Professional Documents
Culture Documents
UNIVERSIDAD DE
FACULTAD DE
CIENCIAS ECONMICAS
ESCUELA DE
AUDITORA
CONTADURA PBLICA Y
SEMINARIO DE CASOS DE AUDITORIA
TRABAJO NO. 4
AUDITORIA INFORMTICA
PRESENTADO A:
LIC. CARLOS ROBERTO MAURICIO GARCA.
AUXILIAR ERWIN R. CANO DIVAS.
22 DE OCTUBRE DEL 2015
AUDITORA INFORMTICA
GRUPO NO. 4
CARN
200812792
200912425
200912500
200912508
200912536
200913302
200913782
201010676
201010903
201022062
201120737
AUDITORA INFORMTICA
NDICE DE
CONTENIDO
i.
.................INTRODUCCIN4
AUDITORI
A INFORMATICA...............5
1. Antecedentes
...........................................5
2. Definiciones................................................................................................6
3. Alcance.......................................................................................................7
4. Importancia de la Auditoria en Informatica.................................................7
5. Objtivos.......................................................................................................8
6. Clasificacion de Tipos de Auditoria...........................................................13
7. Terminologia Utilizada en la Auditoria Informatica....................................13
8. Marco Esquematico..................................................................................17
9. Metodologia...............................................................................................17
10. Control del Sistema Informatico................................................................22
11. Participacion del Auditor en el Desarrollo de Sistemas .25
2II. CASO PRCTICO.......................................................................................32
ii.
CONCLUSIONES........................................................................................33
iii.
RECOMENDACIONES.............................................................................34
iv.
REFERENCIAS BIBLIOGRAFICAS.........................................................35
INTRODUCCIN
3
AUDITORA INFORMTICA
El
correcta
auditor
utilizacin
AUDITORA INFORMTICA
CAPTULO I
AUDITORA
INFORMTICA
Antecedentes
Para finales del siglo
bases
para
el
desarrollo
de
una
auditora
de
sistemas
AUDITORA INFORMTICA
necesidad
evaluar
sistemas,
de
no
solo
de
los
sino
componentes y todo
dichos sistemas.
DEFINICIN
Es conocida como auditoria de sistemas, teniendo como objetivo evaluar sistemas
informticos en forma integral, los procedimientos y seguridad de los equipos
electrnicos o hardware de los programas o software que posea la empresa sean
propios o de modalidad de servicios. Analiza la actividad que se conoce como
tcnica de sistemas en todas sus facetas. Hoy, la importancia creciente de las
telecomunicaciones ha propiciado que las comunicaciones, Lneas y redes de las
instalaciones informticas, se auditen por separado, aunque formen parte del
entorno general de sistemas
AUDITORA INFORMTICA
ALCANCE
IMPORTANCIA
Detecta de forma sistemtica el uso de los recursos y los flujos de informacin
dentro de una organizacin y determina qu informacin es crtica para el
cumplimiento de su misin y objetivos, identificando necesidades, duplicidades,
costes, valor y barreras, que obstaculizan flujos de informacin eficientes.Permite
a travs de una revisin independiente, la evaluacin de actividades, funciones
especficas resultados u operaciones de una organizacin con el fin de evaluar su
correcta realizacin.
Es un proceso llevado a cabo por profesionales especialmente capacitados para el
efecto, y que consiste en recoger, agrupar u evaluar evidencias para determinar si
un Sistema de informacin salvaguarda el activo empresaria, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin,
utiliza eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas. Los principales puntos por lo que es importante realizar esta
auditora son, la alta sistematizacin, las nuevas tecnologas, la automatizacin de
los controles, integracin de informacin y su importancia.
AUDITORA INFORMTICA
OBJETIVOS DE LA
AUDITORIA INFORMTICA
AUDITORA INFORMTICA
Objetivos
especficos de la auditora de
sistemas
computacionales
determinacin,
que
en
se
pretenden
Auditora
de
es
la
sealando
Auditoria informtica
Auditoria con la computadora
Auditoria sin la computadora
Auditoria a la gestin informtica
Auditoria al sistema de computo
Auditoria alrededor de la computadora
Auditoria de la seguridad de sistemas computacionales
Auditoria a los sistemas de redes
Auditora integral a los centros de computo
Auditoria ISO-9000 a los sistemas computacionales
Auditoria outsourcing
Auditoria ergonmica de sistemas computacionales
Auditoria informtica
Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas
computacionales, software e informacin utilizados en una empresa, sean
individuales, compartidos y/o de redes, asi como a sus instalaciones,
telecomunicaciones, mobiliario, equipos perifricos y dems componentes.
AUDITORA INFORMTICA
Auditoria
con
la
computadora
Es la auditoria que
equipos de cmputo
cualquier
actividades y operaciones, no
tipo
de
necesariamente
computarizado,
pero
si
10
AUDITORA INFORMTICA
Auditoria
Es
la
enfoca
al
sistema de cmputo
auditora
nicamente
funcionamiento
cmputo,
la
evaluacin
del
su
hardware,
software
AUDITORA INFORMTICA
usuarios
los
propios
computacionales, y
en
aspectos
que
contribuyen a la proteccin y
salvaguarda en el
de
sistemas
sistematizacin,
si
sistemas
para
todos
de
aquellos
redes
AUDITORA INFORMTICA
Auditoria
Es
la
outsourcing
revisin
especializada
exhaustiva,
que
se
realiza
tcnica
para
evaluar la
calidad de servicio
de asesora o procesamiento
externo
de
una empresa a otra. Esto se lleva a cabo con el fin de revisar la confiabilidad,
oportunidad suficiencia y asesora por parte de los prestadores de servicio de
procesamiento de datos, as como el cumplimiento de las funciones y actividades
que tienen encomendados los prestadores de servicios, usuarios y el personal
general.
Auditoria ergonmica de sistemas computacionales
Es la revisin tcnica, especfica y especializada que se realiza para evaluar la
calidad, eficiencia y utilidad del entorno hombre-mquina-medio ambiente que
rodea el uso de los sistemas computacionales en una empresa. Esta revisin se
realiza tambin con el propsito de evaluar la correcta adquisicin y uso de
mobiliario, equipos y sistemas, a fin de proporcionar el bienestar, confort y
comodidad que requieren los usuarios de los sistemas de cmputo de la empresa,
as como evaluar la deteccin de los posibles problemas y sus repercusiones, y la
determinacin de la soluciones relacionadas con la salud fsica y bienestar de los
usuarios de los sistemas de la empresa.
AUDITORA INFORMTICA
electrnicos,
generando
informacin
confiable, verificable
papel,
magnticos,
que
y/o
de
los
datos
oportuna,
presentada
pantalla,
en
medios
por cualquier medio, para ser transmitida por canales eficientes para la toma de
decisiones.
Conjunto de conocimientos cientficos y de tcnicas que hacen posible el
tratamiento
automtico de la
informacin
por medio
de
computadoras.
matemtica,
lgica
comportamiento
humano.
eficiente
de
todos
los
recursos
(humanos,
materiales,
financieros,
AUDITORA INFORMTICA
que
solucione
problemas
dentro
de
una
entidad.
Estndares
de
programacin:
Es
la
descomposicin de
para
fines
de
AUDITORA INFORMTICA
Caja
Negra:
Tcnicas
que
examinan
el
comportamiento de
especificaciones de
las
realizar. Consiste en
funciones
que
deben
Delito informtico: Cualquier acto ilegal ejecutado con dolo para el que es
esencial el conocimiento o uso, propio o ajeno, de la tecnologa informtica, para
su comisin, investigacin o persecucin con la finalidad de beneficiarse con ello.
Gurs: Son los maestros que ensean a los futuros hackers.
Riesgo: Proximidad o posibilidad de un dao, peligro, etc. Toda contingencia que
pueda tener un efecto adverso sobre la organizacin, a travs de un impacto en
las actividades y/o sistema de informacin.
16
AUDITORA INFORMTICA
Seguridad:
el cumplimiento de algo.
Servidor:
Computador
gestionar el uso de
llamadas
clientes.
dedicado
Plataforma de hardware
Tarjeta madre
Procesadores
Dispositivos perifricos
Arquitectura del sistema
Instalaciones elctricas, de datos y de telecomunicaciones
Innovaciones tecnolgicos de hardware y perifricos
Software
Plataforma de software
Sistema operativo
Lenguajes y programas de desarrollo
17
AUDITORA INFORMTICA
Programas,
paqueteras de aplicacin y
bases
Utileras,
Software
Juegos
datos
bibliotecas y aplicaciones
telecomunicacin
otros tipos de software
de
de
y
Gestin informtica
Actividad administrativa del rea de sistemas
Operacin del sistema de computo
Planeacin y control de actividades
Presupuestos y gastos de los recursos informticos
Gestin de la actividad informtica
Capacitacin y desarrollo del personal informtico
Administracin de estndares de operacin, programacin y desarrollo
Informacin
Administracin, seguridad y control de la informacin
Salvaguarda, proteccin y custodia de la informacin
Cumplimiento de las caractersticas de la informacin
Diseo de sistemas
Metodologas de desarrollo de sistemas
Estndares de programacin y desarrollo
Documentacin de sistemas
Bases de datos
Administracin de datos
Diseo de bases de datos
Metodologas para el diseo y programacin de bases de datos
Seguridad, salvaguarda y proteccin de las bases de datos
Seguridad
18
AUDITORA INFORMTICA
Seguridad del
Seguridad
Seguridad
Seguridad de
rea de sistemas
fsica
lgica
las instalaciones elctricas, de
datos y de
Seguridad de
telecomunicaciones
la informacin, redes y bases
de datos
Administracin y control de las bases de datos
Seguridad del personal informtico
Redes de cmputo
Especializadas
Outsourcing
Helpdesk
Ergonoma en sistemas computacionales
ISO-9000
Internet
Sistemas multimedia
19
AUDITORA INFORMTICA
El
primer
informtica es
definir
necesarias
lograra
mediante
una
origen
la
planeacin.
Identificar el
las
de
actividades
adecuada
auditoria:
lo
20
AUDITORA INFORMTICA
asignada
tiempos
utilizar.
Aplicar
los
instrumentos
herramientas
programadas:
se tienen que
utilizar,
uno
uno,
los
AUDITORA INFORMTICA
Elaborar
el
terminar
de
de sistemas y
del auditor, y
despus
directivos del
presentarlo
los
Cuestionarios
Entrevistas
Observacin
Conteo fsico (inventario)
Inspeccin
Confirmacin
Comparacin
22
AUDITORA INFORMTICA
CONTROLES EN INFORMTICA
a. Definicin
Es una medida y correccin del desempeo de las actividades de los
subordinados para asegurar que los objetivos y planes de la empresa, diseados
para lograrlo, se estn llevando a cabo.
b. Funcin
Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de
una organizacin obtengan los objetivos previstos, dentro de los lmites prefijados.
El control es la suma de factores deliberadamente dispuestos por la organizacin
con el fin de:
a) Condicionar cada acto, asegurando que sea realizado de un modo determinado.
b) Determinar la medida en que cada acto dio el resultado previsto.
c) Informar los resultados y las eventuales desviaciones, retroalimentando de esta
manera todo el proceso.
23
AUDITORA INFORMTICA
c. Proceso bsico
del control
Evaluacin
Correccin de
d. Requisitos que
Establecimiento de normas
de la actuacin
las desviaciones
deben cumplir los controles
Deben
reflejar
necesidades de la empresa
Deben reportar prontamente las desviaciones
Deben ser futuristas
Deben sealar excepciones
Deben ser objetivos
Deben ser flexibles
Deben ser comprensibles
Deben conducir a la accin correctiva
e. Clasificacin de los controles
la
naturaleza
a) Por su naturaleza:
Generales (varios sistemas)
Manuales (uso de humanware)
Automticos (incorporados)
b) Por su estado:
Recomendados
Descartados
Implantados
c) Por su efecto:
Disuasivos
De evidencia
Preventivos
Defectivos
Correctivos
Recuperativos
1. Controles preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas de error.
CARACTERSTICAS:
AUDITORA INFORMTICA
Previenen
Son
procesos
Son los de
Autorizacin
Custodia
Formas pre
Formas reimpresas
Documento de retorno
Endoso
Cancelacin
Contraseas
Definicin de responsabilidades
Confiabilidad del personal
Entrenamiento
Competencia del personal
Mecanizacin
Segregacin de funciones
operaciones no autorizadas
sutilmente incorporados en los
ms bajo costo
segura
numeradas
2. Controles detectivos
Estos no impiden que ocurra una causa de error, sino que acciona la alarma
despus de que haya ocurrido.
a) Pueden impedir la continuidad de un proceso
b) No impiden que ocurra un error, pero dan la alarma despus que haya ocurrido
c) Requieren de ciertos gastos operativos moderados
Documento de envo
Nmeros consecutivos de lote
Cifras de control de cantidades
Cifras de control de numero de documentos
Cifras de control sin significado monetario
Totales de lote
Verificacin de rebasamiento
Verificacin de formato
Verificacin de integridad
Digito verificador
Razonabilidad
Verificacin de validez
25
AUDITORA INFORMTICA
Fechas
Verificacin
Aprobacin
Totales
de
Igualizacin /
Clasificacin
Cuenta
de
procesarse
Cotejo
Auditoria peridica
Etiquetas
de la digitacin
corrida a corrida
comparacin
por antigedad
partidas
pendientes
de
3. Controles correctivos
a) Ayudan a la investigacin y correccin de las causas de los errores que hayan
sido detectados.
b) La accin correctiva es siempre necesaria.
c) Son casi siempre muy costosos.
AUDITORA INFORMTICA
Si nuestra funcin
es
nuestro papel en el
desarrollo
reduce
que
sistemas
computarizados de contabilidad
se contrae a la que
los
dado
la
de
auditor
de
externo,
sistemas
se
AUDITORA INFORMTICA
Desarrollo de
Diseo
del
Programacin
c) Implantacin del
modelos solucin
modelo elegido
y prueba
sistema
Preparacin
Implantacin
Revisin
seguimiento
de la implantacin
operativa
post-implantacin
CAPITULO ll
Seor
Lorenzo Montenegro
28
AUDITORA INFORMTICA
Director General
Servicio Econmico,
S.A.
29
AUDITORA INFORMTICA
ASOCIADOS
PBLICOS Y AUDITORES
ANEXO
Resultado de la evaluacin a la empresa Servicio Econmico, S.A. rea de
informtica.
Condicin 1
Al realizar el inventario de software en la empresa se detect la existencia de
copias no autorizadas del sistema de facturacin; los programas fueron
descargados por internet y no cuenta con las licencias de los mismos.
Criterio
El artculo 32 del Decreto 33-98 de la Ley de Derechos del Autor y Derechos
Conexos de Guatemala establece que la reproduccin de un programa de
ordenador, incluso para uso personal, exigir la autorizacin del titular de los
derechos.
30
AUDITORA INFORMTICA
Recomendacin
Que
la
Gerencia
personal
que
fin de adquirir el
software
autorizados
en
el
con
representantes
31
AUDITORA INFORMTICA
Implementar
la
creacin
de
cuentas
de
para
los
usuarios
individuales
colaboradores de la
el
informacin
acceso
de
personas
no
autorizadas.
Condicin 4
Se comprob que hay acceso de personas no autorizadas al rea de informtica
sin supervisin del encargado del rea.
Criterio
Las personas encargadas de realizar la limpieza poseen llave para ingresar al
rea de informtica.
Recomendacin
Autorizar el acceso al personal de limpieza nicamente cuando se encuentre un
encargado del rea de informtica.
Condicin 5
informacin disponible.
Recomendacin
32
AUDITORA INFORMTICA
Que
la
para
autorizar
el resguardo de los
recursos informticos.
Condicin 6
De acuerdo a la informacin proporcionada por el departamento de informtica, no
se cuenta con un sistema de seguridad contra incendios.
Criterio
Se efectu una evaluacin en el rea auditada sobre el riesgo de incendios,
planificando la inclusin de extinguidores especiales para el rea, la cual no se
llev a cabo.
Recomendacin
La administracin debe considerar la necesidad de contar con extinguidores
adecuados y un plan de accin para actuar en caso de alguna contingencia en el
rea de informtica.
CONCLUSIN
Toda empresa, pblica o privada que posean sistemas de informacin, debe
someterse a un control estricto de evaluacin. Las habilidades tcnicas requeridas
por el auditor en informtica son las de implantar, ejecutar y comunicar los
resultados de la evaluacin en el contexto de la tecnologa de informacin, de
acuerdo con estndares profesionales que gobiernen el objetivo de la auditora.
Se puede decir que Auditoria en Informtica es el conjunto de tcnicas,
procedimientos y actividades, destinadas a analizar y evaluar el funcionamiento de
33
AUDITORA INFORMTICA
los
sistemas
que comprende un
con el propsito de
sistemas
seguridad
de
cumplimiento de la
informticos;
RECOMENDACIN
El auditor debe de estar capacitado para comprender los mecanismos que se
desarrollan en un procesamiento electrnico, tambin debe de estar preparado
para enfrentar sistemas computarizados en los cuales se encuentre la informacin
necesaria para auditar, que posea las herramientas idneas para poder realizar
una auditora informtica en cualquier tipo de entidad que solicite sus servicios
profesionales .
34
AUDITORA INFORMTICA
en consideracin el acelerado
desarrollo
tecnolgico
experimentando en
las
tambin
grado
el
alto
implica.
BIBLIOGRAFA
35
que
se
est
instituciones,
as
como
de
riesgo
que
esto
AUDITORA INFORMTICA
AUDITORIA
EN
SISTEMAS
COMPUTACIONALES.
Muoz
Razo.
Carlos
http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/
36