Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AUDITORÍA DE SISTEMAS
Publicado el 22 febrero, 2016
AUDITORÍA DE SISTEMAS
Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una entidad,
con el propósito de determinar si su diseño y aplicación son correctos; y comprobar el sistema
de procesamiento de Información como parte de la evaluación de control interno; así como
para identificar aspectos susceptibles de mejorarse o eliminarse.
A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:
La Auditoría de Sistemas es la verificación de controles en el procesamiento de la
Información, desarrollo de sistemas e instalaciones.
Actividad dirigida a verificar y juzgar la información.
Examen y evaluación de los Procesos del área de Procesamiento automático de datos y de la
utilización de los recursos que en ello intervienen.
Es la verificación en la eficiencia del uso de los Recursos informáticos.
Integridad:
Obviamente, este es el principio número uno. La honestidad es un requisito tanto para los
auditores como para otras personas que gestionan el programa de auditoría. El desempeño
diligente y responsable del trabajo es necesario, así como observar y cumplir con los
requisitos legales aplicables. Además, los auditores deben demostrar su competencia y
desempeñar su trabajo de manera imparcial. Por último, tienen que estar atentos a cualquier
influencia que pudiera afectar su juicio.
Presentación ecuánime:
La comunicación de los hallazgos debe ser veraz, precisa, objetiva, oportuna, clara y
completa. Las actividades de la auditoría tienen que describirse con veracidad y exactitud en
el informe, donde también es necesario que se den a conocer los obstáculos que hubo durante
la auditoría así como los puntos de conflicto que hayan quedado sin resolver entre el equipo
auditor y el auditado.
Debido cuidado profesional:
La observancia de normas y reglamentos, así como el debido cuidado profesional son la base
para hacer juicios razonados en todas las situaciones de la auditoría.
Confidencialidad:
En los últimos años el tema de la seguridad de la información ha cobrado mucha importancia
(el crecimiento de las certificaciones en la norma ISO/IEC 27001:2005 es una prueba de
ello). Por lo tanto, los auditores deberían proceder con discreción en el uso y protección de
información delicada o confidencial adquirida durante la auditoría, y no debería usarse para
beneficio personal o en perjuicio del auditado.
Independencia:
El espíritu de este principio es evitar el conflicto de intereses; y para ello es recomendable
que los auditores sean independientes de la actividad que se audita (siempre que esto sea
factible).
Los auditores deberían ser independientes de quienes gestionan operativamente la función
auditada, con el fin de que mantengan una actitud objetiva y para asegurarse de que los
hallazgos y conclusiones se basen solo en evidencias.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la
empresa pone en juego para disponer de un eficiente y eficaz sistema de Información. Se
deben poseer una mezcla de conocimientos de auditoría financiera y de informática en
general.
DEONTOLOGÍA DEL AUDITOR
Trata por tanto de la moral o ética profesional en el manejo del activo mas importante que
tienen las empresas, que es la información que se maneja.
Conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa
auditada.
Presentar recomendaciones acerca del reforzamiento del sistema.
Dar soluciones a los problemas detectados en el sistema, sin que estos violen la ley y los
principios éticos de las normas deontológicas.
Las ventajas y desventajas que el sistema ofrece en respecto a otros sistemas o marcas.
PERFIL DEL AUDITOR INFORMÁTICO
Los auditores ayudan a los altos dirigentes a gestionar temas corporativos, proporcionando
orientación sobre diversos asuntos que van desde la precisión financiera hasta los controles
internos de cumplimiento normativo. Los auditores también ayudan a los jefes de
departamento a identificar las herramientas y metodologías para mejorar las actividades de
operación, colocando a las empresas en un camino más sostenible financieramente.
PERSONAL INVOLUCRADO
Conocer los tipos de auditorías, las técnicas y procedimientos, las Normas de auditoría, la
función del auditor y los fundamentos legales de las auditorias.
Prever y detectar errores y desviaciones en los procedimientos y registros contables.
Analizar y sintetizar toda la información de auditoria.
TÉCNICAS E INSTRUMENTOS
Evaluación
Inspección
Confirmación
Observación
Entrevistas
Cuestionarios
Encuestas
FUNCIONES DEL AUDITOR DE SISTEMAS
Estudiar la normatividad, misión, objetivos, políticas, estrategias, planes y programas de
trabajo.
Desarrollar el programa de trabajo de una auditoria.
Definir los objetivos, alcance y metodología para instrumentar una auditoria.
Captar la información necesaria para evaluar la funcionalidad y efectividad de los procesos,
funciones y sistemas utilizados.
Recabar y revisar estadísticas sobre volúmenes y cargas de trabajo.
Diagnosticar sobre los métodos de operación y los sistemas de información
.Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.
Respetar las normas de actuación dictadas por los grupos de filiación, corporativos,
sectoriales e instancias normativas y, en su caso, globalizadoras.
Proponer los sistemas administrativos y/o las modificaciones que permitan elevar la
efectividad de la organización
Analizar la estructura y funcionamiento de la organización en todos sus ámbitos y niveles
Revisar el flujo de datos y formas.
Considerar las variables ambientales y económicas que inciden en el funcionamiento de la
organización.
Analizar la distribución del espacio y el empleo de equipos de oficina.
Evaluar los registros contables e información financiera.
Mantener el nivel de actuación a través de una interacción y revisión continua de avances.
Proponer los elementos de tecnología de punta requeridos para impulsar el cambio
organizacional.
Diseñar y preparar los reportes de avance e informes de una auditoria.
PAPEL DEL AUDITOR
El auditor es aquella persona que lleva a cabo una auditoria capacitado con conocimientos
necesarios para evaluar la eficacia de una empresa a la vez de poseer
El auditor debe revisar los sistemas establecidos para asegurarse del cumplimiento de las
políticas, planes y procedimientos, leyes y reglamentos que pueden tener de impacto
significativo en las operaciones e informes y deben determinar si la organización cumple con
ellos.
Así mismos son responsables de determinar si los sistemas son adecuados y efectivos y si las
actividades auditadas están cumpliendo con los requerimientos apropiados. También deben
revisar las operaciones o programas para cerciorarse si los resultados son consistentes con
los objetivos y metas establecidas y si las operaciones o programas se llevan a cabo como se
planearon.
La ética profesional del auditor, se refiere a la responsabilidad del mismo para con el público,
hacia los clientes y colegas y los niveles de conducta máximos y mínimos que debe poseer.
Responsabilidad legal
UNIDAD II
ESTÁNDARES Y LINEAMIENTOS
DE LA AUDITORÍA DE SISTEMAS
Publicado el 5 abril, 2016
ESTÁNDARES DE AUDITORÍA DE SISTEMAS
Definen los requerimientos obligatorios para la auditoría de sistemas y la generación de
informes. Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas
prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de
informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la
Información), dentro de los objetivos definidos como parámetro, se encuentra el “Garantizar
la Seguridad de los Sistemas”. Adicional a este estándar podemos encontrar el estándar ISO
27002, el cual se conforma como un código internacional de buenas prácticas de seguridad
de la información, este puede constituirse como una directriz de auditoría apoyándose de
otros estándares de seguridad de la información que definen los requisitos de auditoría y
sistemas de gestión de seguridad, como lo es el estándar ISO 27001
El objetivo de los Estándares de Auditoría es informar:
Informar a los auditores de sistemas el mínimo nivel aceptado para resolver las
responsabilidades profesionales precisadas en el código de ética profesional de ISACA para
auditores de sistemas de información.
A las gerencias y otras partes interesadas sobre las expectativas de la profesión concernientes
a quienes la practican. Proveer información sobre el cómo cumplir con los estándares de la
Auditoría de Sistemas.
NORMAS GENERALES DE LA AUDITORÍA DE SISTEMAS
La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la
naturaleza especializada de la auditoría de los sistemas de in formación y las habilidades
necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación
de Normas Generales para la Auditoría de los Sistemas de Información. La auditoría de los
sistemas de información se define como cualquier auditoría que abarca la revisión y
evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos
de procesamiento de la información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes.
OBJETIVOS
Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de
rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el
Código de Ética y de informar a la gerencia y a otras partes interesadas de las expectativas
de la profesión con respecto al trabajo de aquellos que la ejercen.
Título de auditoría: Responsabilidad, autoridad y rendimiento de cuentas La
responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la función de
auditoría de los sistemas de información se documentarán de la manera apropiada en un
título de auditoría o carta de contratación.
Independencia:Independencia profesional En todas las cuestiones relacionadas con
la auditoría, el auditor de sistemas de información deberá ser independiente de la
organización auditada tanto en actitud como en apariencia.
La función de auditoría de los sistemas de información deberá ser lo suficientemente
independiente del área que se está auditando para permitir completar de manera objetiva la
auditoría.
Ética y normas profesionales: Código de Ética Profesional El auditor de sistemas de
información deberá acatar el Código de Ética Profesional de la Asociación de Auditoría y
Control de Sistemas de Información.
Idoneidad: Habilidades y conocimientos El auditor de sistemas de información debe
ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para realizar
el trabajo como auditor.
Planificación: Planificación de la auditoría El auditor de sistemas de información
deberá planificar el trabajo de auditoría de los sistemas de información para satisfacer los
objetivos de la auditoría y para cumplir con las normas aplicables de auditoría profesional.
Ejecución del trabajo de auditoría: Supervisión El personal de auditoría de los sistemas
de información debe recibir la supervisión apropiada para proporcionar la garantía de que se
cumpla con los objetivos de la auditoría y que se satisfagan las normas aplicables de
auditoría profesional.
Informes: Contenido y formato de los informes En el momento de completar el trabajo de
auditoría,el auditor de sistemas de información deberá proporcionar un informe, de formato
apropiado, a los destinatarios en cuestión. El informe de auditoría deberá enunciar el alcance,
los objetivos, el período de cobertura y la naturaleza y amplitud del trabajo de auditoría
realizado.
Actividades de seguimiento: Seguimiento El auditor de sistemas de información
deberá solicitar y evaluar la información apropiada con respecto a hallazgos, conclusiones y
recomendacioneses relevantes anteriores para determinar si se han implementado las
acciones apropiadas de manera oportuna
ORGANISMOS Y ESTÁNDARES INTERNACIONALES DE LA AUDITORÍA DE
SISTEMAS
Los organismos internacionales que se ocupan del control y de la auditoria de SI son
fuente de fuente de estándares: La regulación de las mejores prácticas de Auditoria
en informática como administrar los riesgos en tecnología Informática, la auditoria en base a
los organismos nacionales e internacionales.
Institute of System and Association, ISACA.
ISO 9000 es un conjunto de normas sobre calidad y gestión de calidad, establecidas por
la Organización Internacional de Normalización (ISO). Se pueden aplicar en cualquier tipo
de organización o actividad orientada a la producción de bienes o servicios. Las normas
recogen tanto el contenido mínimo como las guías y herramientas específicas de
implantación como los métodos de auditoría. El ISO 9000 especifica la manera en que una
organización opera sus estándares de calidad, tiempos de entrega y niveles de servicio.
Existen más de 20 elementos en los estándares de esta ISO que se relacionan con la manera
en que los sistemas operan.
TIPOS Y CLASES DE AUDITORÍA
A) Auditoría Informática de Explotación: se ocupa de producir resultados informáticos de
todo tipo: listados impresos, archivos magnéticos para otros informáticos, ordenes
automatizadas para lanzar o modificar procesos industriales, etc.
B) Auditoría Informática de Sistemas: Se ocupa de analizar la actividad que se conoce
como Técnica de Sistemas en todas sus facetas. Hoy en día, la importancia creciente de las
telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las
instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general
de Sistemas.
C) Auditoría Informática de Comunicaciones y Redes: Se ha producido un cambio
conceptual muy profundo en el tratamiento de las comunicaciones informáticas y en la
construcción de los modernos Sistemas de Información, basados en Redes de
Comunicaciones muy sofisticadas.
D) Auditoría Informática de Desarrollo de Proyectos o Aplicaciones: La función de
Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y
Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizarles que tiene
la empresa.
E) Auditoría de la Seguridad informática: La seguridad en la informática abarca los
conceptos de seguridad física y seguridad lógica.La seguridad física se refiere a la protección
del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los
albergan.
Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones
definidas en las técnicas. Las herramientas utilizadas son: cuestionarios, entrevistas,
checklist, trazas y software de interrogación.
Los cuestionarios: es la herramienta punto de partida que permiten obtener información y
documentación de todo el proceso de una organización, que piensa ser auditado.El auditor debe
realizar una tarea de campo para obtener la información necesaria, basado en evidencias o hechos
demostrables.
UNIDAD III
AMENAZAS SOBRE LOS
ACTIVOS INFORMÁTICOS
Publicado el 15 abril, 2016
AMENAZAS
Son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y,
como consecuencia de ello, causar pérdidas o daños a los activos de una empresa. Los activos
están constantemente sometidos a amenazas que pueden colocar en riesgo la integridad,
confidencialidad y disponibilidad de la información.
OBJETIVO DE LA SEGURIDAD INFORMÁTICA
La seguridad informática debe establecer normas que minimicen los riesgos a la información
o infraestructura informática. Estas normas incluyen horarios de funcionamiento,
restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de
emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad
informática minimizando el impacto en el desempeño de los trabajadores y de la organización
en general y como principal contribuyente al uso de programas realizados por programadores.
DELITOS INFORMÁTICOS
Un delito informático es toda aquella acción ilícita llevada a cabo por vías informáticas con
el fin de perjudicar a personas naturales, jurídicas, medios y redes electrónicas. A pesar de
ser utilizada frecuentemente, los venezolanos tienen pocos conocimientos sobre esta
modalidad del crimen. Al desconocer los riesgos que implican el uso de las diferentes vías
electrónicas las personas se convierten en presas fáciles para los delincuentes cibernéticos.
TIPOS DE RIESGOS
1. Riesgos de integridad
2. Riesgos de relación
3. Riesgos de acceso
4. Riesgos de utilidad
5. Riesgos en la infraestructura
6. Riesgos de seguridad general
7. Concentración de procesamiento de aplicaciones más grandes y de mayor complejidad
8. Dependencia en el personal clave
9. Desaparición de los controles tradicionales
10. Huelgas, terrorismo e inestabilidad social
11. Mayor conciencia de los proveedores
FRAUDE INFORMÁTICO
Acción culpable realizada por un ser humano que causa un perjuicio a personas sin que
necesariamente se beneficie el autor o que por el contrario produzca un beneficio ilícito a su
autor aunque no perjudique en forma directa o indirecta a la víctima.
TIPOS DE DELITOS O FRAUDES INFORMÁTICOS
1. Sabotaje Informático
En lo referente a Sabotaje Informático podemos encontrar dos clasificaciones las cuales son
las siguientes:
Conductas dirigidas a causar daños físicos
Esto es cuando la persona que comete el delito causa daños físicos al hardware del equipo
objeto del delito. Aquí el daño físico se puede ocasionar de muchas formas por la persona
que tiene la intención de causar daño.
Conductas dirigidas a causar daños lógicos
Esto comprende los daños causados a la información y todos los medios lógicos de los
cuales se vale un Sistema de Cómputo para funcionar adecuadamente.
2. Fraude a través de Computadoras
3. Manipulación de los datos de entrada
4. Manipulación de Programas
5. Manipulación de los datos de salida
6. Estafas electrónicas
7. Pesca u olfateo de contraseñas
8. Juegos de Azar
9. Lavado de dinero
10. Copia ilegal de software
11. Espionaje Informático
12. Infracción del copyright en bases de datos
13. Uso ilegítimo de Sistemas Informáticos ajenos
14. Accesos no autorizados
15. Interceptación de E-mail
16.Falsificación Informática
LEY CONTRA LOS DELITOS INFORMÁTICOS EN VENEZUELA
En el 2010 se promulgó la Ley Especial Contra los Delitos Informáticos, la cual tiene como
función proteger, prevenir y sancionar los delitos que se cometan a través de las tecnologías
de la información (Internet, software, bases de datos, telecomunicaciones, celulares, etc.)
Esta Ley está compuesta por 32 artículos en los cuales se señalan cinco clases de delitos:
Contra los sistemas que utilizan tecnologías de información
Contra la propiedad
Contra la privacidad de las personas y de las comunicaciones
Contra niños, niñas y adolescentes
Contra el orden económico.
POSICIÓN DEL AUDITOR ANTE LOS DELITOS INFORMÁTICOS
Es importante establecer claramente cuál es el papel que juega el auditor informático en
relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de
la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar
la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos,
recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que
definen de manera inequívoca el aporte que éste brinda en el manejo de los casos de delitos
informáticos.
SEGURIDAD Y CONTROL DE
LOS SISTEMAS
Publicado el 21 abril, 2016
1. PLANEACIÓN Y DOCUMENTACIÓN
La auditoría de sistema debe iniciar con una fase de planeación en la cual participen todas
las áreas de la organización para identificar los recursos necesarios que permitirán llevar a
cabo un proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, análisis
costo/beneficio, personal humano que intervendrá en el proyecto, marco de referencia de
Auditoria de Sistema que se va a utilizar. Lo cual se resume en obtener un conocimiento
inicial de la organización a evaluar, con especial énfasis en sus procesos informáticos basados
en evaluaciones administrativas realizadas a los procesos electrónicos, sistemas y
procedimientos, equipos de cómputo, seguridad y confidencialidad de la información, y
aspectos legales de los sistemas y la información.
Tipos de Informes:
• Informe de auditoría informática sobre todo el sistema computarizado, aplicado a los
controles generales del computador.
• Informe de auditoría a los controles de aplicación.
• Informe de auditoría informática sobre un programa específico.
Informe de auditor sin salvedades: Es la opinión favorable, sin salvedades o limpia, resultado de
un trabajo sin limitaciones de alcance y sin incertidumbres, de acuerdo con la normativa legal y
profesional.
Se emite en aquellas auditorías en las que habiéndose aplicado todos los procedimientos de auditoría,
los mismos han sido satisfactorios, no existiendo limitaciones al alcance del trabajo del auditor.
Informe de auditor con salvedades: Es favorable pero presenta algunas limitaciones y restricciones,
ciertas incertidumbres y algunos posibles incumplimientos de la normativa legal y profesional.
Informe de auditor desfavorable: Se refiere a la identificación del incumplimiento de la normativa
legal y profesional, incertidumbre e irregularidades que afectan significativamente el área
informática. El auditor debe indicar las razones por las que se expresa una opinión desfavorable.
Informe de auditor adverso/rechazado: Se debe a limitaciones e incertidumbres significativas, de
modo que después de realizar la auditoría impiden al auditor el formarse de una opinión.
8. METODOLOGÍA PARA REALIZAR AUDITORÍAS INFORMÁTICAS
Planificación de la auditoría informática:
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie
de pasos previos que permitirán dimensionar el tamaño y características de área dentro del
organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en
informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de
los dos objetivos:
1.-Evaluación de los sistemas y procedimientos.
2.-Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general
sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer
una investigación preliminar y algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la misma.
Plan De Auditoría: Debe ser establecido y comunicado al cliente. El cliente debe revisar y
aprobar dicho plan. Debe incluir:
a) Los objetivos y alcance.
b) El criterio a ser usado.
c) La identificación de las unidades organizacionales y funcionales a ser auditadas.
d) La identificación de las funciones y/o individuos dentro dela organización del auditado.
e) Identificación de los aspectos de calidad que son de alta prioridad.
f) Identificación de los documentos de referencia.
g) El tiempo y duración esperados para las entrevistas e inspecciones.
h) Las fechas y lugares donde se va a realizar la auditoria.
i) El Cronograma de reuniones que se van a tener con la gerencia del auditado.
j) Requerimientos confidenciales.
k) El contenido, formato y estructura del informe
Normas De Auditoría: Las normas de Auditoría Generalmente Aceptadas (NAGAS) son
los principios fundamentales de auditoría a los que deben enmarcarse su desempeño los
auditores durante el proceso de la auditoría. El cumplimiento de estas normas garantiza la
calidad del trabajo profesional del auditor.
Pruebas En La Realización De Una Auditoría Informática: El auditor puede realizar las
siguientes pruebas:
Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la
entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realización de estas
pruebas.
Pruebas sustantivas: Aportan al auditor informático suficientes evidencias para que se pueda
realizar un juicio imparcial. Verifican el grado de confiabilidad del SI (Sistema de Información) del
organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de
examen analítico, revisiones y conciliaciones. Verifican así mismo la exactitud, integridad y validez
de la información.
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis
de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva
y uniformemente.
Herramientas: Las principales herramientas de las que dispone un auditor informático son:
a) Observación
b) Realización de cuestionarios
c) Entrevistas a auditados y no auditados
d) Muestreo estadístico
e) Flujogramas
f) Listas de chequeo
g) Mapas conceptuales
Datos De Prueba: El conjunto de datos de prueba consiste en un lote de transacciones
preparadas por el auditor, procesadas mediante el empleo de los programas de aplicaciones
de la entidad, con la finalidad de verificar el funcionamiento efectivo de los controles
programados previstos.