y normas aplicables. Tema: 1.2Control Interno. Universidad de Managua, UdeM El Mas Alto Nivel

6 La premisa planteada fue plasmar los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la Treadway Commission National Commission on Fraudulent Financial Reporting creó en Estados Unidos en 1992 bajo la sigla COSO (Committee of Sponsoring Organizations). El grupo estaba constituido por representantes de las siguientes organizaciones: a)American Accounting Association (AAA) b)American Institute of Certified Public Accountants (AICPA) c)Financial Executive Institute (FEI) d)Institute of Internal Auditors (IIA) e)Institute of Management Accountants (IMA) COSO I 1992 COSO II ERM 2004 COSO III PYME 2006 COSO IV BASADO EN PRINCIPIOS 2013 Universidad de Managua, UdeM El Mas Alto Nivel Tema: 1.2Control Interno.

7 Universidad de Managua, UdeM El Mas Alto Nivel

8 Universidad de Managua, UdeM El Mas Alto Nivel Tema: 1.2Control Interno.

9 Además este documento engloba en un solo compendio todos aquellos conceptos dichos por la doctrina que con similitudes y diferencias llevaban a la confusión a los usuarios que intentaban desarrollar un modelo de control interno para sus empresas. Por ende los objetivos planteados para su desarrollo fueron:  Establecer una definición común de control interno que contemple las mejores prácticas en la materia.  Facilitar un modelo en base al cual las organizaciones, cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistema de control interno.  Lograr que el control interno forme parte de la operatoria habitual de la organización y que no sea concebido como un mero formalismo o cuestión burocrática. Esta finalidad se refiere al aspecto organizacional. Tema: 1.2Control Interno. Universidad de Managua, UdeM El Mas Alto Nivel

10 Contempla la legislación nicaragüense un concepto de Control Interno?, en que se fundamenta, cuál es su ámbito de aplicación? COSO.- (Contraloría General de la Republica, CGR.) Control Interno es un proceso integrado y dinámico llevado a cabo por la Máxima Autoridad, la Administración y demás personal de una Entidad, diseñado con el propósito de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos de la Entidad los cuales deberán ser ubicados en las categorías siguientes: 1. Administración eficaz, eficiente y transparente, de los recursos del Estado. 2. Confiabilidad de la información para toma de decisiones y la rendición de cuentas. 3.Cumplimiento de leyes y regulaciones aplicables. Universidad de Managua, UdeM El Mas Alto Nivel

11 Fundamento para el desarrollo de las NTCI: - Ley Orgánica de la Contraloría General de la República y del Sistema de Control de la Administración Pública y Fiscalización de los Bienes y Recursos del Estado No. 681; indica que para regular el funcionamiento del sistema de control y fiscalización, se expedirán las normas técnicas de control interno (NTCI), que constituyen el marco de referencia mínimo obligatorio; las NTCI se aplicaran a todas las Entidades que conforman la Administración Púbica como las define el Art. 3 de la No. 681, así como las Empresas y demás Entidades de Carácter Estatal. El alcance de las NTCI incluye los Controles Internos incorporados en los Sistemas de Administración para planificar y programar, organizar, ejecutar y controlar las operaciones y las UAI, exceptuando el Control Externo Posterior y el Control Interno Posterior Independiente de los SA, los que se desarrollan con las metodologías previstas en las NAGUN y el MAG. Contempla la legislación nicaragüense un concepto de Control Interno?, en que se fundamenta, cuál es su ámbito de aplicación? Universidad de Managua, UdeM El Mas Alto Nivel

12 En primer lugar se habla de proceso ya que se trata de una serie de pasos, no de actos aislados y tampoco de un sistema estático sino que se encuentra en constante movimiento. Este proceso, lo llevan a cabo las personas o sea que no depende solamente del consejo de administración y la dirección o de meros planes de trabajo que nunca son aplicados y que se encuentran a modo de ilustración. El control interno brinda un grado de seguridad razonable, no la seguridad total. Es consecuencia de las limitaciones que todo sistema de control interno posee, las cuales serán detalladas más adelante con su debido análisis, y por posibles omisiones que surgieran de errores humanos o de los cambiantes escenarios en los que se desenvuelve la empresa. Descomposición del concepto dado por Informe COSO Universidad de Managua, UdeM El Mas Alto Nivel

13 Los objetivos y sus categorías. Los objetivos generales que la empresa persigue están plasmados en la misión y visión de la misma. Los objetivos específicos se obtienen de la estrategia global, que es la conjunción de objetivos generales con el análisis FODA obtenido. Pero ante todo también hay objetivos que están explícitos y otros implícitos. Para su mejor tratamiento se los agrupa en tres categorías: Universidad de Managua, UdeM El Mas Alto Nivel

14 1)Objetivos relacionados con las operaciones: están dirigidos a lograr la eficacia y la eficiencia en la actividad principal del ente. Para que sea más fácil de cumplir, se deben desglosar en objetivos y estrategias más específicos aún, los cuales deben ser claras y no dar lugar a dudas. 1)Objetivos relacionados con la información financiera: están dirigidos a la preparación de estados contables fiables. El hecho de tener estados contables fiables es útil en cuanto a la relación con los terceros usuarios de la información que los mismos contienen. 2)Objetivos de cumplimiento: los entes deben dar cumplimiento a una serie de normas y leyes, de acuerdo a su actividad, ubicación, organización jurídica, entre otras. otras Los objetivos y sus categorías. Universidad de Managua, UdeM El Mas Alto Nivel

15 Según se desprende del análisis del Informe COSO, todo organismo debe desarrollar una estructura organizativa que atienda el cumplimiento de su misión y objetivos, la que deberá estar plasmada en una alguna herramienta gráfica, como por ejemplo un organigrama de la organización. La estructura organizativa, formalizada en un organigrama, constituye el marco formal de autoridad y responsabilidad. En ella se definen los puestos de trabajo, así como también las actividades a desempeñar a los fines de alcanzar los objetivos definidos por la alta gerencia de la organización, clasificando dichas actividades como de planificación, de gestión o de control. Universidad de Managua, UdeM El Mas Alto Nivel

16 Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las decisiones queden en manos de quienes están más cerca de la operación a modo de auto gestionarse. Esto se ve posibilitado debido a que los sistemas de control internos han mejorado sustancialmente debido al surgimiento de programas de aplicación cuya finalidad es registrar los datos transaccionales, facilitando así el control. Universidad de Managua, UdeM El Mas Alto Nivel

17 Ambiente de Control Organizacional. Es el clima organizacional o el ambiente que se crea en la institución. Es la actitud global de administradores, directivos y demás personal respecto al control interno y su importancia dentro de la entidad. Refleja el espíritu ético de todos en la entidad, la responsabilidad e idoneidad con que se realizan las actividades, la filosofía para administrar la entidad, estructura acorde al tamaño de la entidad, adecuada asignación de autoridad y responsabilidad y efectividad e independencia del comité de auditoría. Universidad de Managua, UdeM El Mas Alto Nivel

18 El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores que lo determinan. Del mayor o menor grado de desarrollo y excelencia de éstos dependerá la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organización. Por último el tener un control actualizado en las áreas básicas de la empresa permitirá alimentar el sistema de información y ayudar a la adecuada toma de decisiones. Universidad de Managua, UdeM El Mas Alto Nivel

19 Características. El Control Interno denota ciertas características que permiten entender mejor cual será la función que desempeñara en la empresa. Para ello mencionaremos y explicaremos de manera breve pero clara, las diez características que de acuerdo a estudios realizados pueden englobar el contexto de Control Interno. Universidad de Managua, UdeM El Mas Alto Nivel

20 Auto controlable: Todas las actividades de la organización deben de estar orientadas a alcanzar los objetivos establecidos, y estos serán coordinados y supervisados por la dirección. Realización: Establecer funciones realizables para alcanzar los propósitos fundamentales del control. Implantación: La correcta ejecución de las obligaciones de la empresa, servirá para implantar herramientas básicas de control adecuadas para cada departamento. Características. Universidad de Managua, UdeM El Mas Alto Nivel

21 Obtención de Desviaciones: Debe identificar las diferencias entre lo presupuestado y los resultados obtenidos antes de su ejecución ya que la carencia de control es una causa para que existan desviaciones. Adaptabilidad: El control debe responder ante operaciones cotidianas y ante situaciones extraordinarias. Información Clara: La información que proporcione debe ser explicita para evitar confusión en la toma de decisiones. Costo – Beneficio: El control debe ser igual o menor a la cantidad de operaciones que se revisan para mantener su rentabilidad de la Empresa. Características. Universidad de Managua, UdeM El Mas Alto Nivel

22 Preventivo: Una apropiada delegación de responsabilidades y delimitación de funciones evitara futuros fraudes o errores en la ejecución de tareas. Segregación de funciones: La separación de las actividades de autorización, ejecución, registro, custodia y realización no deben recaer en una sola persona. Relación departamental: El control debe enlazar el sistema contable, financiero, de planeación, verificación, información y operación de la entidad. Características. Universidad de Managua, UdeM El Mas Alto Nivel

23 CONTROL INTERNO. DEFINICIÓN Y TIPOS Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos. La tipología tradicional de los controles informáticos es:

24 Agente Amenazante Hacker Cracker Espionaje Industrial Criminales Profesionales Usuarios (Daños intencionales o no) Objetivos: Desafío, ganancia financiera/política, daño Causa Física (Natural o no) Concreción de la Amenaza ¿Bajo Nivel de Vulnerabilidad? Daño a los equipos, datos o información Confidencialidad Integridad Disponibilidad Pérdida de Dinero Clientes Imagen de la Empresa

25 Correctivo Disuasivos Preventivos Detectivo T min Plataforma Informática Operatividad Amenaza o Riesgo Tratar de evitar el hecho Cuando fallan los preventivos para tratar de conocer cuanto antes el evento Vuelta a la normalidad cuando se han producido incidencias

26 Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vínculo con los requerimientos del negocio. Organizando las actividades de TI en un modelo de procesos generalmente aceptado. Identificando los principales recursos de TI utilizados. Definiendo los objetivos de control gerencial a ser considerados. Marco de Trabajo de Control COBIT

27 NEGOCIO TIC´S Vs. PROCESOS RequerimientosInformación Indicadores de Desempeño Indicadores Meta Modelo de Madurez Medidos por Metas de Actividades Prácticas de Control Directrices de Auditoría Ejecutados a través de Auditados a través de Objetivos de Control Controlados por TraducciónImplementación Los Objetivos de Control COBIT® brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Representan el consenso de expertos. Enfocadas fuertemente en el control y menos en la ejecución. Ayudan a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien (IT Governance Instituye, 2006). Herramientas para ayudar a asignar responsabilidades, medir el desempeño, llevar a cabo benchmarks (…) Las directrices ayudan a brindar respuestas a preguntas de la administración: ¿Qué tan lejos podemos llegar para controlar la TI?, y ¿el costo justifica el beneficio? ¿Cuáles son los indicadores de un buen desempeño? ¿Cuáles son las prácticas administrativas clave a aplicar? ¿Qué hacen otros? ¿Cómo medimos y comparamos? (IT Governance Institute, 2006).

28 Las mejores prácticas de TI se han vuelto significativas debido a un número de factores : Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en TI. Preocupación por el creciente nivel de gasto en TI. La necesidad de satisfacer requerimientos regulatorios para controles de TI en áreas como privacidad y reportes financieros y en sectores específicos como el financiero, farmacéutico y de atención a la salud.

29 Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: La selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios Riesgos crecientemente complejos de la TI como la seguridad de redes Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de TI, aumentar el valor del negocio y reducir los riesgos de éste.

30 Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados especialmente. La madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros. La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia (Benchmarking)

31 Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 1 PLANEAR Y ORGANIZAR Estrategias y tácticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. La visión estratégica requiere ser planeada, comunicada y administrada. Implementar una estructura organizacional y una estructura tecnológica apropiada.

32 Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. PLANEAR Y ORGANIZAR Cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

33 Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 2 ADQUIRIR E IMPLEMENTAR Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementación e integración en los procesos del negocio.

34 Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. ADQUIRIR E IMPLEMENTAR Además para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia: ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades? ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios afectarán las operaciones actuales del negocio?

35 Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3 ENTREGAR Y DAR SOPORTE Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

36 Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3 ENTREGAR Y DAR SOPORTE Aclara las siguientes preguntas de la gerencia: ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

37 Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 4 MONITOREAR Y EVALUAR Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

38 Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. MONITOREAR Y EVALUAR Abarca las siguientes preguntas de la gerencia: ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

39 Procedimientos de Selección del Software Evaluación del cumplimiento de los objetivos de control basados en la Norma COBIT ¿DOMINIO? Objetivos de Control (PO) Planear y Organizar (ME) Monitorear y Evaluar (ES) Entregar y dar soporte (AI) Adquirir e Implementar Ejemplo: Supongamos la siguiente situación…

40 AI1 Identificar soluciones automatizadas AI1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio. Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos. Definir los criterios de aceptación de los requerimientos. Estas iniciativas deben incluir todos los cambios requeridos dada la naturaleza del negocio, de los procesos, de las aptitudes y habilidades del personal, su estructura organizacional y la tecnología de apoyo. Establecer procesos para garantizar y administrar la integridad, exactitud y la validez de los requerimientos del negocio, como base para el control de la adquisición y el desarrollo continuo de sistemas.

41 AI1.2 Reporte de análisis de riesgos Identificar, documentar y analizar los riesgos asociados con los procesos del negocio como parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad, disponibilidad y privacidad de los datos, así como el cumplimiento de las leyes y reglamentos. AI1.3 Estudio de factibilidad y formulación de cursos de acción alternativos Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los requerimientos. AI1.4 Requerimientos, decisión de factibilidad y aprobación. El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. Cada autorización va después de la terminación de las revisiones de calidad.

42 Modelo de Madurez Escala de medición creciente a partir de 0 (No existente) hasta 5 (Optimizado) para la evaluación de los procesos a partir de los objetivos de control (IT Governance Institute, 2006). No Existente 0 Inicial 1 Repetible 2 Definido 3 Administrado 4 Optimizado 5 Estado Actual de la empresa Promedio de la Industria Objetivo de la empresa 0 No se aplican procesos administrativos en lo absoluto 1 Los procesos son ad-hoc y desorganizados 2 Los procesos siguen un patrón regular 3 Los procesos se documentan y se comunican 4 Los procesos se monitorean y se miden 5 Las buenas prácticas se siguen y se automatizan

43 Norma COBIT COBIT es la fusión entre prácticas de informática (ITIL, ISO/IEC 17799) y prácticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la información: De calidad (calidad, costo y entrega de servicio). Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la información y cumplimiento de las leyes y regulaciones). De Seguridad (confidencialidad, integridad y disponibilidad).

44 Terminología COBIT Efectividad: Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como la entrega oportuna sea correcta, consistente y de manera utilizable ante terceros, para poder cumplir con parte del requerimiento fiduciario. Eficiencia: Siguiendo los requerimientos del negocio de la información, en cuanto a calidad- costo, la eficiencia viene dada a través de la utilización óptima (más productiva y económica) de recursos.

45 Terminología COBIT Confidencialidad: Se refiere a la protección de información sensible contra divulgación no autorizada. Cumple con el principio de calidad. Integridad: Para el requerimiento de seguridad, la integridad es la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Se trata de la oportunidad de entrega de la información cuando ésta sea requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

46 Terminología COBIT Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la información: Es la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

47 Bibliografía Referencial AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004). Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com (Consulta: Noviembre 2006). ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición. McGraw Hill. México. INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998). COBIT, marco referencial, objetivos de control para la información y tecnología afines. 2da Edición. MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales. Pearson-Prentice Hall. México. RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la Administración: un reto para los profesionales TIC. Tecnimap. Comunicación No. 043. España. PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un enfoque práctico. Editorial RAMA. España. RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas de Información. 2da. Edición. COBIT-Universidad de Castilla. España. SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53. Enciclopedia de Auditoría. Editorial Océano Centrum. España.