Trabajo No. 22 Auditoría Informática
-
Upload
raulsantos-gt -
Category
Documents
-
view
227 -
download
1
Transcript of Trabajo No. 22 Auditoría Informática
-
8/16/2019 Trabajo No. 22 Auditoría Informática
1/53
&
UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
FACULTAD DE CIENCIAS ECONÓMICAS
ESCUELA DE AUDITORÍA
SEMINARIO DE CASOS DE AUDITORÍA
SEGUNDO SEMESTRE AÑO 2015
JORNADA NOCTURNA
SALÓN 114, EDIFICIO S-3GRUPO No. 8
“AUDITORÍA INFORMÁTICA”
DOCENTE:
Lic. Carlos Roberto Mauricio García
DOCENTE AUXILIAR:
Lic. Inf. Erwin Rolando Cano Divas
Guatemala, 22 de octubre de 2015
-
8/16/2019 Trabajo No. 22 Auditoría Informática
2/53
&
ÍNDICE
Página
INTRODUCCIÓN I
CAPITULO I “AUDITORÍA INFORMÁTICA” 2
1.1 Antecedentes históricos 2
1.2 Generalidades (Definiciones) 3
1.2.1 Auditoría 3
1.2.3 Sistema de información 3
1.3 Definición de auditoría informática 4
1.4 Auditor informático 4
1.4.1 Perfil del auditor informático 5
1.5 Tipos de auditoría informática 6
1.5.1 Auditoría interna 6
1.5.2 Auditoría externa 7
1.6 Alcance de la auditoría informática 8
1.7 Importancia de la auditoría informática en una empresa 9
1.8 Objetivos de la auditoría informática 9
1.9 Características de la auditoría informática 10
1.10 Clases de auditoría informática 10 1.10.1 Auditoría informática de explotación 10
1.10.2 Auditoría informática de desarrollo o aplicaciones 11
1.10.3 Auditoría informática de sistemas 12
1.10.4 Auditoría informática de comunicaciones y redes 12
1.10.5 Auditoría aplicada al sistema de cómputo 12
1.10.6 Auditoría al Entorno de la computadora 13
1.10.7 Auditoría ISO-9000 a los sistemas computacionales 14
1.11 Beneficios de la auditoría informática 14
1.12 Controles de aplicación 15
1.13 Riesgos informáticos 17
1.13.1 Tipos de riesgos 18
-
8/16/2019 Trabajo No. 22 Auditoría Informática
3/53
&
Página
1.14 Fraude informático 19
1.14.1 Tipos de delitos o fraudes informáticos 19
1.14.2 Medios utilizados para realizar daños lógicos 20
1.14.3 Fraude a través de computadoras 21
1.15 Técnicas utilizadas para perpetrar los fraudes 25
1.16 Aplicación del COBIT en un Auditoría Informática 26
1.16.1 Características: 27
CAPITULO II “METODOLOGÍA PARA REALIZAR AUDITORÍA
INFORMÁTICA” 28
2.1 Planeación de la auditoría 28
2.1.1 Elaborar planes, presupuestos y programas 28
2.1.2 Identificar y seleccionar herramientas, métodos, técnicas y
procedimientos 29
2.1.3 Asignación de los recursos de auditoría y sistemas 31
CAPITULO III “CASO PRÁCTICO” 33
INFORME DE AUDITORÍA INFORMÁTICA 33
CONCLUSIONES 48
RECOMENDACIONES 49
REFERENCIA BIBLIOGRÁFICA 50
E-GRAFÍA 50
-
8/16/2019 Trabajo No. 22 Auditoría Informática
4/53
&
i
INTRODUCCIÓN
El auditor informático ha de velar por la correcta utilización de los amplios recursos
que la empresa coloca en juego para disponer de un eficiente y eficaz, sistema deinformación, para la realización de una auditoría informática eficaz, se debe
entender a la empresa en su más amplio sentido. Todos utilizan la informática para
gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios
económicos y reducción de costos.
Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al
control correspondiente. La importancia de llevar un control de esta herramienta se
puede deducir de varios aspectos.
Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son, a
su vez, erróneos. Este concepto es a veces olvidado por las mismas empresas que
terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes. En este caso interviene la Auditoría
Informática de Datos.
Un Sistema Informático mal diseñado puede convertirse en una herramienta
peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes
recibidas y la modelización de la empresa está determinada por las computadoras
que materializan los Sistemas de Información, la gestión y la organización de laempresa no puede depender de un Software y Hardware mal diseñados. Estos son
solo algunos de los varios inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoría de Sistemas.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
5/53
&
2
CAPITULO I
“AUDITORÍA INFORMÁTICA”
1.1 Antecedentes históricos
La contabilidad financiera a finales del siglo XIX, se profesionaliza, en un principio,
la auditoría se consideró como una rama complementaria de la contaduría pública,
y sólo se dedicaba a examinar los registros contables y la correcta presentación de
los estados financieros de las empresas, pero la necesidad de evaluar los
procedimientos administrativos y aplicar las correcciones necesarias.
Si bien la auditoría se ha llevado a cabo desde que el hombre hizo su aparición,
esta se llevaba de manera empírica, ha sido de gran ayuda para los pueblos
conquistadores, ya que tenían que conocer y dar fe de los tributos que les rendían
los pueblos conquistados, de la corona de española, que con el paso del tiempo se
transformarían en auditores, que vigilaban el pago de quinto real a los reyes de
España.
La auditoría en informática es más reciente, se tiene como antecedente más
cercano a los Estados Unidos de América. En los años cuarenta se empezaron adar resultados relevantes en el campo de la computación, con sistemas de apoyos
para estrategias militares, sin embargo, la seguridad y el control solo le limitada a
dar custodia fiscal a los equipos y a permitir el uso de los mismos solo a personal
altamente calificado.
Con el paso de los años la informática y todos los elementos tecnológicos, que la
rodean han ido creando necesidades, en cada sector social y se han vuelto un
requerimiento permanente para el logro de soluciones.
La Teoría General de Sistemas lleva la atención al carácter dinámico ya la
naturaleza interrelacionada de las empresas, su gestión y su entorno.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
6/53
&
3
Durante mucho tiempo, la ciencia se ha preocupado de explicar los fenómenos
observables reduciéndolos a unidades y elementos independientes unos de otros;
la ciencia contemporánea se centra en el estudio de problemas de organización, de
fenómenos no des agregables en sucesos independientes, de interacciones
dinámicas y, en definitiva, en el estudio de totalidades.
Lo más notable es que esta actitud aparece de forma independiente en distintas
disciplinas científicas. Esta orientación general de la ciencia denota la necesidad de
una nueva disciplina científica, la Teoría General de los Sistemas, cuyo objeto es la
formulación de principios válidos para los sistemas en general, sin que importe la
naturaleza de los elementos integrantes, ni de sus interrelaciones.
1.2 Generalidades (Definiciones)
Entre las generalidades más importantes y comunes de la auditoría en sistemas
tenemos:
1.2.1 Auditoría
Inspección o verificación de la contabilidad de una empresa o una entidad, realizada
por un auditor con el fin de comprobar si sus cuentas reflejan el patrimonio, la
situación financiera y los resultados obtenidos por dicha empresa o entidad en un
determinado ejercicio.
1.2.2 Sistema
Conjunto ordenado de normas y procedimientos que regulan el funcionamiento de
un grupo o colectividad.
1.2.3 Sistema de información
Un sistema de información es un conjunto de elementos orientados al tratamiento y
administración de datos e información, organizados y listos para su uso posterior,
generados para cubrir una necesidad u objetivo.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
7/53
&
4
1.3 Definición de auditoría informática
La auditoría informática, es un proceso llevado a cabo por profesionales
especialmente capacitados, consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. Permiten detectar de forma sistemática el uso de los
recursos y los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos, identificando
necesidades, duplicidades, costos, valor y barreras, que obstaculizan flujos de
información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los
cambios que se deberían realizar para la consecución.
1.4 Auditor informático
El auditor informático ha de velar por la correcta utilización de los amplios recursos
que la empresa pone en juego para disponer de un eficiente y eficaz sistema de
Información.
Además el auditor de sistemas informáticos posee ciertas responsabilidades tales
como:
Verificación del control interno tanto de las aplicaciones como de los Sistemas
de Información, periféricos, etc.
Análisis de la administración de Sistemas de Información, desde un punto de
vista de riesgo de seguridad, administración y efectividad de la administración.
Análisis de la integridad, fiabilidad y certeza de la información a través del
análisis de aplicaciones.
Auditoría del riesgo operativo de los circuitos de información.
https://es.wikipedia.org/wiki/Auditor%C3%ADahttps://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3nhttps://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3nhttps://es.wikipedia.org/wiki/Auditor%C3%ADa
-
8/16/2019 Trabajo No. 22 Auditoría Informática
8/53
&
5
Análisis de la administración de los riesgos de la información y de la seguridad
implícita.
Verificación del nivel de continuidad de las operaciones.
Análisis del Estado del Arte tecnológico de la instalación revisada y las
consecuencias empresariales que un desfase tecnológico puede acarrear.
Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la empresa
También el auditor informático es responsable de establecer los objetivos de
control que reduzcan o eliminen la exposición al riesgo de control interno.
1.4.1 Perfil del auditor informático
El auditor informático como encargado de la verificación y certificación de la
informática dentro de las organizaciones, deberá contar con un perfil que le permita
poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello
debe contar con ciertos elementos:
Conocimientos Generales:
Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada
respecto a las plataformas existentes en la organización. Normas estándares para la auditoría interna.
Políticas organizacionales sobre la información y las tecnologías de información.
Características de la organización respecto a la ética, estructura organizacional,
tipo de supervisión existente, compensación monetaria a los empleados,
extensión de la presión laboral sobre los empleados y la historia de la
organización.
Herramientas:
Herramientas de control y verificación de la seguridad.
Herramientas de monitoreo de actividades, etc.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
9/53
&
6
Técnicas:
Técnicas de evaluación de riesgos
Muestreo
Cálculos pos operación
Monitoreo de actividades
Recopilación de grandes cantidades de información
Verificación de desviaciones en el comportamiento de la data
Análisis e interpretación de evidencia
1.5 Tipos de auditoría informática
Existen dos tipos de auditoría informática:
1.5.1 Auditoría interna
La auditoría Interna es el examen crítico, sistemático y detallado de un sistema de
información de una unidad económica, realizado por un profesional con vínculos
laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir
informes y formular sugerencias para el mejoramiento de la misma. Estos informes
son de circulación interna y no tienen trascendencia a los terceros.
Las auditorías internas son hechas por personal de la empresa. Un auditor interno
tiene a su cargo la evaluación permanente del control de las transacciones y
operaciones y se preocupa en sugerir el mejoramiento de los métodos y
procedimientos de control interno que redunden en una operación más eficiente y
eficaz. Cuando la auditoría está dirigida por Contadores Públicos profesionales
independientes, la opinión de un experto desinteresado e imparcial constituye una
ventaja definida para la empresa y una garantía de protección para los intereses de
los accionistas, los acreedores y el Público. La imparcialidad e independencia
absolutas no son posibles en el caso del auditor interno, puesto que no puede
divorciarse completamente de la influencia de la alta administración, y aunque
mantenga una actitud independiente como debe ser, esta puede ser cuestionada
ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente
-
8/16/2019 Trabajo No. 22 Auditoría Informática
10/53
&
7
debe ser independiente, sino parecerlo para así obtener la confianza del Público. La
auditoría interna es un servicio que reporta al más alto nivel de la dirección de la
organización y tiene características de función asesora de control, por tanto no
puede ni debe tener autoridad de línea sobre ningún funcionario de la empresa, a
excepción de los que forman parte de la planta de la oficina de auditoría interna, ni
debe en modo alguno involucrarse o comprometerse con las operaciones de los
sistemas de la empresa, pues su función es evaluar y opinar sobre los mismos, para
que la alta dirección toma las medidas necesarias para su mejor funcionamiento. La
auditoría interna solo interviene en las operaciones y decisiones propias de su
oficina, pero nunca en las operaciones y decisiones de la organización a la cual
presta sus servicios, pues como se dijo es una función asesora.
1.5.2 Auditoría externa
Aplicando el concepto general, se puede decir que la auditoría Externa es el examen
crítico, sistemático y detallado de un sistema de información de una unidad
económica, realizado por un Contador Público sin vínculos laborales con la misma,
utilizando técnicas determinadas y con el objeto de emitir una opinión independiente
sobre la forma como opera el sistema, el control interno del mismo y formular
sugerencias para su mejoramiento. El dictamen u opinión independiente tiene
trascendencia a los terceros, pues da plena validez a la información generada por
el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos
a tener plena credibilidad en la información examinada.
La Auditoría Externa examina y evalúa cualquiera de los sistemas de información
de una organización y emite una opinión independiente sobre los mismos, pero las
empresas generalmente requieren de la evaluación de su sistema de información
financiero en forma independiente para otorgarle validez ante los usuarios del
producto de este, por lo cual tradicionalmente se ha asociado el término Auditoría
Externa a Auditoría de Estados Financieros, lo cual como se observa no es
totalmente equivalente, pues puede existir Auditoría Externa del Sistema de
-
8/16/2019 Trabajo No. 22 Auditoría Informática
11/53
&
8
Información Tributario, Auditoría Externa del Sistema de Información Administrativo,
Auditoría Externa del Sistema de Información Automático etc.
La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad,
integridad y autenticidad de los estados, expedientes y documentos y toda aquella
información producida por los sistemas de la organización. Una Auditoría Externa
se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de
información examinado con el fin de acompañar al mismo una opinión independiente
que le dé autenticidad y permita a los usuarios de dicha información tomar
decisiones confiando en las declaraciones del Auditor.
Una auditoría debe hacerla una persona o firma independiente de capacidadprofesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una
opinión imparcial y profesionalmente experta a cerca de los resultados de auditoría,
basándose en el hecho de que su opinión ha de acompañar el informe presentado
al término del examen y concediendo que pueda expresarse una opinión basada en
la veracidad de los documentos y de los estados financieros y en que no se imponga
restricciones al auditor en su trabajo de investigación.
Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una
combinación de un conocimiento completo de los principios y procedimientos
contables, juicio certero, estudios profesionales adecuados y una receptividad
mental imparcial y razonable.
1.6 Alcance de la auditoría informática
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoría informática, debe de existir un acuerdo muy preciso entre
auditores y clientes sobre las funciones, las áreas a auditar.
La definición de los alcances de la auditoría compromete el éxito de la misma; el
alcance ha de figurar expresamente en el informe final, de modo que quede
-
8/16/2019 Trabajo No. 22 Auditoría Informática
12/53
&
9
perfectamente determinado no solamente hasta qué punto se ha llegado, sino
cuales materias fronterizas han sido omitidas en dicha auditoría.
Las áreas de la empresa para realizar la auditoría informática, puede ser:
a) A toda la entidad.
b) A un departamento.
c) A un área.
d) A una función.
e) A una sub-función.
1.7 Importancia de la auditoría informática en una empresa
Esta es de vital importancia para el buen desempeño de los sistemas deinformación, ya que proporciona los controles necesarios para que los sistemas
sean confiables y con un buen nivel de seguridad; evaluando la organización de los
centros de información, hardware y software.
La auditoría informática es de gran importancia para mejorar ciertas características
en la empresa como: desempeño, fiabilidad, eficacia, rentabilidad, seguridad y
privacidad de los sistemas de información.
1.8 Objetivos de la auditoría informática
La auditoría informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de
evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.
Entre los objetivos primordiales se encuentran los siguientes:
Conocer la situación actual del área informática.
Asegurar integridad, confidencialidad de la información mediante la
recomendación de seguridades y controles.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
13/53
&
10
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
Minimizar existencias de riesgos en el uso de TI.
Incrementar la satisfacción de los usuarios de los sistemas.
El análisis de la eficiencia de los sistemas informáticos.
La verificación del cumplimiento de la Normativa en este ámbito.
La revisión de la eficaz gestión de los recursos informáticos.
1.9 Características de la auditoría informática
La información de la empresa y para la empresa, se ha convertido en un activo
real de la misma. Por ende, han de realizarse inversiones informáticas, materia
de la que se ocupa la auditoría de inversión informática.
Del mismo modo los sistemas informáticos han de protegerse de modo global y
particular: a ello se debe la existencia de la auditoría de seguridad informática
en general, o a la auditoría de seguridad de alguna de sus áreas.
Cuando se produzca cambios estructurales en la informática, se reorganiza de
alguna forma su función: se está en el campo de la auditoría de organización
informática.
1.10 Clases de auditoría informática
Dentro de las áreas generales, se establecen las siguientes divisiones de auditoría
informática: de explotación, de sistemas, de comunicaciones y de desarrollo de
proyecto.
Estas son las áreas específicas de la auditoría informática.
1.10.1 Auditoría informática de explotación
La explotación informática se ocupa de producir resultados informáticos de tipo:
listados impresos, ficheros soportados magnéticamente para otros informáticos,
ordenes automatizadas para lanzas o modificar procesos industriales.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
14/53
&
11
Para realizar la explotación informática se dispone de una materia prima, que es la
información, datos de la empresa, que es necesario transformar, y que se someten
previamente a controles de integridad y calidad.
1.10.2 Auditoría informática de desarrollo o aplicaciones
El análisis de basa en cuatro aspectos fundamentales:
1. Revisión de las metodologías revisadas: se analizaran éstas, de modo que se
asegure las posibles futuras ampliaciones de la aplicación y el fácil
mantenimiento de las mismas.
2. Control interno de las aplicaciones: se deberán revisar las mismas fases que
presuntamente han debido seguir el área correspondiente de desarrollo, loscontroles internos de aplicación son los siguientes:
Estudio de vialidad de la aplicación
Definición lógica de aplicación
Desarrollo técnico de la aplicación
Diseño de programas
Métodos de pruebas
Documentación Equipo de programación
3. Satisfacción de usuarios: una aplicación técnicamente eficiente y bien
desarrollada, deberá considerarse fracasada si no sirve a los intereses del
usuario que la solicitó.
4. Control de procesos y ejecuciones de programas críticos: se ha de comprobar la
correspondencia biunívoca y exclusiva entre el programa codificado y su
compilación. Si los programas fuentes y los programas módulo no coincidieran
podría provocar graves y altos costos de mantenimiento, hasta fraudes, pasando
por acciones de sabotaje, espionaje industrial informativo.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
15/53
&
12
1.10.3 Auditoría informática de sistemas
Se ocupa de analizar la actividad que se conoce como técnicas de sistemas en
todas sus facetas:
1. Sistemas operativos: engloba los subsistemas de teleprocesos, entrada/salida.
Debe verificarse en primero lugar que los sistemas están actualizados con las
últimas versiones del fabricante, indagando las causas de las comisiones si las
hubiera.
2. Software básico: es fundamental para el auditor conocer los productos de
software básico que han sido facturados aparte de la propia computadora. En
cuanto al software desarrollado por el personal informático de la empresa, el
auditor debe verificar que éste no agreda ni condicional al sistema.
3. Administración de base datos: que el diseño de las bases de datos, sean
relaciones o jerárquicas, se han convertido en una actividad muy compleja y
sofisticada. El auditor de base datos deberá analizar los sistemas de
salvaguarda existentes, que competen igualmente a la explotación. El auditor
revisara finalmente la integridad y consistencia de los datos, así como la
ausencia de redundancias entre ellos.
1.10.4 Auditoría informática de comunicaciones y redes
Es la revisión exhausta, específica y especializada de todo el sistema de redes de
la empresa:
1. Arquitectura, topología, protocolos, conexiones, componentes físicos.
2. Seguridad y administración: accesos y privilegios
3. Conectividad, comunicaciones y servicios
4. Sistemas operativos, lenguajes, programas, paquetería, utilerías, bibliotecas.
1.10.5 Auditoría aplicada al sistema de cómputo
Es una auditoría técnica y especializada que se enfoca únicamente a la evaluación
del funcionamiento y uso correcto del equipo de cómputo, hardware, software y
-
8/16/2019 Trabajo No. 22 Auditoría Informática
16/53
&
13
periféricos asociados. Esta auditoría también se realiza a la composición y
arquitectura de las partes físicas y demás componentes del hardware, incluyendo
equipos asociados, instalaciones y comunicaciones internas o externas, así como
al diseño, desarrollo y uso del software de operación, de apoyo y de aplicación, ya
sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo,
o paquetería de aplicación institucional que se utiliza en la empresa donde se
encuentra el equipo de cómputo que será evaluado. Se incluyó también la operación
del sistema.
Permite una revisión técnica y especializada de los sistemas de cómputo, evaluando
todos los componentes, logrando el máximo beneficio del mismo.
Se da por la seguridad lógica, requiere de mucho recurso económico, humano ymaterial, convirtiéndose en una limitante para algunas empresas.
1.10.6 Auditoría al Entorno de la computadora
En este tipo de auditoría se trata de evaluar todo lo que involucra la actividad de los
sistemas computacionales, procurando, de ser posible, dejar a un lado todos los
aspectos especializados, técnicos y específicos de los sistemas, a fin de evaluar
únicamente las actividades vinculadas que se llevan a cabo alrededor de estos.
Es la revisión específica que se realiza a todo lo que está alrededor de un equipo
de cómputo, como son sus sistemas, actividades y funcionamiento, haciendo una
evaluación de sus métodos y procedimientos de acceso y procesamiento de datos,
la emisión y almacenamiento de resultados, las actividades de planeación y
presupuestario del propio centro de cómputo, los aspectos operacionales y
financieros, la gestión administrativa de accesos al sistema, la atención a los
usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas
y, en sí, a todos aquellos aspectos que contribuyen al buen funcionamiento de un
área de sistematización.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
17/53
&
14
1.10.7 Auditoría ISO-9000 a los sistemas computacionales
Las empresas en el mundo ha adoptado la calidad ISO –9000 como parte
fundamental de sus actividades. Por esta razón los sistemas están relacionados
también con este tipo de auditoría de certificación de calidad, las cuales son muy
especializas y específicas en cuanto a los requerimientos establecidos en ellas. La
definición es: la revisión exhaustiva, sistemática y especializada que realizan
únicamente los auditores especializados y certificados en las normas y
procedimientos ISO –9000, aplicando exclusivamente los lineamientos,
procedimientos e instrumentos establecidos por esta asociación. El propósito
fundamental de esta revisión es evaluar, dictaminar y certificar que la calidad de los
sistemas computacionales de una empresa cumpla con los requerimientos del ISO-
9000.
1.11 Beneficios de la auditoría informática
Mejora la imagen pública.
Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre
otros). Genera un balance de los riesgos en TI.
Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
La auditoría informática sirve para mejorar ciertas características en la empresa
como:
Desempeño
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
-
8/16/2019 Trabajo No. 22 Auditoría Informática
18/53
&
15
Generalmente se puede desarrollar en alguna o combinación de las siguientes
áreas:
Gobierno corporativo
Administración del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Protección y Seguridad
Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio
de la auditoría informática ha promovido la creación y desarrollo de mejores
prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems
Auditor es una de las más reconocidas y avaladas por los estándares
internacionales ya que el proceso de selección consta de un examen inicial bastante
extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para
no perder la certificación.
1.12 Controles de aplicaciónEn primer término, los “Controles de aplicación” son aquellos controles que son
aplicables para un determinado proceso de negocio o aplicación, entre ellos
podemos encontrar la edición de registros, segregación de funciones, totales de
control, transacciones y reportes de errores.
El objetivo principal de los controles de aplicación es asegurar:
Que el ingreso de los datos es exacto, completo, autorizado y correcto
Que los datos son procesos en tiempo oportuno
Los datos son almacenados de forma adecuada y completa
Que las salidas del sistema son adecuadas y completas
Que registros son mantenidos para realizar un seguimiento de las entradas y
eventuales salidas del sistema.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
19/53
&
16
En este sentido pueden existir distintos tipos de controles de aplicación como ser:
Controles de Ingreso: los cuales son utilizados para mantener la integridad de
los datos que son ingresados al sistema,
Controles de Procesamiento: estos controles, principalmente automáticos
proveen una manera automática de asegurar que el procesamiento de las
transacciones es completa, adecuado y autorizado.
Controles de salida: básicamente estos controles direccionan a que operaciones
fueron realizadas con los datos. Y comparando también básicamente las salidas
generadas con los ingresos realizados.
Controles de integridad: Estos controles permitan verificar la integridad y
consistencia de los datos procesados.
Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia
identificar hechos inusuales para posterior investigar los mismos.
Adicionalmente como otra clasificación podemos estar encontrando los controles
preventivos, básicamente asociados a los controles automáticos de una aplicación.
Y los controles defectivos, principalmente asociados a controles de aplicación y
manuales posteriores.
Por otro lado tenemos los controles generales del ambiente de cómputo (ITGC).
Estos controles aplican a todos los sistemas, controles y datos.
Los más comunes controles ITGC son:
Acceso lógico sobre infraestructura, aplicaciones y datos,
Controles sobre el desarrollo y ciclo de vida de los aplicativos,
Controles sobre cambios a programas,
Controles sobre seguridad física en los centros de cómputos,
Backup de sistemas y controles de recuperación de datos,
Controles relacionados con operaciones computarizadas.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
20/53
&
17
Un aspecto importante a considerar para el Auditor, es que la confianza que tiene
sobre los Controles de aplicación estará directamente asociada con la confianza
que tendrá en los ITGC. El segundo aspecto a considerar es la complejidad del
ambiente de sistemas que tenga.
Un ambiente menos complejo, tendrá un menor volumen de transacciones, y no
tendremos un gran número de controles inherentes o configurables en que la
gerencia pueda confiar. Un ambiente más complejo requerirá por parte del
Departamento de Auditoría Interna, una mayor evaluación de riesgos, un mayor
conocimiento de los procesos y de las aplicaciones que lo soportan.
1.13 Riesgos informáticosEs importante en toda organización contar con una herramienta, que garantice la
correcta evaluación de los riesgos, a los cuales están sometidos los procesos y
actividades que participan en el área informática; y por medio de procedimientos de
control que puedan evaluar el desempeño del entorno informático.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y
teniendo en cuenta que, una de las principales causas de los problemas dentro del
entorno informático, es la inadecuada administración de riesgos informáticos, esta
información sirve de apoyo para una adecuada gestión de la administración de
riesgos.
¿Que son los riesgos?
El riesgo es una condición del mundo real, en el cual hay una exposición a la
adversidad conformada por una combinación de circunstancias del entorno donde
hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como
atentados y amenazas a los sistemas de información.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
21/53
&
18
“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad
existentes de un activo o grupos de activos, generándoles pérdidas o daños”. 1
Elementos a tener en cuenta para la correcta definición de riesgos:
Administración de riesgos
Valoración de riesgos
1.13.1 Tipos de riesgos
Entre los principales riesgos informáticos podemos mencionar:
a) Riesgos de integridad
En este tipo de riesgo se tomaran en cuenta los siguientes aspectos: Interface del usuario
Procesamiento
Procesamiento de errores
Interface
Administración de cambios
Información
b) Riesgos de relación
Los riesgos de relación se refieren al uso oportuno de la información creada por una
aplicación. Estos riesgos se relacionan directamente a la información de toma de
decisiones.
Riesgos de acceso
Procesos de negocio
Aplicación
Administración de la información
Entorno de procesamiento
Redes
1 Organización Internacional por la Normalización (ISO)
-
8/16/2019 Trabajo No. 22 Auditoría Informática
22/53
&
19
Nivel físico
c) Riesgos de utilidad
Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de
que los problemas ocurran.
d) Riesgos en la infraestructura
Los riesgos más comunes en la infraestructura tenemos:
Planeación organizacional
Definición de las aplicaciones
Administración de seguridad
Operaciones de red y computacionales
Administración de sistemas de bases de datos
Información / negocio
e) Riesgos de seguridad general
Entre los riesgos de seguridad más importantes tenemos:
Riesgos de choque de eléctrico
Riesgos de incendio Riesgos de niveles inadecuados de energía eléctrica.
Riesgos de radiaciones
Riesgos mecánicos
1.14 Fraude informático
Acción culpable realizada por un ser humano que causa un perjuicio a personas sin
que necesariamente se beneficie el autor o que por el contrario produzca unbeneficio ilícito a su autor aunque no perjudique en forma directa o indirecta a la
víctima.
1.14.1 Tipos de delitos o fraudes informáticos
Entre los delitos y fraudes informáticos más comunes tenemos:
-
8/16/2019 Trabajo No. 22 Auditoría Informática
23/53
&
20
a) Sabotaje informático
El término sabotaje informático comprende todas aquellas conductas dirigidas a
eliminar o modificar funciones o datos en una computadora sin autorización, para
obstaculizar su correcto funcionamiento es decir causar daños en el hardware o en
el software de un sistema. Los métodos utilizados para causar destrozos en los
sistemas informáticos son de índole muy variada y han ido evolucionando hacia
técnicas cada vez más sofisticadas y de difícil detección.
b) Conductas dirigidas a causar daños físicos
Esto es cuando la persona que comete el delito causa daños físicos al hardware del
equipo objeto del delito. Aquí el daño físico se puede ocasionar de muchas formas
por la persona que tiene la intención de causar daño. Uso de instrumentos para golpear, romper o quebrar un equipo de cómputo, ya
sea el daño completo o parcial.
Uso de líquidos como café, agua o cualquier líquido que se vierta sobre el equipo
y dañe las piezas y componentes electrónicos.
c) Conductas dirigidas a causar daños lógicos
Esto comprende los daños causados a la información y todos los medios lógicos delos cuales se vale un sistema de cómputo para funcionar adecuadamente.
Por ejemplo, dañar la información contenida en unidades de almacenamiento
permanente, ya sea alterando, cambiando o eliminando archivos; mover
configuraciones del equipo de manera que dañe la integridad del mismo; atentar
contra la integridad de los datos pertenecientes al dueño del equipo de cómputo y
todas formas de ocasionar daños en la parte lógica de un sistema de cómputo.
1.14.2 Medios utilizados para realizar daños lógicos
Los medios que más se utilizan para haces daños informáticos son:
Virus: es una serie de claves programáticas que pueden adherirse a los
programas legítimos y propagarse a otros programas informáticos. Un virus
-
8/16/2019 Trabajo No. 22 Auditoría Informática
24/53
&
21
puede ingresar en un sistema por conducto de una pieza legítima de soporte
lógico que ha quedado infectada, así como utilizando el método del caballo de
troya.
Gusanos: se fabrican de forma análoga al virus con miras a infiltrarlo en
programas legítimos de procesamiento de datos o para modificar o destruir los
datos, pero es diferente del virus porque no puede regenerar. En términos
médicos podría decirse que un gusano es un tumor benigno, mientras que el
virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un
gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un
programa gusano que subsiguientemente se destruirá puede dar instrucciones
a un sistema informático de un banco para que transfiera continuamente dineroa una cuenta ilícita.
Bomba lógica o cronológica: exige conocimientos especializados ya que
requiere la programación de la destrucción o modificación de datos en un
momento dado del futuro.
Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles dedetectar antes de que exploten; por eso, de todos los dispositivos informáticos
criminales, las bombas lógicas son las que poseen el máximo potencial de daño.
1.14.3 Fraude a través de computadoras
Cuando la computadora es el medio para realizar y maquinar fraudes por una
persona, se considera un delito.
Manipulación de los datos de entrada
Este tipo de fraude informático conocido también como sustracción de datos,
representa el delito informático más común ya que es fácil de cometer y difícil de
descubrir. Este delito no requiere de conocimientos técnicos de informática y
-
8/16/2019 Trabajo No. 22 Auditoría Informática
25/53
&
22
puede realizarlo cualquier persona que tenga acceso a las funciones normales
de procesamiento de datos en la fase de adquisición de los mismos.
Manipulación de programas
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el
delincuente debe tener conocimientos técnicos concretos de informática. Este
delito consiste en modificar los programas existentes en el sistema de
computadoras o en insertar nuevos programas o nuevas rutinas. Un método
común utilizado por las personas que tienen conocimientos especializados en
programación informática es el denominado caballo de troya, que consiste en
insertar instrucciones de computadora de forma encubierta en un programa
informático para que pueda realizar una función no autorizada al mismo tiempoque su función normal.
Manipulación de los datos de salida
Se efectúa fijando un objetivo al funcionamiento del sistema informático. El
ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos
mediante la falsificación de instrucciones para la computadora en la fase de
adquisición de datos.
Estafas electrónicas
El hacer compras en línea mediante el uso de internet o alguna red de servicio,
y no cumplir con lo establecido en el acuerdo de compra en entregar el producto
de forma completa o parcial se considera fraude, lo que es muy común al hacer
compras por internet donde se requiere pagar a la cuenta de alguna persona
antes de recibir el pedido.
Pesca u olfateo de contraseñas
Hacer uso de programas o métodos que puedan descifrar claves o que puedan
averiguar o buscarlas. Ya sean claves personales de una cuenta de correo
-
8/16/2019 Trabajo No. 22 Auditoría Informática
26/53
&
23
electrónico, contraseña para entrar al sistema, claves de acceso a algún sitio,
claves de productos, etc.
Juegos de azar
Los juegos de azar son aquellos juegos de casino o que hacen uso del factor
"suerte". Para obtener ganancias a través de la red, donde se hacen apuestas o
inversiones de dinero.
Esto está prohibido en ciertos lugares, países o regiones, así que solo aplica
para ellos. Pues dependiendo de la ley que tengan en esos lugares, puede o no
ser un delito. Y si se sorprende a una persona obteniendo ganancias producto
de los juegos de azar, se hallará como cometiendo un delito.
Lavado de dinero
Poner a funcionar el dinero producto del narcotráfico, o producto de estafas,
robos, fraudes o cualquier actividad ilegal. Pues este dinero lo invierten en
alguna actividad que aparenta no tener nada de malo, y lo que se obtiene es
producto de la inversión de dinero mal obtenido, por lo que no está permitido el
lavado de dinero.
Copia ilegal de software
Esta puede entrañar una pérdida económica sustancial para los propietarios
legítimos. Algunas jurisdicciones han tipificado como delito esta clase de
actividad y la han sometido a sanciones penales. El problema ha alcanzado
dimensiones transnacionales con el tráfico de esas reproducciones no
autorizadas a través de las redes de telecomunicaciones modernas. Al respecto,
consideramos, que la reproducción no autorizada de programas informáticos no
es un delito informático debido a que el bien jurídico a tutelar es la propiedad
intelectual.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
27/53
&
24
Espionaje informático
El acceso se efectúa a menudo desde un lugar exterior, situado en la red de
telecomunicaciones, recurriendo a uno de los diversos medios que se
mencionan a continuación. El delincuente puede aprovechar la falta de rigor de
las medidas de seguridad para obtener acceso o puede descubrir deficiencias
en las medidas vigentes de seguridad o en los procedimientos del sistema. A
menudo, los piratas informáticos se hacen pasar por usuarios legítimos del
sistema; esto suele suceder con frecuencia en los sistemas en los que los
usuarios pueden emplear contraseñas comunes o contraseñas de
mantenimiento que están en el propio sistema.
Infracción del copyright en bases de datosEs la infracción de los derechos reservados del autor, ya que todo producto de
marca tiene sus derechos y el infringir y violar la información de las bases de
datos, ya sea ver, copiar, borrar, alterar es también un delito.
Uso ilegítimo de sistemas informáticos ajenos
El usar un sistema informático de manera prohibida o incorrecta fuera del
propósito para el que fueron creados, o para obtener ganancias a su autor o solopor cometer actos ilegítimos en contra de alguien o algún sistema.
Accesos no autorizados
El acceder a información, sitios o secciones que no están autorizadas a usuarios
comunes sino solo a aquellos que tienen autorización. Acceso indebido. El que
sin la debida autorización o excediendo la que hubiere obtenido, acceda,
intercepte, interfiera o use un sistema que utilice tecnologías de información,
será penado con prisión de uno a cinco años de cárcel.
Interceptación de e-mail
Al enviar mensajes y correo electrónico a través de la red, e interceptar esos
mensajes y desviarlos o eliminarlos, es un delito. También esto podría entrar con
-
8/16/2019 Trabajo No. 22 Auditoría Informática
28/53
&
25
los delitos de espionaje y podrían acumularse por lo que la sentencia sería
mayor. Aún más podría aumentarse cuando hay una demanda por parte del
afectado si logra comprobarse.
1.15 Técnicas utilizadas para perpetrar los fraudes
Entre las técnicas más utilizadas encontramos:
a) La técnica del caballo de troya.
Consiste en insertar instrucciones, con objetivos de fraude, en los programas
aplicativos, de manera que, además de las funciones propias del programa, también
ejecute funciones no autorizadas.
Las instrucciones fraudulentas se esconden dentro de las demás, obteniendoacceso libre a los archivos de datos, normalmente usados por el programa.
Esta técnica es muy común debido a la facilidad que se presenta para ocultar las
instrucciones fraudulentas dentro de cientos de instrucciones que generalmente
componen los programas aplicativos.
b) Técnica del taladro.
Consiste en utilizar una computadora para llamar o buscar la manera de entrar al
sistema con diferentes códigos hasta cuando uno de ellos resulte aceptado y
permita el acceso a los archivos deseados.
Mediante e del sistema de ensayo permanente se descubren las contraseñas del
sistema para entrar a los archivos y extraer información, en forma fraudulenta.
c) Agujeros del sistema operativo o trampas-puerta.
Son deficiencias del sistema operacional, desde las etapas de diseño original. Los
expertos programadores del sistema pueden aprovechar las debilidades del sistema
operacional para insertar instrucciones no autorizadas, en dicho sistema, con el
objeto de configurar fraudes informáticos. Las salidas del sistema operacional
permiten el control a programas escritos, por el usuario, lo cual facilita la
operacionalizacion de fraudes.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
29/53
&
26
d) Recolección de basura
La recolección de basura es una técnica para obtener información abandonada o
alrededor del sistema de computación, después de la ejecución de un trabajo.
e) Juego de la pizza.
Es un método relativamente fácil para lograr el acceso no autorizado a los centros
de PED, así estén adecuadamente controlados.
Consiste en que un individuo se hace pasar por la persona que entrega la pizza y
en esa forma se garantiza la entrada a las instalaciones de PED durante y después
de las horas de trabajo.
f) Bombas de relojería o bombas lógicas.Las bombas lógicas son una técnica de fraude, en ambientes computarizados, que
consiste en diseñar e instalar instrucciones fraudulentas en el software autorizado,
para ser activadas cuando se cumpla una condición o estado específico.
Esta técnica de fraude, es difícil de descubrir, porque mientras no sea satisfecha la
condición o estado especifico, el programa funciona normalmente procesando los
datos autorizados sin arrojar sospecha de ninguna clase.
g) Superzapping.
Deriva su nombre de superzap, un programa utilitario de ibm de un alto riesgo por
sus capacidades. Permite adicionar, modificar y eliminar registros de datos, datos
de registros o agregar caracteres dentro de un archivo maestro, sin dejar rastro y
sin modificar ni corregir los programas normalmente usados para mantener el
archivo.
1.16 Aplicación del COBIT en un Auditoría Informática
El trabajo que se realiza en la auditoría informática debe contar con un marco de
referencia metodológico, así como con gente altamente capacitada. Una auditoría
mal hecha puede acarrear consecuencias drásticas económicamente para la
organización auditada.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
30/53
&
27
Por lo anterior, se puede afirmar que el éxito de un organismo depende de los
controles de evaluación de la eficacia y eficiencia de sus sistemas de TI. Hoy en
día, las organizaciones estructuran su información en sistemas de TI, debido a ello,
es de vital importancia que éstos funcionen de forma correcta e ininterrumpida para
la productividad y supervivencia futura de una organización.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las
computadoras personales, mini computadoras y ambientes distribuidos.
Está basado en la filosofía de que los recursos de TI necesitan ser administrados
por un conjunto de procesos naturalmente agrupados para proveer la información
pertinente y confiable que requiere una organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional yactualizado de objetivos de control para tecnología de información que sea de uso
cotidiano para gerentes y auditores
1.16.1 Características:
Entre las características más esenciales tenemos:
Orientado al negocio
Alineado con estándares y regulaciones "de facto" Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA,
AICPA)
-
8/16/2019 Trabajo No. 22 Auditoría Informática
31/53
&
28
CAPITULO II
“METODOLOGÍA PARA REALIZAR AUDITORÍA INFORMÁTICA”
2.1 Planeación de la auditoría
Esta se logra mediante una adecuada organización, en la cual se deben de
identificar claramente las razones por las que se va a realizar la auditoría y la
determinación del objetivo de la misma.
Se inicia el estudio de esta etapa de planeación con los siguientes puntos:
Identificar el origen de la auditoría.
Realizar una visita preliminar al área que será evaluada. Establecer los objetivos de la auditoría.
Determinar los puntos que serán evaluados en la auditoría.
Elaborar planes, programas y presupuestos para realizar la auditoría.
Identificar y seleccionar los métodos, procedimientos, instrumentos y
herramientas necesarios para la auditoría.
Asignar los recursos y sistemas computacionales para la auditoría.
2.1.1 Elaborar planes, presupuestos y programas
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir
una serie de pasos previos que permitirán dimensionar el tamaño y características
de área dentro del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, habrá que
hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
32/53
&
29
Para hacer una planeación eficaz, lo primero que se requiere es obtener información
general sobre la organización y sobre la función de informática a evaluar. Para ello
es preciso hacer una investigación preliminar y algunas entrevistas previas, con
base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo,
personal necesario y documentos auxiliares a solicitar o formular durante el
desarrollo de la misma.
2.1.2 Identificar y seleccionar herramientas, métodos, técnicas y
procedimientos
a) Cuestionarios
Las auditorías informáticas se materializan recabando información y documentación
de todo tipo. Los informes finales de los auditores dependen de sus capacidades
para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El
trabajo de campo del auditor consiste en lograr toda la información necesaria para
la emisión de un juicio global objetivo, siempre amparado en hechos demostrables,
llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de
cuestionarios pre impresos que se envían a las personas concretas que el auditorcree adecuadas, sin que sea obligatorio que dichas personas sean las responsables
oficiales de las diversas áreas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas,
sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo
y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de
modo que tal análisis determine a su vez la información que deberá elaborar el
propio auditor. El cruzamiento de ambos tipos de información es una de las basesfundamentales de la auditoría.
b) Entrevistas
El auditor comienza a continuación las relaciones personales con el auditado. Lo
hace de tres formas:
-
8/16/2019 Trabajo No. 22 Auditoría Informática
33/53
&
30
Mediante la petición de documentación concreta sobre alguna materia de su
responsabilidad.
Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
método estricto de sometimiento a un cuestionario.
Por medio de entrevistas en las que el auditor sigue un método preestablecido
de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en
ellas, éste recoge más información, y mejor matizada, que la proporcionada por
medios propios puramente técnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y
auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que haceun auditor, interroga y se interroga a sí mismo. El auditor informático experto
entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversación correcta y lo menos tensa
posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas
variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella
debe existir una preparación muy elaborada y sistematizada, y que es diferente para
cada caso particular.
c) Checklist
El auditor profesional y experto es aquél que reelabora muchas veces sus
cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita
saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis,
cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada.
d) Trazas y/o huellas
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
34/53
-
8/16/2019 Trabajo No. 22 Auditoría Informática
35/53
&
32
Recursos materiales hardware: los recursos hardware que el auditor necesita son
proporcionados por el cliente. Los procesos de control deben efectuarse
necesariamente en las Computadoras del auditado.
Para lo cual habrá de convenir el, tiempo de máquina, espacio de disco, impresorasocupadas, etc.
b) Recursos humanos
La cantidad de recursos depende del volumen auditable. Las características y
perfiles del personal seleccionado dependen de la materia auditable.
Es igualmente señalable que la auditoría en general suele ser ejercida por
profesionales universitarios y por otras personas de probada experienciamultidisciplinaria.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
36/53
&
33
CAPITULO III
“CASO PRÁCTICO”
INFORME DE AUDITORÍA INFORMÁTICA
-
8/16/2019 Trabajo No. 22 Auditoría Informática
37/53
&
34
DISTRIBUIDORA HELADITOS S.A.
INFORME DE CONTROL INTERNO
PERIODO DEL 01 DE ENERO AL 31 DE
MARZO DE 2015
-
8/16/2019 Trabajo No. 22 Auditoría Informática
38/53
&
35
ÍNDICE DE CONTENIDO
Deficiencia No. 01 Equipos de Cómputo con Licencias Instaladas sin Autorización y
Carencia de Software de Prevención
Deficiencia No. 02 Acceso Ilimitado a Internet
Deficiencia No. 03 Implementación de Extintores y Dispositivos Detectores de HumoDeficiencia No. 04 Falta de Manual de Normas y Procedimientos
Deficiencia No. 05 Deficiente Control del Inventario de Equipos de Computo
Deficiencia No. 06 El Personal tiene bajo su Responsabilidad Equipo de Cómputo
no Rotulado y Tarjetas de Responsabilidad Desactualizadas
Deficiencia No. 07 Falta de Personal en el Departamento de Informática
Deficiencia No. 08 Falta de Inducción y Capacitación al Personal
Deficiencia No. 09 Acceso y Seguridad del Departamento de Informática y Data
Center
Deficiencia No. 10 Cableado no Identificado y Ausencia de Seguridad Preventiva
Deficiencia No. 11 Falta de Mantenimiento en los Equipos Informáticos
Deficiencia No. 12 Los Nombres de los Equipos de Cómputo no coinciden con las
Direcciones IP Asignadas por el Departamento de Informática
-
8/16/2019 Trabajo No. 22 Auditoría Informática
39/53
&
36
INFORME DE AUDITORES INDEPENDIENTES
Señores
Consejo de Administración
Distribuidora Heladitos, S.A.
Hemos efectuado la revisión al área de Tecnología de Información de la
Distribuidora Heladitos, S.A., por el período comprendido del 01 de enero al 15 de
marzo de 2015. Los resultados de nuestra evaluación presentaron condiciones que
consideramos reportables de conformidad con Normas Internacionales de Auditoría,las cuales estamos presentando a continuación.
DEFICIENCIAS DE CONTROL INTERNO
DEFICIENCIA No. 01
EQUIPOS DE CÓMPUTO CON LICENCIAS INSTALADAS SIN AUTORIZACIÓN
Y CARENCIA DE SOFTWARE DE PREVENCIÓN
Se determinó que los treinta y nueve (39) equipos de cómputo evaluados en
Oficinas Centrales de Distribuidora Heladitos, S.A, no poseen licencias originales
del Software Microsoft Office, así como del antivirus en los equipos, los cuales se
detallan a continuación:
-
8/16/2019 Trabajo No. 22 Auditoría Informática
40/53
&
37
-
8/16/2019 Trabajo No. 22 Auditoría Informática
41/53
&
38
RECOMENDACIÓN
Se sugiere que el Jefe del Departamento de Informática desinstale las versiones de
Microsoft Office que carecen de licencia original. Adicionalmente se realicen las
gestiones correspondientes para adquirir la versión original del mismo e instalarlo
en el equipo; así como, la herramienta correspondiente para mitigar los riesgos a
los cuales están expuestos al carecer de antivirus y firewall. Asimismo se
recomienda implementar este control para las tiendas derivado que muchas no
cuentan ni con las licencias de Office.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación propuesta, y se acordó desinstalar las versiones de
Office sin licencia, así mismo se implementar el sistema Linux en su versión gratuitaen todos los equipos.
DEFICIENCIA No. 02
ACCESO ILIMITADO A INTERNET
Se determinó que los treinta y nueve (39) equipos de cómputo evaluados en
Oficinas Centrales de Distribuidora HELADITOS, S.A., tienen acceso ilimitado a
internet, siendo estos los mismos citados en la DEFICIENCIA No. 01, en el cual se
detallan los nombres de los equipos así como su dirección IP.
RECOMENDACIÓN
Se recomienda que el Jefe del Departamento de Informática aplique una medida
control, que bloquee las páginas innecesarias o que representen riesgo para la
información y otorgue permisos de navegación únicamente a los usuarios que
justifiquen su utilización.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación, y el Jefe del Departamento de Informática decidió
modificar los perfiles, brindando permisos de red de acuerdo a las necesidades del
cargo.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
42/53
&
39
DEFICIENCIA No. 03
IMPLEMENTACIÓN DE EXTINTORES Y DISPOSITIVOS DETECTORES DE
HUMO
El Departamento de Informática carece de extintores, lo que ocasiona que las redes
de información y equipo de cómputo corran el riesgo de destrucción total o parcial
debido a que son vulnerables a incendios, corto circuitos entre otros fenómenos
naturales o accidentes.
También es importante mencionar que las tiendas no cuentan con dispositivos que
detecten el humo y/o fuego para que alerten la existencia de dichos casos y evitar
que ocurra una pérdida lamentable de los activos.
RECOMENDACIÓN
Gerente Administrativo y/o Encargado de seguridad Industrial, debe coordinar las
acciones necesarias para reubicar el extintor que se encuentra en oficinas centrales
en el cuarto nivel debido a que se encuentra lejos del alcance del Departamento de
Informática o en su caso, comprar extintores que se puedan colocar en las áreas
vulnerables a incendios y con ello prevenir y asegurar el resguardo de los activos.
Así mismo se recomienda la instalación de detectores de humo en las tiendas.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación, y el Gerente Administrativo realizará la gestión para
la compra de extintores que se utilizarán en el Departamento de Informática así
como para cada una de las tiendas del área metropolitana.
DEFICIENCIA No. 04
FALTA DE MANUAL DE NORMAS Y PROCEDIMIENTOS
Los trabajadores no poseen manuales de normas y procedimientos para el uso
adecuado de los sistemas. Esto puede causar falla en la implementación de algún
procedimiento o crear confusiones en otros, provocando que los resultados finales
no sean los esperados.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
43/53
&
40
RECOMENDACIÓN
Se recomienda que la Administración de la Empresa apruebe e instruya que se
implementen manuales de normas y procedimientos que permita mejorar la
utilización de los sistemas y a su vez, mejore su funcionamiento.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación propuesta y se contratará a un Asesor Informático para
crear el manual de los sistemas con los que opera la empresa y posteriormente se
darán a conocer a los empleados para su implementación.
DEFICIENCIA No. 05
DEFICIENTE CONTROL DEL INVENTARIO DE EQUIPOS DE CÓMPUTOEl encargado de los Inventarios Informáticos, de Distribuidora HELADITOS, S.A.,
Oficinas Centrales, no cuenta con controles efectivos que permitan determinar de
forma oportuna y exacta el inventario de equipo informático que posee dicha
entidad, esta situación se evidencia debido que en el edificio de Oficinas Centrales,
el encargado de activos, carece de un inventario de los equipos informáticos
actualizado, en donde se verifiquen datos de vital importancia como serie, marca y
modelo; de igual forma en las tiendas evaluadas los inventarios se encuentran
desactualizados como consecuencia de la poca comunicación existente entre los
encargados, ya que se verificó que no se notifica las altas y bajas de los activos
informáticos.
RECOMENDACIÓN
La administración de la empresa debe crear una política para la toma física del
inventario de Activos Informáticos, en el cual designe a una o dos personas para
que lo realicen periódicamente, dichas personas deben tomar en consideración
datos que son de vital importación, como: código de activo, descripción, marca,
modelo, número de serie, color, ubicación, responsable y observaciones.
La administración de la empresa debe crear un modelo pre-impreso para el control
adecuado de las bajas y altas de los Activos Informáticos. Los encargados del
-
8/16/2019 Trabajo No. 22 Auditoría Informática
44/53
&
41
levantamiento del inventario de equipos informáticos deben tener una comunicación
constante y fluida para tener un adecuado control de los equipos informáticos tanto
en oficinas centrales como en las sesenta y un (61) tiendas de la república.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación propuesta, y se acordó la creación de políticas para
los equipos de cómputo tomando en cuenta, la toma física de inventarios así como
las altas y bajas de los mismos, además la implementación de sus documentos de
respaldo y su resguardo respectivo.
DEFICIENCIA No. 06
EL PERSONAL TIENE BAJO SU RESPONSABILIDAD EQUIPO DE COMPUTONO ROTULADO Y TARJETAS DE RESPONSABILIDAD DESACTUALIZADAS
Se observó que el equipo de cómputo de los Departamentos de Contabilidad e
Informática de Oficinas centrales, Distribuidora HELADITOS, S.A., no tienen rótulos
de identificación, además el personal posee tarjetas de responsabilidad
desactualizadas, de igual forma se verificó que las tiendas visitadas cuentan con
equipo no rotulado y sus tarjetas de responsabilidad carecen de información de vital
importancia para el buen control de los equipos de cómputo.
RECOMENDACIÓN
La administración debe crear políticas para que todos los equipos informáticos de
la Distribuidora HELADITOS, S.A. posean un código o rotulación adecuada y que
esta no sea vulnerable a que se quiebre, caiga o deteriore. Todos los equipos
informáticos deben tener su tarjeta de responsabilidad por individual, dicha tarjeta
debe contener como mínimo: código de activo, descripción del activo, marca,
modelo, número de serie, color, ubicación y responsable.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
45/53
&
42
COMENTARIO DEL CLIENTE
Se aceptó la recomendación y se crearán las políticas necesarias para el debido
control e identificación del equipo de cómputo así como la actualización de sus
descripciones en las tarjetas de responsabilidad.
DEFICIENCIA No. 07
FALTA DE PERSONAL EN EL DEPARTAMENTO DE INFORMÁTICA
Se determinó que el personal del Departamento de Informática es insuficiente para
la demanda que actualmente muestra la Distribuidora HELADITOS, S.A., debido a
que dos personas deben darle soporte y mantenimiento a oficinas centrales y
sesenta y uno (61) tiendas a lo largo de la República, lo cual ocasiona un riesgo de
control y como consecuencia el atraso de actividades asignadas y sobrecarga defunciones.
RECOMENDACIÓN
Que el Departamento de Recursos Humanos gestione la contratación de personal
para el Departamento de Informática, con el objeto de fortalecer la adecuada
consecución de procesos de las mismas y mitigar el riesgo de control existente.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación, y el Departamento de Recursos Humanos, se
comprometió a planificar la contratación de personal para el próximo semestre.
DEFICIENCIA No. 08
FALTA DE INDUCCIÓN Y CAPACITACIÓN AL PERSONAL
El personal que labora en la Distribuidora HELADITOS, S.A., no recibe
capacitaciones constantemente, debido a la falta de planificación por parte de las
autoridades que tienen a su cargo, lo que puede ocasionar la realización de
procesos desactualizados y crear confusión en los procedimientos que debe cumplir
el personal, ya que impide el desarrollo de sus capacidades y aptitudes en cuanto
al desempeño de las funciones que tiene a su cargo.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
46/53
&
43
RECOMENDACIÓN
Coordinar con el Departamento de Recursos Humanos la realización de dos (02)
capacitaciones anuales como mínimo para el personal, con el objetivo de
incrementar la productividad y que el mismo sea más competitivo y eficiente,
actualizando sus conocimientos en cuanto a la utilización de herramientas que le
ayuden a desempeñar sus funciones de manera adecuada y eficaz; proporcionando
personal altamente calificado en términos de conocimiento, habilidades y
compromiso hacia la institución.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación, y se realizarán capacitaciones constantes para el
personal de la institución en todos sus niveles.
DEFICIENCIA No. 09
ACCESO Y SEGURIDAD DEL DEPARTAMENTO DE INFORMÁTICA Y DATA
CENTER
El Departamento de Informática mantiene las puertas abiertas, permitiendo el
ingreso del personal y particulares a las instalaciones del mismo, por otra parte se
determinó que el área de servidores ubicada adentro del Departamento carece de
un sistema de circuito cerrado el cual permita controlar la seguridad del mismo.
RECOMENDACIÓN
Se recomienda establecer políticas de seguridad en el Departamento de Informática
y área de servidores, las cuales limiten el ingreso del personal no autorizado,
asimismo la implementación de cámaras de seguridad adentro y afuera del cuarto
de servidores.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación propuesta y se gestionara la adquisición de un sistema
de circuito cerrado para el Departamento de Informática, así mismo la creación de
políticas de seguridad para el ingreso y egreso del personal ha dicho departamento.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
47/53
&
44
DEFICIENCIA No. 10
CABLEADO NO IDENTIFICADO Y AUSENCIA DE SEGURIDAD PREVENTIVA
Se estableció que el cableado estructurado de red conectado al Conmutador
Principal, no cuenta con su respectiva identificación, canaletas y orden, asimismo
se observó la ausencia de un sistema de seguridad de alimentación ininterrumpida
UPS. Por otra parte, en el muestreo realizado en las tiendas, se observó que los
cables de los dispositivos de computo se encuentran desordenados (cables UTP) y
en algunos casos, cables que conducen electricidad, quebrados y pelados, lo cual
puede causar un corto circuito, además de ser una condición insegura para el
personal que labora en la instalaciones. También se verifico que los UPS instalados
no funcionan.
RECOMENDACIÓN
Se recomienda que el Departamento de Informática realice el mantenimiento
preventivo del cableado de los equipos de cómputo y de red, asimismo verifique la
funcionalidad de los UPS en oficinas centrales y en tiendas de Distribuidora
HELADITOS, S.A.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación y se planificarán mantenimientos continuos al cableado
de red, así como evaluaciones periódicas a los UPS para determinar su
funcionalidad.
DEFICIENCIA No. 11
FALTA DE MANTENIMIENTO EN LOS EQUIPOS INFORMÁTICOS
Se observó polvo en el equipo de cómputo, motivo por el cual se determinó que los
dispositivos y componentes informáticos no reciben mantenimiento preventivo
adecuado, asimismo el personal indico que el equipo de cómputo no recibía
mantenimiento por parte del técnico de Informática desde hace seis meses. Se
verifico que todos los equipos se encuentran vulnerables a derrames de bebidas y
alimentos en sus áreas de trabajo.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
48/53
&
45
RECOMENDACIÓN
Se sugiere que el Departamento de Informática realice una programación periódica
de limpieza y mantenimiento preventivo del equipo de cómputo ubicado en las
oficinas centrales y puntos de venta (Tiendas), el cual establezca la fecha en que
se efectuara el servicio, nombre del técnico y firma del usuario, asimismo se
recomienda la elaboración de una política en la cual se prohíba el consumo de
alimentos cerca de los equipos informáticos.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación y se realizará un plan de limpieza y mantenimiento en
los equipos, asimismo se establecerán políticas de prevención en los mismos.
DEFICIENCIA No. 12
LOS NOMBRES DE LOS USUARIOS DE LOS EQUIPOS DE CÓMPUTO NO
COINCIDEN CON LAS DIRECCIÓNES IP ASIGNADAS POR EL
DEPARTAMENTO DE INFORMATICA
Por medio del muestreo realizado en el Departamento de contabilidad contra el
mapeo de direcciones IP proporcionado por el personal de Informática, se determinó
que este reporte no se encuentra actualizado, puesto que ocho (8) equipos cuentan
una IP diferente y uno (1) de estos no aparece registrado en el reporte antes
mencionado, asimismo los usuarios a los que se encuentran asignados no
concuerdan con las personas que los poseen.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
49/53
&
46
RECOMENDACIÓN
El personal de Informática debe realizar una verificación de la información, el cual
proporcione un control detallado que contenga como mínimo la siguiente
información: usuario, nombre del usuario, cargo, área o Departamento en el que
labora y dirección IP asignado, asimismo incluir cualquier cambio (Ingreso de
personal a la red, asignación de usuario al personal de nuevo ingreso, etc.) de formaoportuna.
COMENTARIO DEL CLIENTE
Se aceptó la recomendación propuesta, acordando que el Departamento de
Informática actualizará los campos de usuarios, dirección IP y el nombre de la red
asignada a cada colaborador de la Empresa, así como la implementación de
controles para las altas y bajas de usuarios.
CONCLUSIÓN No. 01
Derivado de las deficiencias mencionadas anteriormente, se concluye la falta de
políticas y manuales de procedimientos que indiquen la forma de operar y resolver
las situaciones presentadas en la Empresa, como lo son la implementación de
-
8/16/2019 Trabajo No. 22 Auditoría Informática
50/53
&
47
tarjetas de responsabilidad actualizadas y adecuadas a las necesidades de los
Departamentos, la correcta rotulación e identificación de los equipos de cómputo
para llevar un efectivo control de los bienes y la falta de personal en el área de
informática que brinde un servicio eficaz para los problemas latentes.
CONCLUSIÓN No. 02
El Departamento de Informática presenta un cuadro de inseguridad alto referente al
acceso de sus servidores, así como vulnerabilidad de cualquier catástrofe, no
cuenta con extintores cercanos al Data Center ni con gabinete de resguardo, el
cableado no está identificado lo que genera un riesgo para la Empresa.
CONCLUSIÓN No. 03El Equipo de cómputo no tiene licencias legales para operar, lo cual puede causar
problemas en caso de una auditoría por parte de los propietarios, así como
presentan un riesgo alto derivado que no cuentan con licencias de antivirus lo cual
facilita la fuga de información y sensibilidad ante los hackers.
F.__________________________
Lic. Hugo Leonel Portillo Samayoa
Auditor Externo
Colegiado No. 110575
Guatemala 04 de mayo del 2015
-
8/16/2019 Trabajo No. 22 Auditoría Informática
51/53
&
48
CONCLUSIONES
En un mundo globalizado la economía crea una interconexión cada vez mayor entre
las organizaciones y sus sistemas de información. La sensibilidad y valor de los
datos reunidos y procesados por estos sistemas y las amenazas constantes que
enfrentan hacen al rol de los profesionales de la auditoría y aseguramiento de
sistemas informáticos más importantes que nunca. Los estándares mundialmente
reconocidos por diversas instituciones ofrecen una base para ayudar a asegurarse
de que se puede confiar en la información y en los sistemas.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles
y procedimientos informativos más complejos, desarrollando y aplicando técnicas
mecanizadas de auditoría, incluyendo el uso del software, en muchos casos, ya no
es posible verificar manualmente los procedimientos informatizados que resumen,
calculen y clasifiquen datos, por lo que se deberá emplear software de auditoría y
otras técnicas.
El auditor que realice la auditoría de sistemas debe aplicar en el desarrollo del
trabajo las técnicas, herramientas y pruebas necesarias con el propósito de detectar
las áreas que tienen problemas dentro de una entidad y así mismo se busca la
aplicabilidad de las pruebas para tener los fundamentos suficientes para la emisión
de la opinión.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
52/53
&
49
RECOMENDACIONES
Utilizar y aplicar como parte de la auditoría interna en las empresas los estándares
creados por diversos organismos con el objetivo que la entidad tenga un grado de
aseguramiento en relación a la área de informática lo cual contribuirá a cumplir con
los objetivos de la administración es por eso que el trabajo del gobierno de IT deber
estar enfocado a tener un desempeño sostenido considerando que con un control
adecuado pueden prevenir significativamente los riesgos a los que se está expuesto
debido al constante desarrollo de la tecnología.
El auditor debe de revisar y juzgar los controles implantados en los sistemas
informativos para verificar su adecuación a las órdenes e instrucciones de la
dirección, requisitos legales, protección de confidencialidad y cobertura ante errores
y fraudes.
Es importante que el auditor de sistemas tenga conocimiento en el área de
informática o solicitar los servicios de un experto, ya que se debe
planear adecuadamente el trabajo de la auditoría, para que se tomen en cuenta
todos los aspectos importantes para la ejecución de lo planeado.
-
8/16/2019 Trabajo No. 22 Auditoría Informática
53/53
&
REFERENCIA BIBLIOGRÁFICA
Ref. Muñoz Razo, Auditoría de Sistemas Computacionales, Prentice Hall
Auditoría en informática. José Antonio Echenique. McGraw Hill
E-GRAFÍA
http://es.slideshare.net/j_moreno/auditoría-informatica-y-de-sistemas-de-
informacion?next_slideshow=1
http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/a
uditoría_informatica/auditoría_informatica.pdf
https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
http://www.monografias.com/trabajos14/auditoríasistemas/auditoríasistemas
.shtml#ixzz3ot46mzdV
https://www.codejobs.biz/es/blog/2013/02/25/que-es-una-auditoría-
informatica.
http://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1http://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1http://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttp://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttp://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttps://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1ticahttps://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1ticahttp://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttp://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttp://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1http://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1