AUDITORIA DE SISTEMAS DE TI

INTERPRETACIÓN DE LA INFORMACIÓN

Conceptos Básicos

1. Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentación

• De acuerdo al diccionario de la real academia española, una evidencia es un conocimiento que se nos aparece intuitivamente de tal manera que podemos afirmar la validez de su contenido, como verdadero, con certeza y  sin sombra de duda
• La evidencia es la base de juicio del auditor. Es con lo que se sustentara la correcta ejecución de los procesos, procedimientos o instrucciones de trabajo.
• La evidencia, es uno de los fundamentos de la auditoria, la forma de solicitar evidencia y el tipo de evidencia dependerá del tipo de auditoría aplicada.

  2. Interpretación de los resultados de la Auditoria Informática

El informe es el documento más importante de la auditoría informática en el cuál se presenta los 

resultados obtenidos durante la evaluación. Es el documento que refleja los objetivos, alcances, 

observaciones, recomendaciones y conclusiones del proceso de evaluación relacionadas con las áreas de informática

.(Doblado, 2007)

   3.  Identificar los tipos de opiniones

Opinión Favorable:

En una opinión favorable, el auditor manifiesta de forma clara y precisa que las cuentas anuales 

consideradas expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situación financiera, de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el ejercicio, y contienen la información necesaria y suficiente para su interpretación y comprensión adecuada. 

Opinión con Salvedades:

Este tipo de opinión es aplicable cuando el auditor concluye que existen una o varias de las circunstancias que se relacionan en este apartado, siempre que sean significativas en relación con las cuentas anuales tomadas en su conjunto. 

Opinión Desfavorable:

La opinión desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su 

conjunto no presentan la imagen fiel del patrimonio, de la situación financiera, del resultado de las 

operaciones o de los cambios de la situación financiera de la entidad auditada, de conformidad con los principios y normas contables generalmente aceptados. 

Opinión Denegada:

Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinión sobre las cuentas anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una opinión sobre las mismas.

  4.  Describir los componentes, características y tendencias de un informe

Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de auditoría. 

Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido formuladas de acuerdo con la legislación vigente y, también, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad.

Protocolos de Seguridad

Protocolos de Seguridad

Buen día, hoy les vengo a compartir información sobre los protocolos de seguridad para mantener resguardada la confidencialidad de nuestra informacion y conocer el funcionamiento de cada uno de estos protocolos priero en pesaremos con el protocolo AAA.

Protocolo AAA

Del acronimo autenticación, autorización y contabilización.

Autentifica : Proceso por el que una entidad prueba su identidad ante otra.

Autorización: Se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad

Contabilización: Se refiere al seguimiento del consumo de los recursos de red por los usuarios.

RADIUS

Es un protocolo UDP de autenticación y autorización, para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UPD para establecer sus conexiones.

Sus principales caracteristicas son:

1. Cliente / Servidor

Modelo A Network Access Server (NAS).

Funciona como un cliente de RADIUS. El cliente es responsable de pasar la información del usuario a los servidores RADIUS designados, y luego actuar sobre la respuesta que se devuelve.

Servidores RADIUS.

Se encargan de recibir las solicitudes de conexión del usuario, la autenticación del usuario, y luego regresar toda la información de configuración necesarios para el cliente para ofrecer un servicio al usuario.

Un servidor RADIUS puede actuar como un cliente proxy para otros servidores RADIUS o de otros tipos de servidores de autenticación

TACACS

Es el protocolo de la tercera generación de la familia protocolos TACACS (RFC 1492). TACACS (Control de Acceso a la Terminal Access Controller System) - es un protocolo de autenticación remota, que se utiliza en el proceso de proporcionar acceso a los servidores de información, servidores de acceso remoto y otros dispositivos de red activos. Fue desarrollado por U. S. Departamento de Defensa y BBN Planet corp. (Bolt, Beranek y Newman, Inc). Más tarde él había varias veces ha hecho a mano por Cisco Systems Inc.

TACACS + es un protección de la aplicación del servidor, lo que permite, sobre la base del protocolo pertinente gestionar de forma centralizada el acceso del usuario al servidor Router de acceso de red u otro equipo de la red, apoya TACACS +. Información sobre servicios y TACACS + usuario almacenada en la base de datos, por lo general colocado en un equipo que ejecuta UNIX o Windows NT (Windows 2000/2003).

Auditoria Informatica

Definición de Auditoría

 Examen sistemático independiente y documentado para obtener evidencias y evaluarlas
objetivamente a fin de determinar hasta qué punto los criterios de auditoría se cumplen”.  (ISO
9000:2000   ISO 19011)
31
(Najera, 2009)

Normas Y Estándares.

Algunas normas y estándares relacionados con proyectos de Tecnologías de la Información se
presentan a continuación.
Existen entidades internacionales reconocidas, que se preocupan por realizar metodologías,
normas, estándares, modelos y/o directrices, enfocados a los desarrolladores como a los
adquiridores de software. Entre las principales se puede mencionar a:

• SEI (Software Engineering Institute - Instituto de Ingeniería de Software)

• IEEE (Institute of Electrical and Electronics Engineers - Instituto de Ingenieros Eléctricos y Electrónicos)

•  ISO (International Organization for Standarization - Organización Internacional de Estandarización)

•  SPICE (Software Process Improvement and Capability dEtermination – Mejoramiento de procesos de Software y determinación de capacidad).

Dentro de los desarrollos del SEI podemos describir a SW-CMM (SEI 1993) (Software Capability
Maturity Model - Modelo de Madurez de Capacidad de Software), SA-CMM (SEI 2002a) (Software
Acquisition Capability Maturity Model - Modelo de Madurez de Capacidad para la Adquisición de
Software), CMMI (SEI 2002b, SEI 2002c) (Capability Maturity Model Integrated - Modelo de
Capacidad de Madurez Integrado) y CMMI – AM (SEI 2005) (CMMI Adquisition Module -l Modulo
de Adquisición para CMMI).

El IEEE presenta muchos estándares relacionados o involucrados con la calidad de software como
son: 610.12-1990 que es el glosario estándar de terminología de ingeniería de software, 730-1998
que es el estándar para planes de seguridad de calidad de software, 829-1998 estándares para
documentar la evaluación de software, 830-1998 practicas recomendadas para especificación de
requerimientos de software, 1012-1998 estándar para la verificación y validación de software,
1016-1998 practicas recomendadas para la descripción de diseño de software, 1062a-1998
practicas recomendadas para la adquisición de software y muchas otras más.
Otro estándar importante es SPICE (Software Process Improvement and Capability dEtermination)
que también es conocido como ISO/IEC 15504 es un modelo de madurez de procesos
internacional que proporciona un marco de trabajo para la evaluación de procesos de software.
Sin embargo, iniciaremos RECORDANDO la norma más común a nivel internacional:

ISO 9000

La norma ISO 900 surge debido a la retroalimentación de los usuarios, el desarrollo de los modelos
de evaluación y mejora continua, así como las críticas especializadas que  requieren un estándar
con las siguientes CARACTERÍSTICAS:

• Emplee una aproximación de gestión basada en el proceso.
• Sea compatible con otros sistemas de gestión.
• Incluya requisitos para la mejora continua del sistema de calidad.
• Coincida con las necesidades de los participantes externos.
• Sea amigable al usuario y al cliente. 

ISO 9000 constituye las Normas para la gestión y garantía de la calidad.
La familia ISO está formada por:

• ISO 9001, Modelo para la garantía de la calidad en diseño/desarrollo, producción, 

instalación y servicio.

• ISO 9002, Modelado para garantizar la calidad en producción y servicios.
• ISO 9003, Modelos para garantizar la calidad en inspección final y pruebas.
• ISO 9004, Elementos y gestión del sistema de calidad, Directrices para la mejora del rendimiento.
• ISO 9011, Directrices para la auditoria de los sistemas de gestión de la calidad y/o ambiental.
• ISO 9126, Evalúa la calidad de los productos de software. (1992).

Las cinco secciones en que se divide ISO 9001:2000 son:

1. QMS Sistema de Gestión de la Calidad (Requisitos generales y Requisitos de la
documentación)
2. Responsabilidad de la Gestión (Compromiso de la dirección, Enfoque al cliente, Política de
la calidad, Planificación,…).
3. Gestión de los Recursos (Provisión de recursos, Recursos humanos, Infraestructura,
Ambiente de trabajo).
4. Realización del Producto (Planificación de la realización del producto, Procesos
relacionados con los clientes, Diseño y desarrollo, Compras, Prestación del servicio).
5. Medición Análisis y Mejora (Generalidades, Supervisión y Medición, Control de servicio no-
conforme, Análisis de datos, Mejora).

Elementos de la Planeación de la Auditoria Informática

Algunos Elementos de la planeación de la Auditoria Informática se ponen a continuación:

•  Objetivo y alcance de la auditoria.
•  Personas  (o funciones) a ser auditadas.
•  Elementos del sistema de calidad aplicables.
•  Documentos de referencia aplicables.
•  Miembros del equipo auditor.
•  Idioma (si es aplicable).
•  Lugar y fecha de la auditoria.
•  Tiempo de reunión de apertura y cierre
•  Requisitos de confidencialidad.
•  Distribución del informe y fecha esperada de publicación.

(Ros-Martín, 2004)

Listas De Verificación

DEFINICIÓN.- Derrotero con los aspectos a ser auditados y que permite ir registrando durante su
ejecución, las diversas observaciones y hallazgos encontrados.
RECOMENDACIONES PARA LA LISTA DE VERIFICACIÓN:
· Evaluación del conocimiento del auditado
· Disponibilidad del procedimiento
· Verificación del cumplimiento de la norma
· Observar auditorias anteriores

(Aguirre, 2008)

SSL Y TLS Historia

SSL Y TLS Historia

Buenos días amigos el día de hoy les compartiré un poco de información sobre el protocolo SSL y TLS para el cifrado en paginas WEB.
Aquí podrán conocer su historia, funcionalidad y propósito sobre estos protocolos, comenzaremos con ¿Qué es SSL?.

SSL

SSL (Secure Sockets Layer) traducido al español significa Capa de Conexiones Seguras. Es un protocolo que hace uso de certificados digitales para establecer comunicaciones seguras a través de Internet. Recientemente ha sido sustituido por TLS (Transport Layer Security) el cual está basado en SSL y son totalmente compatibles.

Te permite confiar información personal a sitios web, ya que tus datos se ocultan a través de métodos criptográficos mientras navegas en sitios seguros.

Es utilizado ampliamente en bancos, tiendas en línea y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas. No todos los sitios web usan SSL.

Se utiliza un método de cifrado para que no cualquiera pueda leer tu información y la manera inversa que es el descifrado para leer esta información, para esto utilizamos una llave publica que es conocida por el usuario y una llave privada que es la identificación de este usuario, esto se puede definir como una firma digital.


Integridad del certificado: Verifica que el certificado se encuentre íntegro, esto lo hace descifrando la firma digital incluida en él mediante la llave pública de la AC y comparándola con una firma del certificado generada en ese momento, si ambas son iguales entonces el certificado es válido.

Vigencia del certificado: Revisa el periodo de validez del certificado, es decir,  la fecha de emisión y la fecha de expiración incluidos en él.

Verifica emisor del certificado: Hace uso de una lista de Certificados Raíz almacenados en tu computadora y que contienen las llaves públicas de las ACs conocidas y de confianza.

Bailey Whitfield & Martin Hellman

Bailey Whitfield 

5/06/1944

Es un criptógrafo estadounidense y un pionero en la criptografía asimétrica.

En 1965 se graduó como Bachelor of Science en matemáticas en el Instituto Tecnológico de Massachusetts.

En 1976 publicó junto a Martin Hellman New Directions in Cryptography, que presentaba un nuevo método de distribución de claves criptográficas para solucionar uno de los problemas fundamentales de la criptografía: la distribución de la clave. Dicha publicación trataba de un nuevo protocolo criptográfico, que posteriormente se ha dado a conocer como protocolo de Diffie-Hellman, y ha estimulado el desarrollo público de un nuevo tipo de algoritmos de criptografía asimétrica.

Diffie fue gerente de investigación en sistemas de seguridad para la Northern Telecom, donde diseñó la arquitectura de gestión de claves para el sistema de seguridad PDSO para redes X.25.

En 1991 se incorporó a Sun Microsystems Laboratories (en Menlo Park, California) como ingeniero distinguido y trabajó principalmente en los aspectos de política pública de la criptografía. En mayo de 2007 Diffie ascendió a jefe oficial de seguridad y vicepresidente de Sun Microsystems.

En 1992 le fue otorgado el doctorado honoris causa en Technical Sciences por la Escuela Politécnica Federal de Zúrich (Eidgenössische Technische Hochschule Zürich).

En 1998 se publicó el libro de Diffie y Susan Landau Privacy on the Line (Privacidad en Línea) que trata sobre la política de las escuchas telefónicas y la criptografía. En 2007 se publicó una versión actualizada y ampliada.

Martin Hellman

02/10/1945

Es un criptólogo estadounidense. Hellman es famoso por ser el inventor junto aDiffie de la criptografía de clave pública junto con Ralph Merkle. Ambos publicaron en 1976 New Directions in Criptografhy que introducía un cambio radical, un nuevo método de distribución de claves que solucionó uno de los mayores problemas de la criptografía hasta entonces, la distribución de claves.

Estudió en el Instituto de Ciencias del Bronx y obtuvo su título en Ingeniería Eléctrica por la Universidad de Nueva York en 1966. Realizó un Master PostGrado en la Universidad de Stanford. Uno de sus primeros empleos fue en IBM. Ha sido profesor en MIT(Instituto Tecnológico de Massachusetts) y en Stanford donde ha sido nombrado profesor emérito en 1996.

En su última visita a España en el año 2007 aseguró que la criptografía cuántica está aún en estado embrionario y hasta dentro de 30 años no se verán sus primeras aplicaciones prácticas, que romperán con facilidad los actuales sistemas de cifrado. La Criptografía Cuántica se encargará de que su descifrado sea un juego de niños, susceptible de caer en manos de terroristas o criminales, para Hellman la mejor forma de que la información este segura es que no exista, que no se guarden los datos.

Tipos de Cifrados

Tipos de Cifrados (SHA1, MD5, RSA)

MD5

Es un algoritmo que proporciona un código asociado a un archivo o un textoconcretos. De esta forma, a la hora de descargar un determinado archivo, como puede ser un instalador, el código generado por el algoritmo, también llamado hash, viene “unido” al archivo.

Para que nosotros podamos ver este código MD5, existe software que analiza el archivo descargado y obtiene dicho código de él. Con el hash de nuestra descarga, podemos acudir a la web del desarrollador del programa del que tenemos el instalador y buscar el código MD5 de su instalador original. Una vez tengamos disponibles los dos códigos MD5, el de nuestro archivo descargado y el del instalador o software de la web oficial del desarrollador, podremos comparar ambos y ver si coinciden y nuestro archivo es fiable o no.

SHA1

NIST presentó en 1993 un algoritmo basado en las mismas técnicas que MD5 y denominado SHA (Secure Hash Algorithm).

El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo, hoy día, no oficialmente se le llama SHA‐0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA‐1.

Este algoritmo en 1995 la Agencia de Seguridad Nacional (NSA) lo sustituyó por una versión mejorada que actualmente se conoce como SHA-1 y que se considera más seguro que MD5. Produce un código hash de 160 bits para mensajes de longitud máxima 264 bits, aunque existen otras variantes poco utilizadas todavía que producen códigos de mayor longitud.

En general, SHA1 se considera el mejor algoritmo de la familia de Algoritmos HASH o de resumen y es el que se aplica en la mayoría de las aplicaciones de firma electrónica. Por lo tanto es muy habitual aplicar SHA1 seguido de RSA para realizar una firma electrónica de un documento, o bien el algoritmo DSA específico para firma  electrónica que también utiliza SHA1 internamente.

RSA

Lo más básico del cifrado con 2 claves  (la privada y la pública).

El cifrado de 2 claves el cual es un cifrado prácticamente inviolable cuenta con 2 llaves que las genera la misma persona.

Genera una clave privada, esta clave debe conservarla celosamente y no compartirla con nadie, si alguien la supiera debería desecharla y crear un nuevo par de claves ( privada y publica )

También genera la segunda clave, la clave publica. Como su nombre lo dice la clave publica es “ PUBLICA “ y la puede compartir con el resto del mundo sin riesgo a su seguridad. La puedes enviar por email, whatsapp o cualquier medio inseguro, no hay ningún problema con que la gente obtenga la clave pública

¿ Como se usan estas 2 claves ?

Las claves se usan indistintamente para cifrar y descifrar bloques de información que pueden ser mensajes o bloques binarios , pero dependiendo con que clave cifres es el propósito del decifrado.

    El uso de la clave publica

Cifrar y enviar un mensaje seguro que solo podrá ser leído por el destinatario y nadie más, por lo que no podrá ser descifrado jamás si no se tiene la clave privada. Esto garantiza que la información es totalmente confidencial.

El uso de la clave privada.

La clave privada también puede cifrar un mensaje que podría ser descifrado con la clave publica, ojo porque aquí el propósito cambia, ¿ que sentido tendría enviar un mensaje cifrado que puede ser descifrado con la clave que cualquiera puede obtener? Aquí la privacidad del mensaje no es tan importante como confirmar que el que envía el mensaje es la persona que dice ser.

Como solamente el dueño de la clave privada conoce la clave privada, solo el pudo haber cifrado ese mensaje el que recibe el mensaje no tiene duda que quien se lo manda es el dueño de la clave privada y es una prueba irrefutable de confiabilidad de que el mensaje proviene de quien dice ser.

Recursos Humanos

Recursos

La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal

seleccionado dependen de la materia auditable.

Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales

universitarios y por otras personas de probada experiencia multidisciplinaria.

(Aumatell, 2003)

Capital Humano

El auditor informático como encargado de la verificación y certificación de la informática

dentro de las organizaciones, deberá contar con un perfil que le permita poder

desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se

establecen algunos elementos con que deberá contar:

• Conocimientos generales.

• Herramientas.

• Técnicas.

· Todo tipo de conocimientos tecnológicos, de forma actualizada y

especializada respecto a las plataformas existentes en la organización.

· Normas, estándares para la auditoría interna.

· Políticas organizacionales sobre la información y las tecnologías de la

información.

· Características de la organización respecto a la ética, estructura

organizacional, tipo de supervisión existente, compensaciones monetarias

a los empleados, extensión de la presión laboral sobre los empleados,

historia de la organización, cambios recientes en la administración,

operaciones o sistemas, la industria o ambiente competitivo en la cual se

desempeña la organización, etc.

· Aspectos legales

· Herramientas de control y verificación de la seguridad.

· Herramientas de monitoreo de actividades, etc.

· Técnicas de Evaluación de riesgos.

· Muestreo.

· Cálculo post operación.

· Monitoreo de actividades.

· Recopilación de grandes cantidades de información.

· Verificación de desviaciones en el comportamiento de los datos.

· Análisis e interpretación de la evidencia, etc.

Gestión De Recursos Humanos

La gestión de los recursos humanos se encarga de obtener y coordinar a las personas de una

organización, de forma que consigan las metas establecidas. Para ello es muy importante cuidar

las relaciones humanas.

Objetivos de la gestión de recursos humanos:

• Atraer a los candidatos al puesto de trabajo que estén potencialmente cualificados
• Retener a los mejores empleados
• Motivar a los empleados
• Ayudar a los empleados a crecer y desarrollarse en la organización
• Aumento de la productividad
• Mejorar la calidad de vida en el trabajo
• Cumplimiento de la normativa y legislación

(Esquirol, 1992)

Políticas de la Organización (Reglas de negocio).

Políticas de la Organización

Política Es la orientación o directriz que debe ser divulgada, entendida y acatada por todos los miembros de la organización, en ella se contemplan las normas y responsabilidades de cada área de organización. Las políticas son guías para orientar la acción; son lineamientos generales a observar en la toma de decisiones, sobre algún problema que se repite una y otra vez dentro de una organización. En este sentido, las políticas son criterios generales de ejecución que complementan

el logro de los objetivos y facilitan la implementación de las estrategias. Las políticas deben ser

dictadas desde el nivel jerárquico más alto de la empresa.

La creación de políticas dentro de una organización es vital para tener un control de las normas y

responsabilidades de cada uno de los miembros, además de que sirve como una guía para orientar

las funciones que se deben de desempeñar con forme a los alineamientos de las políticas

establecidas y así evitar algún problema dentro de la organización.

Política

Política es el arte de gobernar y dar leyes y reglamentos, o sea que la circunscribe al mero ejercicio

de la soberanía, es decir, a los poderes legislativos, ejecutivos y judiciales.

Política no es solo el arte de gobernar, porque su ejercicio no es solo se hace de los gobernantes, intervienen en ella también los gobernados con sus derechos políticos y la facultad de manifestarlos en acción del que, aunque no reconocido es en sí mismo otro poder.

Política

La política es un concepto que abarca de forma genérica la actividad desarrollada por el hombre de forma interesada, con una justificación ideológica, y con unos objetivos que deben ser conseguidos y válidos para la comunidad. Pero esta definición es muy vaga y hay muchas otras aproximaciones que terminar por enriquecerlo.

Una primera perspectiva considera la política relacionada con el conflicto. En este sentido se habla de un juego de amigo-enemigo, o como lucha o combate entre individuos y grupos para conquistar el poder y, una vez conseguido, usarlo en beneficio propio y en perjuicio de los vencidos. Un ser político sería, en esta perspectiva como aquel que ha sabido desarrollar una serie de argucias, así como saber emplearlas para conseguir el mejor resultado en el enfrentamiento.

La segunda visión considera la política desde una dimensión ética. Sería la disposición a obrar en la comunidad influyendo o utilizando el poder para lograr el bien común. Las acciones políticamente correctas serian aquellas actitudes que tienen presente la dignidad de las personas o los derechos y libertades de personas y/o grupos.

Según (Ponce, 2004) existen muy diversos tipos de manuales, se mencionan aquí tan solo algunos de los principales.

• Manual de objetivos y políticas: como su nombre lo indica, reúnen un grupo de objetivos propios de la empresa, clasificados por departamentos, con expresión de las políticas correspondientes a eso objetivos y a veces de algunas reglas muy generales que ayudan a aplicar adecuadamente las políticas.

• Manuales departamentales: sin aquellos en que se recogen todas las políticas, regalos, etc., aplicables en cada departamento determinado.

• Manuales del empleado o de bienvenida: suelen recoger todo lo que interesa conocer al empleado en general, sobre todo al ingresar a la empresa.

• Manuales de organización: son como una explicación, ampliación y comentario de las cartas de organización en ocasiones contienen adicionalmente una síntesis de las descripciones de puestos y reglas de coordinación interdepartamental.

Mediante los manuales de procedimientos administrativos, se puede generar una cultura y

filosofía de trabajo, se establecen criterios propios enfocados a los procesos de todas las áreas,

incluyendo las relacionadas con el marketing y las políticas de venta, además de ser un documento

idóneo para reforzar los valores éticos y morales que deben caracterizar a toda empresa

responsable e innovadora. Una de las principales finalidades de los manuales es facilitar los

procesos de actualización y mejora permanente de la compañía, mismos que implícitamente

permitirán alcanzar de una manera ordenada los objetivos estratégicos y tácticos de la

corporación.

Es muy importante, que toda empresa o negocio, cuente con un manual de políticas y

procedimientos, este ejercerá una gran influencia en todos los miembros de la organización

además de que ayudara a tener un control de los procesos que se desenvuelven dentro de la

misma. 

Características de los manuales de políticas de la organización

Elementos que integran el manual (contenido).

1. Introducción

2. Objetivo del manual.

3. Antecedentes históricos.

4. Marco jurídico.

5. Atribuciones.

6. Misión y visión.

7. Estructura orgánica.

8. Organigrama.

9. Objetivo y funciones.

10. Glosario de términos.

Elementos que lo integran

1. Logotipo de la dependencia.

2. Nombre de la dependencia.

3. Título del manual.

4. Nombre o siglas de la unidad administrativa responsable de su elaboración o actualización

permanente.

5. Fecha de implantación o, en su caso, de actualización.

Tipos de manuales de políticas

Se presentan seis tipos de manuales de aplicación en las organizaciones empresarias:

A.- Manual de Organización.

B.- Manual de Políticas.

C.- Manual de procedimientos y normas.

D.- Manual del especialista.

E.- Manual del empleado.

F.- Manual de Propósito múltiple.

1.- Manual de organización:

El Manual de Organización es un documento normativo que contiene, de forma ordenada y

sistemática, información sobre el marco jurídico-administrativo, atribuciones, antecedentes

históricos, misión, visión, objetivos, organización y funciones de una dependencia o entidad. De

este modo se constituye en un instrumento de apoyo para describir las relaciones orgánicas que

se presentan entre los diferentes unidades de la estructura organizacional, Este manual define

concretamente las funciones encomendadas a cada una de las unidades administrativas que

integran la institución, asimismo, explica de forma integral y condensada, todos aquellos aspectos

de observancia general en la institución, cuyo fin es lograr que todos sus integrantes logren

conocer, familiarizarse e identificarse con la misma.

Los Manuales de Organización por el alcance de su información se pueden clasificar en:

Manual General de Organización: refleja la estructura orgánica de la organización en su totalidad.

Manual Específico de Organización: comprende las funciones y responsabilidades de una unidad

administrativa en especial, de acuerdo a la división administrativa que se posea en la Organización.

2.- Manual de políticas:

El Manual de Políticas es el contiene escritas en él las políticas establecidas por una institución, en

este documento se indican la forma de proceder y los límites dentro de los cuales deben

enmarcarse las actividades tendientes a alcanzar los resultados Institucionales. Toda política debe

estar orientada hacia el objetivo primario o razón de ser de la institución. Este Manual puede

incluir las políticas generales de la institución, así como de las unidades administrativas de la

misma. Un manual de políticas es fundamental para asegurar la uniformidad de acción de una

institución.

Los Manuales de Políticas por el alcance de su información se clasifican en:

Manuales Generales de Políticas: abarcan a toda la Institución, incluye como elemento primario

todas aquellas disposiciones generales, las cuales las establece cada unidad administrativa a

efectos de sus propias responsabilidades y autoridad funcional.

Manuales específicos de Políticas: se ocupan de una función operacional o una unidad

administrativa en particular.

3.- Manual de procedimientos y normas:

El Manual de Procedimientos es un documento que describe en forma lógica, sistemática y

detallada las actividades de una institución o unidad organizativa de acuerdo con sus atribuciones

y tomando en cuenta lo necesario para la ejecución eficiente de las mismas, generalmente señalan

quién, cómo, cuándo, dónde y para qué han de realizarse estas actividades. Este tipo de Manual se

orienta a especificar detalles de la ejecución de actividades organizacionales, con el fin de unificar

criterios a lo interno de la institución sobre la manera correcta en que deben ser realizadas. Al

recuperar la información de la forma más adecuada de desempeñar las tareas se logra asegurar su

calidad, así como agilizar la circulación de la información para que esta llegue oportunamente a las

unidades organizativas que la requieran.

Los manuales de procedimientos contienen un conjunto de definiciones operacionales, señalando

la secuencia lógica de las acciones o pasos a seguir para la consecución de bienes o servicios

determinados. Además, contienen ilustraciones a base de formularios, fluxogramas y diagramas,

cuyo objetivo es recurrir a la representación gráfica de la secuencia de actividades para hacerla

más fácilmente comprensible.

4.- Manual para especialistas:

Contiene normas o indicaciones referidas exclusivamente a determinado tipo de actividades u

oficios. Se busca con este manual orientar y uniformar la actuación de los empleados que cumplen

iguales funciones.

5.- Manual del empleado:

Contiene aquella información que resulta de interés para los empleados que se incorporan a una

empresa sobre temas que hacen a su relación con la misma, y que se les entrega en el momento

de la incorporación. Dichos temas se refieren a objetivos de la empresa, actividades que

desarrolla, planes de incentivación y programación de carrera de empleados, derechos y

obligaciones, entre otros.

6.- Manual de propósitos múltiples:

Reemplaza total o parcialmente a los mencionados anteriormente, en aquellos casos en los que la

dimensión de la empresa o el volumen de actividades no justifique su confección y mantenimiento.