Trabajo No. 22 Auditoría Informática

8/16/2019 Trabajo No. 22 Auditoría Informática

1/53

&

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

FACULTAD DE CIENCIAS ECONÓMICAS

ESCUELA DE AUDITORÍA

SEMINARIO DE CASOS DE AUDITORÍA

SEGUNDO SEMESTRE AÑO 2015

JORNADA NOCTURNA

SALÓN 114, EDIFICIO S-3GRUPO No. 8

“AUDITORÍA INFORMÁTICA”

DOCENTE:

Lic. Carlos Roberto Mauricio García

DOCENTE AUXILIAR:

Lic. Inf. Erwin Rolando Cano Divas

Guatemala, 22 de octubre de 2015


2/53

&

ÍNDICE

Página

INTRODUCCIÓN I

CAPITULO I “AUDITORÍA INFORMÁTICA” 2

1.1 Antecedentes históricos 2

1.2 Generalidades (Definiciones) 3

1.2.1 Auditoría 3

1.2.3 Sistema de información 3

1.3 Definición de auditoría informática 4

1.4 Auditor informático 4

1.4.1 Perfil del auditor informático 5

1.5 Tipos de auditoría informática 6

1.5.1 Auditoría interna 6

1.5.2 Auditoría externa 7

1.6 Alcance de la auditoría informática 8

1.7 Importancia de la auditoría informática en una empresa 9

1.8 Objetivos de la auditoría informática 9

1.9 Características de la auditoría informática 10

1.10 Clases de auditoría informática 10 1.10.1 Auditoría informática de explotación 10

1.10.2 Auditoría informática de desarrollo o aplicaciones 11

1.10.3 Auditoría informática de sistemas 12

1.10.4 Auditoría informática de comunicaciones y redes 12

1.10.5 Auditoría aplicada al sistema de cómputo 12

1.10.6 Auditoría al Entorno de la computadora 13

1.10.7 Auditoría ISO-9000 a los sistemas computacionales 14

1.11 Beneficios de la auditoría informática 14

1.12 Controles de aplicación 15

1.13 Riesgos informáticos 17

1.13.1 Tipos de riesgos 18


3/53

&

Página

1.14 Fraude informático 19

1.14.1 Tipos de delitos o fraudes informáticos 19

1.14.2 Medios utilizados para realizar daños lógicos 20

1.14.3 Fraude a través de computadoras 21

1.15 Técnicas utilizadas para perpetrar los fraudes 25

1.16 Aplicación del COBIT en un Auditoría Informática 26

1.16.1 Características: 27

CAPITULO II “METODOLOGÍA PARA REALIZAR AUDITORÍA

INFORMÁTICA” 28

2.1 Planeación de la auditoría 28

2.1.1 Elaborar planes, presupuestos y programas 28

2.1.2 Identificar y seleccionar herramientas, métodos, técnicas y

procedimientos 29

2.1.3 Asignación de los recursos de auditoría y sistemas 31

CAPITULO III “CASO PRÁCTICO” 33

INFORME DE AUDITORÍA INFORMÁTICA 33

CONCLUSIONES 48

RECOMENDACIONES 49

REFERENCIA BIBLIOGRÁFICA 50

E-GRAFÍA 50


4/53

&

i

INTRODUCCIÓN

El auditor informático ha de velar por la correcta utilización de los amplios recursos

que la empresa coloca en juego para disponer de un eficiente y eficaz, sistema deinformación, para la realización de una auditoría informática eficaz, se debe

entender a la empresa en su más amplio sentido. Todos utilizan la informática para

gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios

económicos y reducción de costos.

Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de

Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al

control correspondiente. La importancia de llevar un control de esta herramienta se

puede deducir de varios aspectos.

Las computadoras creadas para procesar y difundir resultados o información

elaborada pueden producir resultados o información errónea si dichos datos son, a

su vez, erróneos. Este concepto es a veces olvidado por las mismas empresas que

terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus

Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y

afecte a Aplicaciones independientes. En este caso interviene la Auditoría

Informática de Datos.

Un Sistema Informático mal diseñado puede convertirse en una herramienta

peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes

recibidas y la modelización de la empresa está determinada por las computadoras

que materializan los Sistemas de Información, la gestión y la organización de laempresa no puede depender de un Software y Hardware mal diseñados. Estos son

solo algunos de los varios inconvenientes que puede presentar un Sistema

Informático, por eso, la necesidad de la Auditoría de Sistemas.


5/53

&

2

CAPITULO I

“AUDITORÍA INFORMÁTICA”

1.1 Antecedentes históricos

La contabilidad financiera a finales del siglo XIX, se profesionaliza, en un principio,

la auditoría se consideró como una rama complementaria de la contaduría pública,

y sólo se dedicaba a examinar los registros contables y la correcta presentación de

los estados financieros de las empresas, pero la necesidad de evaluar los

procedimientos administrativos y aplicar las correcciones necesarias.

Si bien la auditoría se ha llevado a cabo desde que el hombre hizo su aparición,

esta se llevaba de manera empírica, ha sido de gran ayuda para los pueblos

conquistadores, ya que tenían que conocer y dar fe de los tributos que les rendían

los pueblos conquistados, de la corona de española, que con el paso del tiempo se

transformarían en auditores, que vigilaban el pago de quinto real a los reyes de

España.

La auditoría en informática es más reciente, se tiene como antecedente más

cercano a los Estados Unidos de América. En los años cuarenta se empezaron adar resultados relevantes en el campo de la computación, con sistemas de apoyos

para estrategias militares, sin embargo, la seguridad y el control solo le limitada a

dar custodia fiscal a los equipos y a permitir el uso de los mismos solo a personal

altamente calificado.

Con el paso de los años la informática y todos los elementos tecnológicos, que la

rodean han ido creando necesidades, en cada sector social y se han vuelto un

requerimiento permanente para el logro de soluciones.

La Teoría General de Sistemas lleva la atención al carácter dinámico ya la

naturaleza interrelacionada de las empresas, su gestión y su entorno.


6/53

&

3

Durante mucho tiempo, la ciencia se ha preocupado de explicar los fenómenos

observables reduciéndolos a unidades y elementos independientes unos de otros;

la ciencia contemporánea se centra en el estudio de problemas de organización, de

fenómenos no des agregables en sucesos independientes, de interacciones

dinámicas y, en definitiva, en el estudio de totalidades.

Lo más notable es que esta actitud aparece de forma independiente en distintas

disciplinas científicas. Esta orientación general de la ciencia denota la necesidad de

una nueva disciplina científica, la Teoría General de los Sistemas, cuyo objeto es la

formulación de principios válidos para los sistemas en general, sin que importe la

naturaleza de los elementos integrantes, ni de sus interrelaciones.

1.2 Generalidades (Definiciones)

Entre las generalidades más importantes y comunes de la auditoría en sistemas

tenemos:

1.2.1 Auditoría

Inspección o verificación de la contabilidad de una empresa o una entidad, realizada

por un auditor con el fin de comprobar si sus cuentas reflejan el patrimonio, la

situación financiera y los resultados obtenidos por dicha empresa o entidad en un

determinado ejercicio.

1.2.2 Sistema

Conjunto ordenado de normas y procedimientos que regulan el funcionamiento de

un grupo o colectividad.

1.2.3 Sistema de información

Un sistema de información es un conjunto de elementos orientados al tratamiento y

administración de datos e información, organizados y listos para su uso posterior,

generados para cubrir una necesidad u objetivo.


7/53

&

4

1.3 Definición de auditoría informática

La auditoría informática, es un proceso llevado a cabo por profesionales

especialmente capacitados, consiste en recoger, agrupar y evaluar evidencias para

determinar si un sistema de información salvaguarda el activo empresarial,

mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la

organización, utiliza eficientemente los recursos, y cumple con las leyes y

regulaciones establecidas. Permiten detectar de forma sistemática el uso de los

recursos y los flujos de información dentro de una organización y determinar qué

información es crítica para el cumplimiento de su misión y objetivos, identificando

necesidades, duplicidades, costos, valor y barreras, que obstaculizan flujos de

información eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que están

implantados en una empresa u organización, determinando si los mismos son

adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los

cambios que se deberían realizar para la consecución.

1.4 Auditor informático

El auditor informático ha de velar por la correcta utilización de los amplios recursos

que la empresa pone en juego para disponer de un eficiente y eficaz sistema de

Información.

Además el auditor de sistemas informáticos posee ciertas responsabilidades tales

como:

Verificación del control interno tanto de las aplicaciones como de los Sistemas

de Información, periféricos, etc.

Análisis de la administración de Sistemas de Información, desde un punto de

vista de riesgo de seguridad, administración y efectividad de la administración.

Análisis de la integridad, fiabilidad y certeza de la información a través del

análisis de aplicaciones.

Auditoría del riesgo operativo de los circuitos de información.

https://es.wikipedia.org/wiki/Auditor%C3%ADahttps://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3nhttps://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3nhttps://es.wikipedia.org/wiki/Auditor%C3%ADa


8/53

&

5

Análisis de la administración de los riesgos de la información y de la seguridad

implícita.

Verificación del nivel de continuidad de las operaciones.

Análisis del Estado del Arte tecnológico de la instalación revisada y las

consecuencias empresariales que un desfase tecnológico puede acarrear.

Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades

estratégicas y operativas de información de la empresa

También el auditor informático es responsable de establecer los objetivos de

control que reduzcan o eliminen la exposición al riesgo de control interno.

1.4.1 Perfil del auditor informático

El auditor informático como encargado de la verificación y certificación de la

informática dentro de las organizaciones, deberá contar con un perfil que le permita

poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello

debe contar con ciertos elementos:

Conocimientos Generales:

Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada

respecto a las plataformas existentes en la organización. Normas estándares para la auditoría interna.

Políticas organizacionales sobre la información y las tecnologías de información.

Características de la organización respecto a la ética, estructura organizacional,

tipo de supervisión existente, compensación monetaria a los empleados,

extensión de la presión laboral sobre los empleados y la historia de la

organización.

Herramientas:

Herramientas de control y verificación de la seguridad.

Herramientas de monitoreo de actividades, etc.


9/53

&

6

Técnicas:

Técnicas de evaluación de riesgos

Muestreo

Cálculos pos operación

Monitoreo de actividades

Recopilación de grandes cantidades de información

Verificación de desviaciones en el comportamiento de la data

Análisis e interpretación de evidencia

1.5 Tipos de auditoría informática

Existen dos tipos de auditoría informática:

1.5.1 Auditoría interna

La auditoría Interna es el examen crítico, sistemático y detallado de un sistema de

información de una unidad económica, realizado por un profesional con vínculos

laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir

informes y formular sugerencias para el mejoramiento de la misma. Estos informes

son de circulación interna y no tienen trascendencia a los terceros.

Las auditorías internas son hechas por personal de la empresa. Un auditor interno

tiene a su cargo la evaluación permanente del control de las transacciones y

operaciones y se preocupa en sugerir el mejoramiento de los métodos y

procedimientos de control interno que redunden en una operación más eficiente y

eficaz. Cuando la auditoría está dirigida por Contadores Públicos profesionales

independientes, la opinión de un experto desinteresado e imparcial constituye una

ventaja definida para la empresa y una garantía de protección para los intereses de

los accionistas, los acreedores y el Público. La imparcialidad e independencia

absolutas no son posibles en el caso del auditor interno, puesto que no puede

divorciarse completamente de la influencia de la alta administración, y aunque

mantenga una actitud independiente como debe ser, esta puede ser cuestionada

ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente


10/53

&

7

debe ser independiente, sino parecerlo para así obtener la confianza del Público. La

auditoría interna es un servicio que reporta al más alto nivel de la dirección de la

organización y tiene características de función asesora de control, por tanto no

puede ni debe tener autoridad de línea sobre ningún funcionario de la empresa, a

excepción de los que forman parte de la planta de la oficina de auditoría interna, ni

debe en modo alguno involucrarse o comprometerse con las operaciones de los

sistemas de la empresa, pues su función es evaluar y opinar sobre los mismos, para

que la alta dirección toma las medidas necesarias para su mejor funcionamiento. La

auditoría interna solo interviene en las operaciones y decisiones propias de su

oficina, pero nunca en las operaciones y decisiones de la organización a la cual

presta sus servicios, pues como se dijo es una función asesora.

1.5.2 Auditoría externa

Aplicando el concepto general, se puede decir que la auditoría Externa es el examen

crítico, sistemático y detallado de un sistema de información de una unidad

económica, realizado por un Contador Público sin vínculos laborales con la misma,

utilizando técnicas determinadas y con el objeto de emitir una opinión independiente

sobre la forma como opera el sistema, el control interno del mismo y formular

sugerencias para su mejoramiento. El dictamen u opinión independiente tiene

trascendencia a los terceros, pues da plena validez a la información generada por

el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos

a tener plena credibilidad en la información examinada.

La Auditoría Externa examina y evalúa cualquiera de los sistemas de información

de una organización y emite una opinión independiente sobre los mismos, pero las

empresas generalmente requieren de la evaluación de su sistema de información

financiero en forma independiente para otorgarle validez ante los usuarios del

producto de este, por lo cual tradicionalmente se ha asociado el término Auditoría

Externa a Auditoría de Estados Financieros, lo cual como se observa no es

totalmente equivalente, pues puede existir Auditoría Externa del Sistema de


11/53

&

8

Información Tributario, Auditoría Externa del Sistema de Información Administrativo,

Auditoría Externa del Sistema de Información Automático etc.

La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad,

integridad y autenticidad de los estados, expedientes y documentos y toda aquella

información producida por los sistemas de la organización. Una Auditoría Externa

se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de

información examinado con el fin de acompañar al mismo una opinión independiente

que le dé autenticidad y permita a los usuarios de dicha información tomar

decisiones confiando en las declaraciones del Auditor.

Una auditoría debe hacerla una persona o firma independiente de capacidadprofesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una

opinión imparcial y profesionalmente experta a cerca de los resultados de auditoría,

basándose en el hecho de que su opinión ha de acompañar el informe presentado

al término del examen y concediendo que pueda expresarse una opinión basada en

la veracidad de los documentos y de los estados financieros y en que no se imponga

restricciones al auditor en su trabajo de investigación.

Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una

combinación de un conocimiento completo de los principios y procedimientos

contables, juicio certero, estudios profesionales adecuados y una receptividad

mental imparcial y razonable.

1.6 Alcance de la auditoría informática

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoría informática, debe de existir un acuerdo muy preciso entre

auditores y clientes sobre las funciones, las áreas a auditar.

La definición de los alcances de la auditoría compromete el éxito de la misma; el

alcance ha de figurar expresamente en el informe final, de modo que quede


12/53

&

9

perfectamente determinado no solamente hasta qué punto se ha llegado, sino

cuales materias fronterizas han sido omitidas en dicha auditoría.

Las áreas de la empresa para realizar la auditoría informática, puede ser:

a) A toda la entidad.

b) A un departamento.

c) A un área.

d) A una función.

e) A una sub-función.

1.7 Importancia de la auditoría informática en una empresa

Esta es de vital importancia para el buen desempeño de los sistemas deinformación, ya que proporciona los controles necesarios para que los sistemas

sean confiables y con un buen nivel de seguridad; evaluando la organización de los

centros de información, hardware y software.

La auditoría informática es de gran importancia para mejorar ciertas características

en la empresa como: desempeño, fiabilidad, eficacia, rentabilidad, seguridad y

privacidad de los sistemas de información.

1.8 Objetivos de la auditoría informática

La auditoría informática deberá comprender no sólo la evaluación de los equipos de

cómputo, de un sistema o procedimiento específico, sino que además habrá de

evaluar los sistemas de información en general desde sus entradas,

procedimientos, controles, archivos, seguridad y obtención de información.

Entre los objetivos primordiales se encuentran los siguientes:

Conocer la situación actual del área informática.

Asegurar integridad, confidencialidad de la información mediante la

recomendación de seguridades y controles.


13/53

&

10

Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente

informático.

Minimizar existencias de riesgos en el uso de TI.

Incrementar la satisfacción de los usuarios de los sistemas.

El análisis de la eficiencia de los sistemas informáticos.

La verificación del cumplimiento de la Normativa en este ámbito.

La revisión de la eficaz gestión de los recursos informáticos.

1.9 Características de la auditoría informática

La información de la empresa y para la empresa, se ha convertido en un activo

real de la misma. Por ende, han de realizarse inversiones informáticas, materia

de la que se ocupa la auditoría de inversión informática.

Del mismo modo los sistemas informáticos han de protegerse de modo global y

particular: a ello se debe la existencia de la auditoría de seguridad informática

en general, o a la auditoría de seguridad de alguna de sus áreas.

Cuando se produzca cambios estructurales en la informática, se reorganiza de

alguna forma su función: se está en el campo de la auditoría de organización

informática.

1.10 Clases de auditoría informática

Dentro de las áreas generales, se establecen las siguientes divisiones de auditoría

informática: de explotación, de sistemas, de comunicaciones y de desarrollo de

proyecto.

Estas son las áreas específicas de la auditoría informática.

1.10.1 Auditoría informática de explotación

La explotación informática se ocupa de producir resultados informáticos de tipo:

listados impresos, ficheros soportados magnéticamente para otros informáticos,

ordenes automatizadas para lanzas o modificar procesos industriales.


14/53

&

11

Para realizar la explotación informática se dispone de una materia prima, que es la

información, datos de la empresa, que es necesario transformar, y que se someten

previamente a controles de integridad y calidad.

1.10.2 Auditoría informática de desarrollo o aplicaciones

El análisis de basa en cuatro aspectos fundamentales:

1. Revisión de las metodologías revisadas: se analizaran éstas, de modo que se

asegure las posibles futuras ampliaciones de la aplicación y el fácil

mantenimiento de las mismas.

2. Control interno de las aplicaciones: se deberán revisar las mismas fases que

presuntamente han debido seguir el área correspondiente de desarrollo, loscontroles internos de aplicación son los siguientes:

Estudio de vialidad de la aplicación

Definición lógica de aplicación

Desarrollo técnico de la aplicación

Diseño de programas

Métodos de pruebas

Documentación Equipo de programación

3. Satisfacción de usuarios: una aplicación técnicamente eficiente y bien

desarrollada, deberá considerarse fracasada si no sirve a los intereses del

usuario que la solicitó.

4. Control de procesos y ejecuciones de programas críticos: se ha de comprobar la

correspondencia biunívoca y exclusiva entre el programa codificado y su

compilación. Si los programas fuentes y los programas módulo no coincidieran

podría provocar graves y altos costos de mantenimiento, hasta fraudes, pasando

por acciones de sabotaje, espionaje industrial informativo.


15/53

&

12

1.10.3 Auditoría informática de sistemas

Se ocupa de analizar la actividad que se conoce como técnicas de sistemas en

todas sus facetas:

1. Sistemas operativos: engloba los subsistemas de teleprocesos, entrada/salida.

Debe verificarse en primero lugar que los sistemas están actualizados con las

últimas versiones del fabricante, indagando las causas de las comisiones si las

hubiera.

2. Software básico: es fundamental para el auditor conocer los productos de

software básico que han sido facturados aparte de la propia computadora. En

cuanto al software desarrollado por el personal informático de la empresa, el

auditor debe verificar que éste no agreda ni condicional al sistema.

3. Administración de base datos: que el diseño de las bases de datos, sean

relaciones o jerárquicas, se han convertido en una actividad muy compleja y

sofisticada. El auditor de base datos deberá analizar los sistemas de

salvaguarda existentes, que competen igualmente a la explotación. El auditor

revisara finalmente la integridad y consistencia de los datos, así como la

ausencia de redundancias entre ellos.

1.10.4 Auditoría informática de comunicaciones y redes

Es la revisión exhausta, específica y especializada de todo el sistema de redes de

la empresa:

1. Arquitectura, topología, protocolos, conexiones, componentes físicos.

2. Seguridad y administración: accesos y privilegios

3. Conectividad, comunicaciones y servicios

4. Sistemas operativos, lenguajes, programas, paquetería, utilerías, bibliotecas.

1.10.5 Auditoría aplicada al sistema de cómputo

Es una auditoría técnica y especializada que se enfoca únicamente a la evaluación

del funcionamiento y uso correcto del equipo de cómputo, hardware, software y


16/53

&

13

periféricos asociados. Esta auditoría también se realiza a la composición y

arquitectura de las partes físicas y demás componentes del hardware, incluyendo

equipos asociados, instalaciones y comunicaciones internas o externas, así como

al diseño, desarrollo y uso del software de operación, de apoyo y de aplicación, ya

sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo,

o paquetería de aplicación institucional que se utiliza en la empresa donde se

encuentra el equipo de cómputo que será evaluado. Se incluyó también la operación

del sistema.

Permite una revisión técnica y especializada de los sistemas de cómputo, evaluando

todos los componentes, logrando el máximo beneficio del mismo.

Se da por la seguridad lógica, requiere de mucho recurso económico, humano ymaterial, convirtiéndose en una limitante para algunas empresas.

1.10.6 Auditoría al Entorno de la computadora

En este tipo de auditoría se trata de evaluar todo lo que involucra la actividad de los

sistemas computacionales, procurando, de ser posible, dejar a un lado todos los

aspectos especializados, técnicos y específicos de los sistemas, a fin de evaluar

únicamente las actividades vinculadas que se llevan a cabo alrededor de estos.

Es la revisión específica que se realiza a todo lo que está alrededor de un equipo

de cómputo, como son sus sistemas, actividades y funcionamiento, haciendo una

evaluación de sus métodos y procedimientos de acceso y procesamiento de datos,

la emisión y almacenamiento de resultados, las actividades de planeación y

presupuestario del propio centro de cómputo, los aspectos operacionales y

financieros, la gestión administrativa de accesos al sistema, la atención a los

usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas

y, en sí, a todos aquellos aspectos que contribuyen al buen funcionamiento de un

área de sistematización.


17/53

&

14

1.10.7 Auditoría ISO-9000 a los sistemas computacionales

Las empresas en el mundo ha adoptado la calidad ISO –9000 como parte

fundamental de sus actividades. Por esta razón los sistemas están relacionados

también con este tipo de auditoría de certificación de calidad, las cuales son muy

especializas y específicas en cuanto a los requerimientos establecidos en ellas. La

definición es: la revisión exhaustiva, sistemática y especializada que realizan

únicamente los auditores especializados y certificados en las normas y

procedimientos ISO –9000, aplicando exclusivamente los lineamientos,

procedimientos e instrumentos establecidos por esta asociación. El propósito

fundamental de esta revisión es evaluar, dictaminar y certificar que la calidad de los

sistemas computacionales de una empresa cumpla con los requerimientos del ISO-

9000.

1.11 Beneficios de la auditoría informática

Mejora la imagen pública.

Confianza en los usuarios sobre la seguridad y control de los servicios de TI.

Optimiza las relaciones internas y del clima de trabajo.

Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre

otros). Genera un balance de los riesgos en TI.

Realiza un control de la inversión en un entorno de TI, a menudo impredecible.

La auditoría informática sirve para mejorar ciertas características en la empresa

como:

Desempeño

Fiabilidad

Eficacia

Rentabilidad

Seguridad

Privacidad


18/53

&

15

Generalmente se puede desarrollar en alguna o combinación de las siguientes

áreas:

Gobierno corporativo

Administración del Ciclo de vida de los sistemas

Servicios de Entrega y Soporte

Protección y Seguridad

Planes de continuidad y Recuperación de desastres

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio

de la auditoría informática ha promovido la creación y desarrollo de mejores

prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems

Auditor es una de las más reconocidas y avaladas por los estándares

internacionales ya que el proceso de selección consta de un examen inicial bastante

extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para

no perder la certificación.

1.12 Controles de aplicaciónEn primer término, los “Controles de aplicación” son aquellos controles que son

aplicables para un determinado proceso de negocio o aplicación, entre ellos

podemos encontrar la edición de registros, segregación de funciones, totales de

control, transacciones y reportes de errores.

El objetivo principal de los controles de aplicación es asegurar:

Que el ingreso de los datos es exacto, completo, autorizado y correcto

Que los datos son procesos en tiempo oportuno

Los datos son almacenados de forma adecuada y completa

Que las salidas del sistema son adecuadas y completas

Que registros son mantenidos para realizar un seguimiento de las entradas y

eventuales salidas del sistema.


19/53

&

16

En este sentido pueden existir distintos tipos de controles de aplicación como ser:

Controles de Ingreso: los cuales son utilizados para mantener la integridad de

los datos que son ingresados al sistema,

Controles de Procesamiento: estos controles, principalmente automáticos

proveen una manera automática de asegurar que el procesamiento de las

transacciones es completa, adecuado y autorizado.

Controles de salida: básicamente estos controles direccionan a que operaciones

fueron realizadas con los datos. Y comparando también básicamente las salidas

generadas con los ingresos realizados.

Controles de integridad: Estos controles permitan verificar la integridad y

consistencia de los datos procesados.

Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia

identificar hechos inusuales para posterior investigar los mismos.

Adicionalmente como otra clasificación podemos estar encontrando los controles

preventivos, básicamente asociados a los controles automáticos de una aplicación.

Y los controles defectivos, principalmente asociados a controles de aplicación y

manuales posteriores.

Por otro lado tenemos los controles generales del ambiente de cómputo (ITGC).

Estos controles aplican a todos los sistemas, controles y datos.

Los más comunes controles ITGC son:

Acceso lógico sobre infraestructura, aplicaciones y datos,

Controles sobre el desarrollo y ciclo de vida de los aplicativos,

Controles sobre cambios a programas,

Controles sobre seguridad física en los centros de cómputos,

Backup de sistemas y controles de recuperación de datos,

Controles relacionados con operaciones computarizadas.


20/53

&

17

Un aspecto importante a considerar para el Auditor, es que la confianza que tiene

sobre los Controles de aplicación estará directamente asociada con la confianza

que tendrá en los ITGC. El segundo aspecto a considerar es la complejidad del

ambiente de sistemas que tenga.

Un ambiente menos complejo, tendrá un menor volumen de transacciones, y no

tendremos un gran número de controles inherentes o configurables en que la

gerencia pueda confiar. Un ambiente más complejo requerirá por parte del

Departamento de Auditoría Interna, una mayor evaluación de riesgos, un mayor

conocimiento de los procesos y de las aplicaciones que lo soportan.

1.13 Riesgos informáticosEs importante en toda organización contar con una herramienta, que garantice la

correcta evaluación de los riesgos, a los cuales están sometidos los procesos y

actividades que participan en el área informática; y por medio de procedimientos de

control que puedan evaluar el desempeño del entorno informático.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y

teniendo en cuenta que, una de las principales causas de los problemas dentro del

entorno informático, es la inadecuada administración de riesgos informáticos, esta

información sirve de apoyo para una adecuada gestión de la administración de

riesgos.

¿Que son los riesgos?

El riesgo es una condición del mundo real, en el cual hay una exposición a la

adversidad conformada por una combinación de circunstancias del entorno donde

hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como

atentados y amenazas a los sistemas de información.


21/53

&

18

“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad

existentes de un activo o grupos de activos, generándoles pérdidas o daños”. 1

Elementos a tener en cuenta para la correcta definición de riesgos:

Administración de riesgos

Valoración de riesgos

1.13.1 Tipos de riesgos

Entre los principales riesgos informáticos podemos mencionar:

a) Riesgos de integridad

En este tipo de riesgo se tomaran en cuenta los siguientes aspectos: Interface del usuario

Procesamiento

Procesamiento de errores

Interface

Administración de cambios

Información

b) Riesgos de relación

Los riesgos de relación se refieren al uso oportuno de la información creada por una

aplicación. Estos riesgos se relacionan directamente a la información de toma de

decisiones.

Riesgos de acceso

Procesos de negocio

Aplicación

Administración de la información

Entorno de procesamiento

Redes

1 Organización Internacional por la Normalización (ISO)


22/53

&

19

Nivel físico

c) Riesgos de utilidad

Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de

que los problemas ocurran.

d) Riesgos en la infraestructura

Los riesgos más comunes en la infraestructura tenemos:

Planeación organizacional

Definición de las aplicaciones

Administración de seguridad

Operaciones de red y computacionales

Administración de sistemas de bases de datos

Información / negocio

e) Riesgos de seguridad general

Entre los riesgos de seguridad más importantes tenemos:

Riesgos de choque de eléctrico

Riesgos de incendio Riesgos de niveles inadecuados de energía eléctrica.

Riesgos de radiaciones

Riesgos mecánicos

1.14 Fraude informático

Acción culpable realizada por un ser humano que causa un perjuicio a personas sin

que necesariamente se beneficie el autor o que por el contrario produzca unbeneficio ilícito a su autor aunque no perjudique en forma directa o indirecta a la

víctima.

1.14.1 Tipos de delitos o fraudes informáticos

Entre los delitos y fraudes informáticos más comunes tenemos:


23/53

&

20

a) Sabotaje informático

El término sabotaje informático comprende todas aquellas conductas dirigidas a

eliminar o modificar funciones o datos en una computadora sin autorización, para

obstaculizar su correcto funcionamiento es decir causar daños en el hardware o en

el software de un sistema. Los métodos utilizados para causar destrozos en los

sistemas informáticos son de índole muy variada y han ido evolucionando hacia

técnicas cada vez más sofisticadas y de difícil detección.

b) Conductas dirigidas a causar daños físicos

Esto es cuando la persona que comete el delito causa daños físicos al hardware del

equipo objeto del delito. Aquí el daño físico se puede ocasionar de muchas formas

por la persona que tiene la intención de causar daño. Uso de instrumentos para golpear, romper o quebrar un equipo de cómputo, ya

sea el daño completo o parcial.

Uso de líquidos como café, agua o cualquier líquido que se vierta sobre el equipo

y dañe las piezas y componentes electrónicos.

c) Conductas dirigidas a causar daños lógicos

Esto comprende los daños causados a la información y todos los medios lógicos delos cuales se vale un sistema de cómputo para funcionar adecuadamente.

Por ejemplo, dañar la información contenida en unidades de almacenamiento

permanente, ya sea alterando, cambiando o eliminando archivos; mover

configuraciones del equipo de manera que dañe la integridad del mismo; atentar

contra la integridad de los datos pertenecientes al dueño del equipo de cómputo y

todas formas de ocasionar daños en la parte lógica de un sistema de cómputo.

1.14.2 Medios utilizados para realizar daños lógicos

Los medios que más se utilizan para haces daños informáticos son:

Virus: es una serie de claves programáticas que pueden adherirse a los

programas legítimos y propagarse a otros programas informáticos. Un virus


24/53

&

21

puede ingresar en un sistema por conducto de una pieza legítima de soporte

lógico que ha quedado infectada, así como utilizando el método del caballo de

troya.

Gusanos: se fabrican de forma análoga al virus con miras a infiltrarlo en

programas legítimos de procesamiento de datos o para modificar o destruir los

datos, pero es diferente del virus porque no puede regenerar. En términos

médicos podría decirse que un gusano es un tumor benigno, mientras que el

virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un

gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un

programa gusano que subsiguientemente se destruirá puede dar instrucciones

a un sistema informático de un banco para que transfiera continuamente dineroa una cuenta ilícita.

Bomba lógica o cronológica: exige conocimientos especializados ya que

requiere la programación de la destrucción o modificación de datos en un

momento dado del futuro.

Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles dedetectar antes de que exploten; por eso, de todos los dispositivos informáticos

criminales, las bombas lógicas son las que poseen el máximo potencial de daño.

1.14.3 Fraude a través de computadoras

Cuando la computadora es el medio para realizar y maquinar fraudes por una

persona, se considera un delito.

Manipulación de los datos de entrada

Este tipo de fraude informático conocido también como sustracción de datos,

representa el delito informático más común ya que es fácil de cometer y difícil de

descubrir. Este delito no requiere de conocimientos técnicos de informática y


25/53

&

22

puede realizarlo cualquier persona que tenga acceso a las funciones normales

de procesamiento de datos en la fase de adquisición de los mismos.

Manipulación de programas

Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el

delincuente debe tener conocimientos técnicos concretos de informática. Este

delito consiste en modificar los programas existentes en el sistema de

computadoras o en insertar nuevos programas o nuevas rutinas. Un método

común utilizado por las personas que tienen conocimientos especializados en

programación informática es el denominado caballo de troya, que consiste en

insertar instrucciones de computadora de forma encubierta en un programa

informático para que pueda realizar una función no autorizada al mismo tiempoque su función normal.

Manipulación de los datos de salida

Se efectúa fijando un objetivo al funcionamiento del sistema informático. El

ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos

mediante la falsificación de instrucciones para la computadora en la fase de

adquisición de datos.

Estafas electrónicas

El hacer compras en línea mediante el uso de internet o alguna red de servicio,

y no cumplir con lo establecido en el acuerdo de compra en entregar el producto

de forma completa o parcial se considera fraude, lo que es muy común al hacer

compras por internet donde se requiere pagar a la cuenta de alguna persona

antes de recibir el pedido.

Pesca u olfateo de contraseñas

Hacer uso de programas o métodos que puedan descifrar claves o que puedan

averiguar o buscarlas. Ya sean claves personales de una cuenta de correo


26/53

&

23

electrónico, contraseña para entrar al sistema, claves de acceso a algún sitio,

claves de productos, etc.

Juegos de azar

Los juegos de azar son aquellos juegos de casino o que hacen uso del factor

"suerte". Para obtener ganancias a través de la red, donde se hacen apuestas o

inversiones de dinero.

Esto está prohibido en ciertos lugares, países o regiones, así que solo aplica

para ellos. Pues dependiendo de la ley que tengan en esos lugares, puede o no

ser un delito. Y si se sorprende a una persona obteniendo ganancias producto

de los juegos de azar, se hallará como cometiendo un delito.

Lavado de dinero

Poner a funcionar el dinero producto del narcotráfico, o producto de estafas,

robos, fraudes o cualquier actividad ilegal. Pues este dinero lo invierten en

alguna actividad que aparenta no tener nada de malo, y lo que se obtiene es

producto de la inversión de dinero mal obtenido, por lo que no está permitido el

lavado de dinero.

Copia ilegal de software

Esta puede entrañar una pérdida económica sustancial para los propietarios

legítimos. Algunas jurisdicciones han tipificado como delito esta clase de

actividad y la han sometido a sanciones penales. El problema ha alcanzado

dimensiones transnacionales con el tráfico de esas reproducciones no

autorizadas a través de las redes de telecomunicaciones modernas. Al respecto,

consideramos, que la reproducción no autorizada de programas informáticos no

es un delito informático debido a que el bien jurídico a tutelar es la propiedad

intelectual.


27/53

&

24

Espionaje informático

El acceso se efectúa a menudo desde un lugar exterior, situado en la red de

telecomunicaciones, recurriendo a uno de los diversos medios que se

mencionan a continuación. El delincuente puede aprovechar la falta de rigor de

las medidas de seguridad para obtener acceso o puede descubrir deficiencias

en las medidas vigentes de seguridad o en los procedimientos del sistema. A

menudo, los piratas informáticos se hacen pasar por usuarios legítimos del

sistema; esto suele suceder con frecuencia en los sistemas en los que los

usuarios pueden emplear contraseñas comunes o contraseñas de

mantenimiento que están en el propio sistema.

Infracción del copyright en bases de datosEs la infracción de los derechos reservados del autor, ya que todo producto de

marca tiene sus derechos y el infringir y violar la información de las bases de

datos, ya sea ver, copiar, borrar, alterar es también un delito.

Uso ilegítimo de sistemas informáticos ajenos

El usar un sistema informático de manera prohibida o incorrecta fuera del

propósito para el que fueron creados, o para obtener ganancias a su autor o solopor cometer actos ilegítimos en contra de alguien o algún sistema.

Accesos no autorizados

El acceder a información, sitios o secciones que no están autorizadas a usuarios

comunes sino solo a aquellos que tienen autorización. Acceso indebido. El que

sin la debida autorización o excediendo la que hubiere obtenido, acceda,

intercepte, interfiera o use un sistema que utilice tecnologías de información,

será penado con prisión de uno a cinco años de cárcel.

Interceptación de e-mail

Al enviar mensajes y correo electrónico a través de la red, e interceptar esos

mensajes y desviarlos o eliminarlos, es un delito. También esto podría entrar con


28/53

&

25

los delitos de espionaje y podrían acumularse por lo que la sentencia sería

mayor. Aún más podría aumentarse cuando hay una demanda por parte del

afectado si logra comprobarse.

1.15 Técnicas utilizadas para perpetrar los fraudes

Entre las técnicas más utilizadas encontramos:

a) La técnica del caballo de troya.

Consiste en insertar instrucciones, con objetivos de fraude, en los programas

aplicativos, de manera que, además de las funciones propias del programa, también

ejecute funciones no autorizadas.

Las instrucciones fraudulentas se esconden dentro de las demás, obteniendoacceso libre a los archivos de datos, normalmente usados por el programa.

Esta técnica es muy común debido a la facilidad que se presenta para ocultar las

instrucciones fraudulentas dentro de cientos de instrucciones que generalmente

componen los programas aplicativos.

b) Técnica del taladro.

Consiste en utilizar una computadora para llamar o buscar la manera de entrar al

sistema con diferentes códigos hasta cuando uno de ellos resulte aceptado y

permita el acceso a los archivos deseados.

Mediante e del sistema de ensayo permanente se descubren las contraseñas del

sistema para entrar a los archivos y extraer información, en forma fraudulenta.

c) Agujeros del sistema operativo o trampas-puerta.

Son deficiencias del sistema operacional, desde las etapas de diseño original. Los

expertos programadores del sistema pueden aprovechar las debilidades del sistema

operacional para insertar instrucciones no autorizadas, en dicho sistema, con el

objeto de configurar fraudes informáticos. Las salidas del sistema operacional

permiten el control a programas escritos, por el usuario, lo cual facilita la

operacionalizacion de fraudes.


29/53

&

26

d) Recolección de basura

La recolección de basura es una técnica para obtener información abandonada o

alrededor del sistema de computación, después de la ejecución de un trabajo.

e) Juego de la pizza.

Es un método relativamente fácil para lograr el acceso no autorizado a los centros

de PED, así estén adecuadamente controlados.

Consiste en que un individuo se hace pasar por la persona que entrega la pizza y

en esa forma se garantiza la entrada a las instalaciones de PED durante y después

de las horas de trabajo.

f) Bombas de relojería o bombas lógicas.Las bombas lógicas son una técnica de fraude, en ambientes computarizados, que

consiste en diseñar e instalar instrucciones fraudulentas en el software autorizado,

para ser activadas cuando se cumpla una condición o estado específico.

Esta técnica de fraude, es difícil de descubrir, porque mientras no sea satisfecha la

condición o estado especifico, el programa funciona normalmente procesando los

datos autorizados sin arrojar sospecha de ninguna clase.

g) Superzapping.

Deriva su nombre de superzap, un programa utilitario de ibm de un alto riesgo por

sus capacidades. Permite adicionar, modificar y eliminar registros de datos, datos

de registros o agregar caracteres dentro de un archivo maestro, sin dejar rastro y

sin modificar ni corregir los programas normalmente usados para mantener el

archivo.

1.16 Aplicación del COBIT en un Auditoría Informática

El trabajo que se realiza en la auditoría informática debe contar con un marco de

referencia metodológico, así como con gente altamente capacitada. Una auditoría

mal hecha puede acarrear consecuencias drásticas económicamente para la

organización auditada.


30/53

&

27

Por lo anterior, se puede afirmar que el éxito de un organismo depende de los

controles de evaluación de la eficacia y eficiencia de sus sistemas de TI. Hoy en

día, las organizaciones estructuran su información en sistemas de TI, debido a ello,

es de vital importancia que éstos funcionen de forma correcta e ininterrumpida para

la productividad y supervivencia futura de una organización.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las

computadoras personales, mini computadoras y ambientes distribuidos.

Está basado en la filosofía de que los recursos de TI necesitan ser administrados

por un conjunto de procesos naturalmente agrupados para proveer la información

pertinente y confiable que requiere una organización para lograr sus objetivos.

Misión: Investigar, desarrollar, publicar y promover un conjunto internacional yactualizado de objetivos de control para tecnología de información que sea de uso

cotidiano para gerentes y auditores

1.16.1 Características:

Entre las características más esenciales tenemos:

Orientado al negocio

Alineado con estándares y regulaciones "de facto" Basado en una revisión crítica y analítica de las tareas y actividades en TI

Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA,

AICPA)


31/53

&

28

CAPITULO II

“METODOLOGÍA PARA REALIZAR AUDITORÍA INFORMÁTICA”

2.1 Planeación de la auditoría

Esta se logra mediante una adecuada organización, en la cual se deben de

identificar claramente las razones por las que se va a realizar la auditoría y la

determinación del objetivo de la misma.

Se inicia el estudio de esta etapa de planeación con los siguientes puntos:

Identificar el origen de la auditoría.

Realizar una visita preliminar al área que será evaluada. Establecer los objetivos de la auditoría.

Determinar los puntos que serán evaluados en la auditoría.

Elaborar planes, programas y presupuestos para realizar la auditoría.

Identificar y seleccionar los métodos, procedimientos, instrumentos y

herramientas necesarios para la auditoría.

Asignar los recursos y sistemas computacionales para la auditoría.

2.1.1 Elaborar planes, presupuestos y programas

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir

una serie de pasos previos que permitirán dimensionar el tamaño y características

de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, habrá que

hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.


32/53

&

29

Para hacer una planeación eficaz, lo primero que se requiere es obtener información

general sobre la organización y sobre la función de informática a evaluar. Para ello

es preciso hacer una investigación preliminar y algunas entrevistas previas, con

base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo,

personal necesario y documentos auxiliares a solicitar o formular durante el

desarrollo de la misma.

2.1.2 Identificar y seleccionar herramientas, métodos, técnicas y

procedimientos

a) Cuestionarios

Las auditorías informáticas se materializan recabando información y documentación

de todo tipo. Los informes finales de los auditores dependen de sus capacidades

para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El

trabajo de campo del auditor consiste en lograr toda la información necesaria para

la emisión de un juicio global objetivo, siempre amparado en hechos demostrables,

llamados también evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de

cuestionarios pre impresos que se envían a las personas concretas que el auditorcree adecuadas, sin que sea obligatorio que dichas personas sean las responsables

oficiales de las diversas áreas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas,

sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo

y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de

modo que tal análisis determine a su vez la información que deberá elaborar el

propio auditor. El cruzamiento de ambos tipos de información es una de las basesfundamentales de la auditoría.

b) Entrevistas

El auditor comienza a continuación las relaciones personales con el auditado. Lo

hace de tres formas:


33/53

&

30

Mediante la petición de documentación concreta sobre alguna materia de su

responsabilidad.

Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un

método estricto de sometimiento a un cuestionario.

Por medio de entrevistas en las que el auditor sigue un método preestablecido

de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales más importante del auditor; en

ellas, éste recoge más información, y mejor matizada, que la proporcionada por

medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y

auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que haceun auditor, interroga y se interroga a sí mismo. El auditor informático experto

entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,

consistente en que bajo la forma de una conversación correcta y lo menos tensa

posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas

variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella

debe existir una preparación muy elaborada y sistematizada, y que es diferente para

cada caso particular.

c) Checklist

El auditor profesional y experto es aquél que reelabora muchas veces sus

cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita

saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis,

cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al

auditado a unas preguntas estereotipadas que no conducen a nada.

d) Trazas y/o huellas

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los

Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras.


34/53


35/53

&

32

Recursos materiales hardware: los recursos hardware que el auditor necesita son

proporcionados por el cliente. Los procesos de control deben efectuarse

necesariamente en las Computadoras del auditado.

Para lo cual habrá de convenir el, tiempo de máquina, espacio de disco, impresorasocupadas, etc.

b) Recursos humanos

La cantidad de recursos depende del volumen auditable. Las características y

perfiles del personal seleccionado dependen de la materia auditable.

Es igualmente señalable que la auditoría en general suele ser ejercida por

profesionales universitarios y por otras personas de probada experienciamultidisciplinaria.


36/53

&

33

CAPITULO III

“CASO PRÁCTICO”

INFORME DE AUDITORÍA INFORMÁTICA


37/53

&

34

DISTRIBUIDORA HELADITOS S.A.

INFORME DE CONTROL INTERNO

PERIODO DEL 01 DE ENERO AL 31 DE

MARZO DE 2015


38/53

&

35

ÍNDICE DE CONTENIDO

Deficiencia No. 01 Equipos de Cómputo con Licencias Instaladas sin Autorización y

Carencia de Software de Prevención

Deficiencia No. 02 Acceso Ilimitado a Internet

Deficiencia No. 03 Implementación de Extintores y Dispositivos Detectores de HumoDeficiencia No. 04 Falta de Manual de Normas y Procedimientos

Deficiencia No. 05 Deficiente Control del Inventario de Equipos de Computo

Deficiencia No. 06 El Personal tiene bajo su Responsabilidad Equipo de Cómputo

no Rotulado y Tarjetas de Responsabilidad Desactualizadas

Deficiencia No. 07 Falta de Personal en el Departamento de Informática

Deficiencia No. 08 Falta de Inducción y Capacitación al Personal

Deficiencia No. 09 Acceso y Seguridad del Departamento de Informática y Data

Center

Deficiencia No. 10 Cableado no Identificado y Ausencia de Seguridad Preventiva

Deficiencia No. 11 Falta de Mantenimiento en los Equipos Informáticos

Deficiencia No. 12 Los Nombres de los Equipos de Cómputo no coinciden con las

Direcciones IP Asignadas por el Departamento de Informática


39/53

&

36

INFORME DE AUDITORES INDEPENDIENTES

Señores

Consejo de Administración

Distribuidora Heladitos, S.A.

Hemos efectuado la revisión al área de Tecnología de Información de la

Distribuidora Heladitos, S.A., por el período comprendido del 01 de enero al 15 de

marzo de 2015. Los resultados de nuestra evaluación presentaron condiciones que

consideramos reportables de conformidad con Normas Internacionales de Auditoría,las cuales estamos presentando a continuación.

DEFICIENCIAS DE CONTROL INTERNO

DEFICIENCIA No. 01

EQUIPOS DE CÓMPUTO CON LICENCIAS INSTALADAS SIN AUTORIZACIÓN

Y CARENCIA DE SOFTWARE DE PREVENCIÓN

Se determinó que los treinta y nueve (39) equipos de cómputo evaluados en

Oficinas Centrales de Distribuidora Heladitos, S.A, no poseen licencias originales

del Software Microsoft Office, así como del antivirus en los equipos, los cuales se

detallan a continuación:


40/53

&

37


41/53

&

38

RECOMENDACIÓN

Se sugiere que el Jefe del Departamento de Informática desinstale las versiones de

Microsoft Office que carecen de licencia original. Adicionalmente se realicen las

gestiones correspondientes para adquirir la versión original del mismo e instalarlo

en el equipo; así como, la herramienta correspondiente para mitigar los riesgos a

los cuales están expuestos al carecer de antivirus y firewall. Asimismo se

recomienda implementar este control para las tiendas derivado que muchas no

cuentan ni con las licencias de Office.

COMENTARIO DEL CLIENTE

Se aceptó la recomendación propuesta, y se acordó desinstalar las versiones de

Office sin licencia, así mismo se implementar el sistema Linux en su versión gratuitaen todos los equipos.

DEFICIENCIA No. 02

ACCESO ILIMITADO A INTERNET

Se determinó que los treinta y nueve (39) equipos de cómputo evaluados en

Oficinas Centrales de Distribuidora HELADITOS, S.A., tienen acceso ilimitado a

internet, siendo estos los mismos citados en la DEFICIENCIA No. 01, en el cual se

detallan los nombres de los equipos así como su dirección IP.

RECOMENDACIÓN

Se recomienda que el Jefe del Departamento de Informática aplique una medida

control, que bloquee las páginas innecesarias o que representen riesgo para la

información y otorgue permisos de navegación únicamente a los usuarios que

justifiquen su utilización.


Se aceptó la recomendación, y el Jefe del Departamento de Informática decidió

modificar los perfiles, brindando permisos de red de acuerdo a las necesidades del

cargo.


42/53

&

39

DEFICIENCIA No. 03

IMPLEMENTACIÓN DE EXTINTORES Y DISPOSITIVOS DETECTORES DE

HUMO

El Departamento de Informática carece de extintores, lo que ocasiona que las redes

de información y equipo de cómputo corran el riesgo de destrucción total o parcial

debido a que son vulnerables a incendios, corto circuitos entre otros fenómenos

naturales o accidentes.

También es importante mencionar que las tiendas no cuentan con dispositivos que

detecten el humo y/o fuego para que alerten la existencia de dichos casos y evitar

que ocurra una pérdida lamentable de los activos.

RECOMENDACIÓN

Gerente Administrativo y/o Encargado de seguridad Industrial, debe coordinar las

acciones necesarias para reubicar el extintor que se encuentra en oficinas centrales

en el cuarto nivel debido a que se encuentra lejos del alcance del Departamento de

Informática o en su caso, comprar extintores que se puedan colocar en las áreas

vulnerables a incendios y con ello prevenir y asegurar el resguardo de los activos.

Así mismo se recomienda la instalación de detectores de humo en las tiendas.


Se aceptó la recomendación, y el Gerente Administrativo realizará la gestión para

la compra de extintores que se utilizarán en el Departamento de Informática así

como para cada una de las tiendas del área metropolitana.

DEFICIENCIA No. 04

FALTA DE MANUAL DE NORMAS Y PROCEDIMIENTOS

Los trabajadores no poseen manuales de normas y procedimientos para el uso

adecuado de los sistemas. Esto puede causar falla en la implementación de algún

procedimiento o crear confusiones en otros, provocando que los resultados finales

no sean los esperados.


43/53

&

40

RECOMENDACIÓN

Se recomienda que la Administración de la Empresa apruebe e instruya que se

implementen manuales de normas y procedimientos que permita mejorar la

utilización de los sistemas y a su vez, mejore su funcionamiento.


Se aceptó la recomendación propuesta y se contratará a un Asesor Informático para

crear el manual de los sistemas con los que opera la empresa y posteriormente se

darán a conocer a los empleados para su implementación.

DEFICIENCIA No. 05

DEFICIENTE CONTROL DEL INVENTARIO DE EQUIPOS DE CÓMPUTOEl encargado de los Inventarios Informáticos, de Distribuidora HELADITOS, S.A.,

Oficinas Centrales, no cuenta con controles efectivos que permitan determinar de

forma oportuna y exacta el inventario de equipo informático que posee dicha

entidad, esta situación se evidencia debido que en el edificio de Oficinas Centrales,

el encargado de activos, carece de un inventario de los equipos informáticos

actualizado, en donde se verifiquen datos de vital importancia como serie, marca y

modelo; de igual forma en las tiendas evaluadas los inventarios se encuentran

desactualizados como consecuencia de la poca comunicación existente entre los

encargados, ya que se verificó que no se notifica las altas y bajas de los activos

informáticos.

RECOMENDACIÓN

La administración de la empresa debe crear una política para la toma física del

inventario de Activos Informáticos, en el cual designe a una o dos personas para

que lo realicen periódicamente, dichas personas deben tomar en consideración

datos que son de vital importación, como: código de activo, descripción, marca,

modelo, número de serie, color, ubicación, responsable y observaciones.

La administración de la empresa debe crear un modelo pre-impreso para el control

adecuado de las bajas y altas de los Activos Informáticos. Los encargados del


44/53

&

41

levantamiento del inventario de equipos informáticos deben tener una comunicación

constante y fluida para tener un adecuado control de los equipos informáticos tanto

en oficinas centrales como en las sesenta y un (61) tiendas de la república.


Se aceptó la recomendación propuesta, y se acordó la creación de políticas para

los equipos de cómputo tomando en cuenta, la toma física de inventarios así como

las altas y bajas de los mismos, además la implementación de sus documentos de

respaldo y su resguardo respectivo.

DEFICIENCIA No. 06

EL PERSONAL TIENE BAJO SU RESPONSABILIDAD EQUIPO DE COMPUTONO ROTULADO Y TARJETAS DE RESPONSABILIDAD DESACTUALIZADAS

Se observó que el equipo de cómputo de los Departamentos de Contabilidad e

Informática de Oficinas centrales, Distribuidora HELADITOS, S.A., no tienen rótulos

de identificación, además el personal posee tarjetas de responsabilidad

desactualizadas, de igual forma se verificó que las tiendas visitadas cuentan con

equipo no rotulado y sus tarjetas de responsabilidad carecen de información de vital

importancia para el buen control de los equipos de cómputo.

RECOMENDACIÓN

La administración debe crear políticas para que todos los equipos informáticos de

la Distribuidora HELADITOS, S.A. posean un código o rotulación adecuada y que

esta no sea vulnerable a que se quiebre, caiga o deteriore. Todos los equipos

informáticos deben tener su tarjeta de responsabilidad por individual, dicha tarjeta

debe contener como mínimo: código de activo, descripción del activo, marca,

modelo, número de serie, color, ubicación y responsable.


45/53

&

42


Se aceptó la recomendación y se crearán las políticas necesarias para el debido

control e identificación del equipo de cómputo así como la actualización de sus

descripciones en las tarjetas de responsabilidad.

DEFICIENCIA No. 07

FALTA DE PERSONAL EN EL DEPARTAMENTO DE INFORMÁTICA

Se determinó que el personal del Departamento de Informática es insuficiente para

la demanda que actualmente muestra la Distribuidora HELADITOS, S.A., debido a

que dos personas deben darle soporte y mantenimiento a oficinas centrales y

sesenta y uno (61) tiendas a lo largo de la República, lo cual ocasiona un riesgo de

control y como consecuencia el atraso de actividades asignadas y sobrecarga defunciones.

RECOMENDACIÓN

Que el Departamento de Recursos Humanos gestione la contratación de personal

para el Departamento de Informática, con el objeto de fortalecer la adecuada

consecución de procesos de las mismas y mitigar el riesgo de control existente.


Se aceptó la recomendación, y el Departamento de Recursos Humanos, se

comprometió a planificar la contratación de personal para el próximo semestre.

DEFICIENCIA No. 08

FALTA DE INDUCCIÓN Y CAPACITACIÓN AL PERSONAL

El personal que labora en la Distribuidora HELADITOS, S.A., no recibe

capacitaciones constantemente, debido a la falta de planificación por parte de las

autoridades que tienen a su cargo, lo que puede ocasionar la realización de

procesos desactualizados y crear confusión en los procedimientos que debe cumplir

el personal, ya que impide el desarrollo de sus capacidades y aptitudes en cuanto

al desempeño de las funciones que tiene a su cargo.


46/53

&

43

RECOMENDACIÓN

Coordinar con el Departamento de Recursos Humanos la realización de dos (02)

capacitaciones anuales como mínimo para el personal, con el objetivo de

incrementar la productividad y que el mismo sea más competitivo y eficiente,

actualizando sus conocimientos en cuanto a la utilización de herramientas que le

ayuden a desempeñar sus funciones de manera adecuada y eficaz; proporcionando

personal altamente calificado en términos de conocimiento, habilidades y

compromiso hacia la institución.


Se aceptó la recomendación, y se realizarán capacitaciones constantes para el

personal de la institución en todos sus niveles.

DEFICIENCIA No. 09

ACCESO Y SEGURIDAD DEL DEPARTAMENTO DE INFORMÁTICA Y DATA

CENTER

El Departamento de Informática mantiene las puertas abiertas, permitiendo el

ingreso del personal y particulares a las instalaciones del mismo, por otra parte se

determinó que el área de servidores ubicada adentro del Departamento carece de

un sistema de circuito cerrado el cual permita controlar la seguridad del mismo.

RECOMENDACIÓN

Se recomienda establecer políticas de seguridad en el Departamento de Informática

y área de servidores, las cuales limiten el ingreso del personal no autorizado,

asimismo la implementación de cámaras de seguridad adentro y afuera del cuarto

de servidores.


Se aceptó la recomendación propuesta y se gestionara la adquisición de un sistema

de circuito cerrado para el Departamento de Informática, así mismo la creación de

políticas de seguridad para el ingreso y egreso del personal ha dicho departamento.


47/53

&

44

DEFICIENCIA No. 10

CABLEADO NO IDENTIFICADO Y AUSENCIA DE SEGURIDAD PREVENTIVA

Se estableció que el cableado estructurado de red conectado al Conmutador

Principal, no cuenta con su respectiva identificación, canaletas y orden, asimismo

se observó la ausencia de un sistema de seguridad de alimentación ininterrumpida

UPS. Por otra parte, en el muestreo realizado en las tiendas, se observó que los

cables de los dispositivos de computo se encuentran desordenados (cables UTP) y

en algunos casos, cables que conducen electricidad, quebrados y pelados, lo cual

puede causar un corto circuito, además de ser una condición insegura para el

personal que labora en la instalaciones. También se verifico que los UPS instalados

no funcionan.

RECOMENDACIÓN

Se recomienda que el Departamento de Informática realice el mantenimiento

preventivo del cableado de los equipos de cómputo y de red, asimismo verifique la

funcionalidad de los UPS en oficinas centrales y en tiendas de Distribuidora

HELADITOS, S.A.


Se aceptó la recomendación y se planificarán mantenimientos continuos al cableado

de red, así como evaluaciones periódicas a los UPS para determinar su

funcionalidad.

DEFICIENCIA No. 11

FALTA DE MANTENIMIENTO EN LOS EQUIPOS INFORMÁTICOS

Se observó polvo en el equipo de cómputo, motivo por el cual se determinó que los

dispositivos y componentes informáticos no reciben mantenimiento preventivo

adecuado, asimismo el personal indico que el equipo de cómputo no recibía

mantenimiento por parte del técnico de Informática desde hace seis meses. Se

verifico que todos los equipos se encuentran vulnerables a derrames de bebidas y

alimentos en sus áreas de trabajo.


48/53

&

45

RECOMENDACIÓN

Se sugiere que el Departamento de Informática realice una programación periódica

de limpieza y mantenimiento preventivo del equipo de cómputo ubicado en las

oficinas centrales y puntos de venta (Tiendas), el cual establezca la fecha en que

se efectuara el servicio, nombre del técnico y firma del usuario, asimismo se

recomienda la elaboración de una política en la cual se prohíba el consumo de

alimentos cerca de los equipos informáticos.


Se aceptó la recomendación y se realizará un plan de limpieza y mantenimiento en

los equipos, asimismo se establecerán políticas de prevención en los mismos.

DEFICIENCIA No. 12

LOS NOMBRES DE LOS USUARIOS DE LOS EQUIPOS DE CÓMPUTO NO

COINCIDEN CON LAS DIRECCIÓNES IP ASIGNADAS POR EL

DEPARTAMENTO DE INFORMATICA

Por medio del muestreo realizado en el Departamento de contabilidad contra el

mapeo de direcciones IP proporcionado por el personal de Informática, se determinó

que este reporte no se encuentra actualizado, puesto que ocho (8) equipos cuentan

una IP diferente y uno (1) de estos no aparece registrado en el reporte antes

mencionado, asimismo los usuarios a los que se encuentran asignados no

concuerdan con las personas que los poseen.


49/53

&

46

RECOMENDACIÓN

El personal de Informática debe realizar una verificación de la información, el cual

proporcione un control detallado que contenga como mínimo la siguiente

información: usuario, nombre del usuario, cargo, área o Departamento en el que

labora y dirección IP asignado, asimismo incluir cualquier cambio (Ingreso de

personal a la red, asignación de usuario al personal de nuevo ingreso, etc.) de formaoportuna.


Se aceptó la recomendación propuesta, acordando que el Departamento de

Informática actualizará los campos de usuarios, dirección IP y el nombre de la red

asignada a cada colaborador de la Empresa, así como la implementación de

controles para las altas y bajas de usuarios.

CONCLUSIÓN No. 01

Derivado de las deficiencias mencionadas anteriormente, se concluye la falta de

políticas y manuales de procedimientos que indiquen la forma de operar y resolver

las situaciones presentadas en la Empresa, como lo son la implementación de


50/53

&

47

tarjetas de responsabilidad actualizadas y adecuadas a las necesidades de los

Departamentos, la correcta rotulación e identificación de los equipos de cómputo

para llevar un efectivo control de los bienes y la falta de personal en el área de

informática que brinde un servicio eficaz para los problemas latentes.

CONCLUSIÓN No. 02

El Departamento de Informática presenta un cuadro de inseguridad alto referente al

acceso de sus servidores, así como vulnerabilidad de cualquier catástrofe, no

cuenta con extintores cercanos al Data Center ni con gabinete de resguardo, el

cableado no está identificado lo que genera un riesgo para la Empresa.

CONCLUSIÓN No. 03El Equipo de cómputo no tiene licencias legales para operar, lo cual puede causar

problemas en caso de una auditoría por parte de los propietarios, así como

presentan un riesgo alto derivado que no cuentan con licencias de antivirus lo cual

facilita la fuga de información y sensibilidad ante los hackers.

F.__________________________

Lic. Hugo Leonel Portillo Samayoa

Auditor Externo

Colegiado No. 110575

Guatemala 04 de mayo del 2015


51/53

&

48

CONCLUSIONES

En un mundo globalizado la economía crea una interconexión cada vez mayor entre

las organizaciones y sus sistemas de información. La sensibilidad y valor de los

datos reunidos y procesados por estos sistemas y las amenazas constantes que

enfrentan hacen al rol de los profesionales de la auditoría y aseguramiento de

sistemas informáticos más importantes que nunca. Los estándares mundialmente

reconocidos por diversas instituciones ofrecen una base para ayudar a asegurarse

de que se puede confiar en la información y en los sistemas.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles

y procedimientos informativos más complejos, desarrollando y aplicando técnicas

mecanizadas de auditoría, incluyendo el uso del software, en muchos casos, ya no

es posible verificar manualmente los procedimientos informatizados que resumen,

calculen y clasifiquen datos, por lo que se deberá emplear software de auditoría y

otras técnicas.

El auditor que realice la auditoría de sistemas debe aplicar en el desarrollo del

trabajo las técnicas, herramientas y pruebas necesarias con el propósito de detectar

las áreas que tienen problemas dentro de una entidad y así mismo se busca la

aplicabilidad de las pruebas para tener los fundamentos suficientes para la emisión

de la opinión.


52/53

&

49

RECOMENDACIONES

Utilizar y aplicar como parte de la auditoría interna en las empresas los estándares

creados por diversos organismos con el objetivo que la entidad tenga un grado de

aseguramiento en relación a la área de informática lo cual contribuirá a cumplir con

los objetivos de la administración es por eso que el trabajo del gobierno de IT deber

estar enfocado a tener un desempeño sostenido considerando que con un control

adecuado pueden prevenir significativamente los riesgos a los que se está expuesto

debido al constante desarrollo de la tecnología.

El auditor debe de revisar y juzgar los controles implantados en los sistemas

informativos para verificar su adecuación a las órdenes e instrucciones de la

dirección, requisitos legales, protección de confidencialidad y cobertura ante errores

y fraudes.

Es importante que el auditor de sistemas tenga conocimiento en el área de

informática o solicitar los servicios de un experto, ya que se debe

planear adecuadamente el trabajo de la auditoría, para que se tomen en cuenta

todos los aspectos importantes para la ejecución de lo planeado.


53/53

&

REFERENCIA BIBLIOGRÁFICA

Ref. Muñoz Razo, Auditoría de Sistemas Computacionales, Prentice Hall

Auditoría en informática. José Antonio Echenique. McGraw Hill

E-GRAFÍA

http://es.slideshare.net/j_moreno/auditoría-informatica-y-de-sistemas-de-

informacion?next_slideshow=1

http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/a

uditoría_informatica/auditoría_informatica.pdf

https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

http://www.monografias.com/trabajos14/auditoríasistemas/auditoríasistemas

.shtml#ixzz3ot46mzdV

https://www.codejobs.biz/es/blog/2013/02/25/que-es-una-auditoría-

informatica.
http://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1http://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1http://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttp://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttp://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttps://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1ticahttps://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1ticahttp://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttp://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdfhttp://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1http://es.slideshare.net/j_moreno/auditoria-informatica-y-de-sistemas-de-informacion?next_slideshow=1

Documents

Trabajo No. 22 Auditoría Informática