Professional Documents
Culture Documents
TRABAJO NO .4
AUDITORIA INFORMTICA
PRESENTADO A:
LIC. CARLOS ROBERTO MAURICIO GARCA.
AUXILIAR ERWIN R. CANO DIVAS.
22 DE OCTUBRE DEL 2015
CARN
200812792
200912425
200912500
200912508
200912536
200913302
200913782
201010676
201010903
201022062
201120737
NDICE
Pagina
INTRODUCCIN...................................................................................................................I
AUDITORA INFORMTICA..................................................1
1.1
ANTECEDENTES1
1.2
DEFINICIN.2
1.3
ALCANCE........3
1.4
IMPORTANCIA3
1.5
6. CONTROLES EN INFORMTICA...............................................................................20
6.1. Controles Preventivos....22
6.2. Controles Detectivos..23
6.3. Controles correctivos..24
7. PARTICIPACIN DEL AUDITOR EN EL DESARROLLO DE SISTEMAS................25
7.1. Su importancia.25
7.2. Su Oportunidad...25
7.3. Aspectos generales.26
CONCLUSIN.....................................................................................................................32
RECOMENDACIN............................................................................................................33
BIBLIOGRAFA..................................................................................................................34
INTRODUCCIN
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Claro est, que para
la realizacin de una auditora informtica eficaz, se debe entender a la empresa en su ms amplio
sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad
Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus negocios de forma
rpida y eficiente con el fin de obtener beneficios econmicos y de costos.
Los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera estarlo
de ah la importancia de llevar un control de esta herramienta.
En el siguiente trabajo se hace un anlisis de la Auditora Informtica como se puede aplicar en las
empresas, cual es el objetivo, la terminologa utilizada en el tiempo y espacio para la realizacin de
la auditora informtica, su metodologa, y la debida evaluacin de los controles de sistemas, para
poder desarrollar una evaluacin que permita lograr una mejor eficiencia y eficacia en las
actividades.
CAPTULO I
AUDITORA INFORMTICA
1.1 ANTECEDENTES
Para finales del siglo XX, los sistemas informticos se han constituido en las herramientas ms
poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier
organizacin empresarial, los sistemas de informacin de la entidad.
La informtica hoy por hoy, esta subsumida en la gestin integral de la entidad, y por eso las
normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales
de la misma. En consecuencia, las organizaciones informticos forman parte de lo que se ha
denominado el management o gestin de la empresa. Cabe aclarar que la informtica no gestiona
propiamente la entidad, ayuda a la toma de decisiones, pero no decide por s misma. Por ende,
debido a su importancia en el funcionamiento de una entidad, existe la auditoria informtica.
En 1988, Echenique public su libro Auditora de sistemas, en el cual establece las principales
bases para el desarrollo de una auditora de sistemas computacionales, dando un enfoque tericoprctico sobre el tema.
En 1992, Lee present un libro en el cual enuncia los principales aspectos a evaluar en una
auditora de sistemas, mediante una especie de gua que le indica al auditor los aspectos que debe
evaluar en este campo.
Motivada por lo especializado de las actividades de cmputo, as como por el espectacular avance
que han tenido estos sistemas en los ltimos aos, ha surgido una nueva necesidad de evaluacin
para los auditores, quienes requieren una especializacin cada vez ms profunda en sistemas
computacionales para dedicarse a este tipo de auditoras. Por ello naci la necesidad de evaluar no
solo de los sistemas, sino tambin la informacin, sus componentes y todo lo que est relacionado
con dichos sistemas.
1.2 DEFINICIN
Es conocida como auditoria de sistemas, teniendo como objetivo evaluar sistemas informticos en
forma integral, los procedimientos y seguridad de los equipos electrnicos o hardware de los
programas o software que posea la empresa sean propios o de modalidad de servicios (Razo)pag2532. Analiza la actividad que se conoce como tcnica de sistemas en todas sus facetas. Hoy, la
importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones, Lneas y
redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno
general de sistemas
Es el conjunto de tcnicas, procedimientos y actividades, destinadas a analizar y evaluar el
funcionamiento de los sistemas informticos de un ente, por lo que comprende un examen
metdico y puntual, con el propsito de mejorar aspectos como: control y seguridad de sistemas
informticos; cumplimiento de la normativa tecnolgica del ente; control de los planes de
contingencia; eficacia y rentabilidad
en el manejo de sistemas.
1.3 ALCANCE
El alcance ha de definir con precisin eL entorno y los limites en que va a desarrollarse la
auditoria informtica, se completa con los objetivos de esta (Lucas Morea). El alcance ha de
figurar expresamente en el informe final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino lo que se esperar lograr con el resultado de la
auditoria
1.4 IMPORTANCIA
Detecta de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determina qu informacin es crtica para el cumplimiento de su misin y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de
informacin eficientes (Lucas Morea).Permite a travs de una revisin independiente, la
evaluacin de actividades, funciones especficas resultados u operaciones de una organizacin con
el fin de evaluar su correcta realizacin.
Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que
consiste en recoger, agrupar u evaluar evidencias para determinar si un Sistema de informacin
salvaguarda el activo empresaria, mantiene la integridad de los datos, lleva a cabo eficazmente los
fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas. Los principales puntos por lo que es importante realizar esta auditora son, la alta
sistematizacin, las nuevas tecnologas, la automatizacin de los controles, integracin de
informacin y su importancia.
perifricos e instalaciones.
Evaluar el uso y aprovechamiento de los equipos de cmputo, sus perifricos, las
instalaciones y mobiliario del centro de cmputo, as como el uso de los recursos tcnicos y
Auditoria informtica
Auditoria con la computadora
Auditoria sin la computadora
Auditoria a la gestin informtica
Auditoria al sistema de computo
Auditoria alrededor de la computadora
Auditoria de la seguridad de sistemas computacionales
Auditoria a los sistemas de redes
Auditora integral a los centros de computo
Auditoria ISO-9000 a los sistemas computacionales
Auditoria outsourcing
Auditoria ergonmica de sistemas computacionales
Auditoria Informtica
Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas computacionales,
software e informacin utilizados en una empresa, sean individuales, compartidos y/o de redes, as
como a sus instalaciones, telecomunicaciones, mobiliario, equipos perifricos y dems
componentes.
Auditoria Con La Computadora
Es la auditoria que se realiza con el apoyo de los equipos de cmputo y sus programas para evaluar
cualquier tipo de actividades y operaciones, no necesariamente computarizado, pero si susceptibles
de ser automatizados; dicha auditoria se realiza tambin a las actividades del propio centro de
sistemas y a sus componentes.
Auditoria sin la computadora
Es la auditoria cuyo mtodos, tcnicas y procedimientos estn orientados nicamente a la
evaluacin tradicional del comportamiento y validez de las transacciones econmicas,
administrativas y operacionales de un rea de computo, y en s de todos los aspectos que afectan a
las actividades en las que se utilizan sistemas informticos, pero dicha evaluacin se realiza sin el
uso de los sistemas computacionales. Es tambin la evaluacin tanto a la estructura de
organizacin, funciones y actividades de funcionarios y personal de un centro de cmputo, as
como de los perfiles de sus puestos, como de los reportes, informes, y bitcoras de los sistemas, de
la existencia y aplicacin de planes, programas y presupuestos en dicho centro, as como del uso y
aprovechamiento de todos los recursos informticos para la realizacin de las actividades,
operaciones y tareas.
Auditoria A La Gestin Informtica
Es la auditoria cuya aplicacin se enfoca exclusivamente a la revisin de las funciones y
actividades de tipo administrativo que se realiza dentro de un centro de cmputo, tales como la
planeacin, organizacin, direccin y control de dicho centro. Esta auditoria se realiza tambin con
el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios,
empleados y usuarios de las reas de sistematizacin, as como para revisar y evaluar las
operaciones del sistema, el uso y proteccin de los sistemas de procesamiento, los programas y la
informacin.
Auditoria al sistema de cmputo
Es la auditora tcnica y especializada que se enfoca nicamente a la evaluacin del
funcionamiento y uso correcto del equipo de cmputo, su hardware, software y perifricos
asociados. Esta auditoria tambin se realiza a la composicin y arquitectura de las partes fsicas y
dems componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones
internas o externas, as como el diseo, desarrollo del software de operacin, de apoyo y de
aplicacin, ya sean sistemas operativos, leguajes de procesamiento y programas de desarrollo, o
paquetera de aplicacin institucional que se utiliza en la empresa donde se encuentra el equipo de
cmputo que ser evaluado.
Auditoria alrededor de la computadora
Es la revisin especifica que se realiza a todo lo que est alrededor de un equipo de cmputo, como
sus sistemas, actividades y funcionamiento, haciendo una evaluacin de sus mtodos y
procedimientos de acceso y procesamiento de datos, la emisin y almacenamiento de resultados, las
actividades de planeacin y presupuesto del propio centro de cmputo, los aspectos operacionales
y financieros, la gestin administrativa de acceso al sistema, la atencin a los usuarios y el
desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en s, a todos aquellos
aspectos que contribuyen al buen funcionamiento de un rea de sistematizacin.
Auditoria De La Seguridad De Los Sistemas Computacionales
10
11
12
Bucaneros: Son trata de comerciante, porque venden productos comprados los copy Hackers,
como ltimos programas de aplicacin crackeados. Suelen ser personas sin ningn tipo de
conocimiento en electrnica o informtica, pero s de negocios. El bucanero compra al copy
Hackers y vende el producto bajo un nombre comercial.
Caballo de Troya: Programa informtico que lleva en su interior la lgica necesaria para que el
acreedor del programa pueda acceder al interior del sistema en el que se introduce de manera
subrepticia.
Caja Negra: Tcnicas que examinan el comportamiento de un programa basndose en las
especificaciones de las funciones que deben realizar. Consiste en observar salidas en funcin de
entradas, de modo que esta propiedad presenta ms ventajas que inconveniente.
Confidencialidad: Condicin que asegura que la informacin no puede estar disponible o ser
descubierta por personas, entidades o procesos no autorizados.
Copy hackers: Pertenecen a una nueva generacin de falsificadores. Obtienen lo que les interesa y
se lo venden a alguien sin escrpulos que comercializara el sistema posteriormente.
Crackers: Individuo con amplios conocimientos informticos que desprotege y piratea programas
o produce daos en sistemas o redes. En la realidad son Crackers que se dedican nica y
exclusivamente a destruir sistemas informticos.
Delito informtico: Cualquier acto ilegal ejecutado con dolo para el que es esencial el
conocimiento o uso, propio o ajeno, de la tecnologa informtica, para su comisin, investigacin o
persecucin con la finalidad de beneficiarse con ello.
Gurs: Son los maestros que ensean a los futuros hackers.
13
Riesgo: Proximidad o posibilidad de un dao, peligro, etc. Toda contingencia que pueda tener un
efecto adverso sobre la organizacin, a travs de un impacto en las actividades y/o sistema de
informacin.
Seguridad: Conjunto de garantas que se dan a alguien sobre el cumplimiento de algo.
Servidor: Computador dedicado a gestionar el uso de la red por otras computadoras llamadas
clientes. Contiene archivos que puedan ser accesados desde otros computadores.
Virus: Programa cuyo objetivo es causar daos en un sistema informtico y que se oculta o
disfraza para no ser detectado.
Worm gusano: Son programas que se copian en archivos distintos en cadena hasta crear miles
de rplicas de s mismos y tiene como nica misin la de colapsar cualquier sistema.
Configuraciones de redes: Es la accin de conectar computadoras entre s, logrando la
transferencias de informacin entre cada una de ellas
Plataforma de hardware
Tarjeta madre
Procesadores
Dispositivos perifricos
Arquitectura del sistema
Instalaciones elctricas, de datos y de telecomunicaciones
Innovaciones tecnolgicos de hardware y perifricos
14
Software
Plataforma de software
Sistema operativo
Lenguajes y programas de desarrollo
Programas, paqueteras de aplicacin y bases de datos
Utileras, bibliotecas y aplicaciones
Software de telecomunicacin
Juegos y otros tipos de software
Gestin informtica
Informacin
Diseo de sistemas
Bases de datos
Administracin de datos
Diseo de bases de datos
15
Seguridad
16
El primer paso para realizar una auditoria informtica es definir las actividades necesarias
evaluacin.
Determinar los puntos que sern evaluados en la auditoria: los puntos que deben ser
evaluados debe ser realizado considerando aspectos muy especficos de los sistemas
computacionales.
Elaborar planes, programas y presupuestos: realizar la planeacin formal de la auditoria
informtica, en la cual se concreten los planes, programas y presupuestos para dicha
auditoria.
Identificar los mtodos, herramientas, instrumentos y procedimientos: determinar los
medios y documentos con los cuales se llevara a cabo la revisin a los sistemas de la
empresa.
Asignar los recursos sistemas computacionales para la auditoria: asignar los recursos que
sern utilizados para realizar la auditoria, de acuerdo a los aspectos ya establecidos con
anterioridad.
17
Realizar las acciones programadas: de acuerdo con el programa de auditoria, cada auditor
tiene que realizar las actividades que le corresponden conforme fueron diseados, en la
cronologa que le fue asignada a cada una, y de acuerdo con los tiempos y recursos que le
corresponde utilizar.
Aplicar los instrumentos y herramientas programadas: conforme a la gua de auditoria, se
tienen que utilizar, uno a uno, los instrumentos y herramientas elegidos para llevar a cabo la
evaluacin, ya sea mediante la recopilacin y anlisis de la informacin, la observacin, las
los responsable de solucionar dichas desviaciones y las posibles fechas para hacerlo.
Elaborar el informe preliminar: el auditor debe elaborar un documento que contenga todas
las desviaciones detectadas. Una vez hecho esto, es obligacin del auditor comentarlas con
las personas que estn involucradas directamente en las desviaciones, a fin de encontrar de
18
Cuestionarios
Entrevistas
Observacin
Conteo fsico (inventario)
Inspeccin
Confirmacin
Comparacin
19
6. CONTROLES EN INFORMTICA
a. Definicin
Es una medida y correccin del desempeo de las actividades de los subordinados para asegurar
que los objetivos y planes de la empresa, diseados para lograrlo, se estn llevando a cabo
(G.J.A.)pag36-42.
b. Funcin
Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de una organizacin
obtengan los objetivos previstos, dentro de los lmites prefijados.
El control es la suma de factores deliberadamente dispuestos por la organizacin con el fin de:
a) Condicionar cada acto, asegurando que sea realizado de un modo determinado.
b) Determinar la medida en que cada acto dio el resultado previsto.
c) Informar los resultados y las eventuales desviaciones, retroalimentando de esta manera todo el
proceso.
c. Proceso Bsico Del Control
Establecimiento de normas
Evaluacin de la actuacin
Correccin de las desviaciones
20
2) Por su estado:
Recomendados
Descartados
Implantados
3) Por Su Efecto:
Disuasivos
De evidencia
Preventivos
Defectivos
Correctivos
Recuperativos
CARACTERSTICAS:
21
Documento de retorno
Endoso
Cancelacin
Contraseas
Definicin de responsabilidades
Confiabilidad del personal
Entrenamiento
Competencia del personal
Mecanizacin
Segregacin de funciones
Documento de envo
Nmeros consecutivos de lote
Cifras de control de cantidades
Cifras de control de numero de documentos
Cifras de control sin significado monetario
Totales de lote
Verificacin de rebasamiento
Verificacin de formato
Verificacin de integridad
Digito verificador
Razonabilidad
Verificacin de validez
Fechas
Verificacin de la digitacin
Aprobacin
Totales de corrida a corrida
22
Igualizacin / comparacin
Clasificacin por antigedad
Cuenta de partidas pendientes de procesarse
Cotejo
Auditoria peridica
Etiquetas
23
administracin presenta en los estados financieros, pues los sistemas que procesan y producen la
informacin contable y financiera son responsabilidad de la administracin y no del auditor, cuyo
principal es dictaminar los estados financieros de la empresa.
El auditor interno es por excelencia un experto en control interno, por consiguiente, est en las
mejores condiciones de participar activamente, como una tarea inherente a la funcin que realiza,
en el desarrollo de sistemas, y su principal contribucin debe ser asegurar, en forma razonable, que
las aplicaciones computarizadas incluyen controles slidos y confiables.
7.2. Su Oportunidad
Como ya se indic, la participacin del auditor interno en el desarrollo de sistemas debe darse
precisamente en el desarrollo del mismo, a efecto de que los controles que se consideran
necesarios, sean incorporados en las diferentes fases o etapas del desarrollo, ya que una vez
funcionando el sistema, es ms difcil y costoso efectuar las modificaciones.
7.3. Aspectos generales
Normalmente la metodologa utilizada para el desarrollo de sistemas consiste en dividir el esfuerzo.
En la construccin del sistema, en etapas o fases que permitan analizar, evaluar, presupuestar y
controlar el proyecto total, en una forma sencilla y segura.
Tales fases o etapas, claramente definidas, pueden clasificarse as:
a). Planificacin del sistema
Investigacin preliminar
Estudio de factibilidad
Planificacin inicial
b) Desarrollo de sistemas
24
Preparacin de la implantacin
Implantacin operativa
Revisin post-implantacin y seguimiento
CAPITULO ll
CASO PRCTICO
25
Seor
Lorenzo Montenegro
Director General
Servicio Econmico, S.A.
De acuerdo con las instrucciones giradas por el consejo de administracin de la empresa que est a
su cargo, me permito remitir a usted el informe de la auditora practicada al centro de cmputo, con
especial nfasis en la administracin, funcionamiento y operacin del sistema de red de la
institucin, misma que se llev a cabo del 2 de septiembre al 5 de octubre de 2015.
De los resultados obtenidos durante la evaluacin me permito informarle a usted las siguientes
observaciones:
1. Existe copias no autorizadas del sistema de facturacin.
2. No se cuenta con Back-ups peridicos de la informacin que se encuentra fuera del sistema.
3. Las computadoras asignadas al personal no cuentan con password de usuario individual.
4. Hay acceso a personas no autorizadas al rea de sistemas sin supervisin del encargado del
rea.
5. No existe polticas ni manuales corporativos.
6. No cuenta con un sistema de seguridad contra incendios.
Las observaciones antes descritas se explican con ms detalles en nuestro anexo de evaluacin del
centro de cmputo.
De acuerdo a las pruebas realizadas a la administracin, funcionamiento y operacin y de acuerdo a
los criterios descritos de evaluacin, me permito concluir que el rea de informtica presenta un
26
nivel de riesgo alto en sus aspectos significativos, su manejo de servicio no es razonable de acuerdo
al manejo proporcionado por la administracin.
27
Que la Gerencia General gire instrucciones al personal que interviene en el proceso con el fin de
adquirir el software con representantes autorizados en el pas con la finalidad de obtener garantas y
licencias originales del mismo y mitigar el riesgo legal existente de acuerdo a la ley citada.
Condicin 2
Se verifico que la compaa no realiza Back-ups peridicos de la informacin que se encuentra
fuera del sistema.
Criterio
Debido a la falta de elaboracin de polticas y resguardo de informacin. Existe el riesgo de la
perdida de informacin.
Recomendacin
La administracin debe estructurar un manual de polticas y procedimientos para la elaboracin de
Back-ups del sistema y de cada computador.
Condicin 3
Al realizar la verificacin de proteccin de archivos de la empresa Servicio Econmico, S.A. Se
comprob que las computadoras asignadas al personal no cuentan con password de usuario
personal.
Criterio
Perdida de la eficiencia y efectividad de la informacin.
Recomendacin
28
29
CONCLUSIN
Toda empresa, pblica o privada que posean sistemas de informacin, debe someterse a un control
estricto de evaluacin. Las habilidades tcnicas requeridas por el auditor en informtica son las de
implantar, ejecutar y comunicar los resultados de la evaluacin en el contexto de la tecnologa de
informacin, de acuerdo con estndares profesionales que gobiernen el objetivo de la auditora.
Se puede decir que Auditoria en Informtica es el conjunto de tcnicas, procedimientos y
actividades, destinadas a analizar y evaluar el funcionamiento de los sistemas informticos de un
ente, por lo que comprende un examen metdico y puntual, con el propsito de mejorar aspectos
como: control y seguridad de sistemas informticos; cumplimiento de la normativa tecnolgica del
ente; control de los planes de contingencia; eficacia y rentabilidad
30
RECOMENDACIN
El auditor debe de estar capacitado para comprender los mecanismos que se desarrollan en un
procesamiento electrnico, tambin debe de estar preparado para enfrentar sistemas
computarizados en los cuales se encuentre la informacin necesaria para auditar, que posea las
herramientas idneas para poder realizar una auditora informtica en cualquier tipo de entidad que
solicite sus servicios profesionales .
Se tiene que tomar en consideracin
experimentando en las instituciones, as como tambin el alto grado de riesgo que esto implica.
31
BIBLIOGRAFA
Prentice Hall
http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/