AUDITORIA V

MATERIAL DE APOYO EXAMEN FINAL

ESCUELA DE AUDITORIA

UNIDAD 6
AUDITORIA DE APLICACIONES

SOFTWARE/ PROGRAMA:
Conjunto de instrucciones que dirigen al Hardware.
SOFTWARE/PROGRAMAS DEL SISTEMA:
Llamados Programas Supervisorios, realizan funciones generalizadas para uno o más programas de aplicación.
SOFTWARE DE APLICACIONES:
Este software permite aplicar la computadora para resolver un problema específico o desempeñar una tarea específica. Pueden ser:
• Software diseñado a la Medida
• Paquetes de Aplicación General
APLICACIONES. Una aplicación informática habitualmente persigue como finalidad:
• Registra fielmente la información considerada de interés en torno a las operaciones llevadas a cabo por una determinada
organización.
• Permitir la realización de procesos de cálculo y edición.
• Facilitar respuestas a consultas de todo tipo.
• Generar informes que sirvan de ayuda para cualquier finalidad de interés en la organización.
Aplicaciones de soporte a los procesos:
• Aplicar y ejecutar de manera consistente las reglas de negocio
• Procesar grandes volúmenes de transacciones y datos
• Mejorar los tiempos de respuesta, disponibilidad y exactitud de la información
• Facilitar el análisis de la información extraída de acuerdo a las necesidades
• Mejorar el monitoreo de las diferentes actividades, procedimientos y cumplimiento de políticas de la entidad
• Reducir el riesgo de que los controles sean circundantes
• Mejorar el logro de una efectiva segregación de funciones mediante la implementación de controles de seguridad en las
aplicaciones, bases de datos y sistemas operativos.
AUDITORIA DE P.E.D.
Es la verificación del control en tres áreas:
• Aplicaciones y Mantenimiento de Aplicaciones
• Desarrollo de Sistemas
• Operaciones de la Instalación
El control Interno se materializa fundamentalmente en controles de dos tipos:
• Controles Manuales
• Controles Automáticos
AUDITORIA EN SISTEMAS COMPUTACIONALES
• Controles Generales
• Controles Específicos
• TAAC’s
Controles Generales:
• Organización
• Hardware y Software
• Seguridad Física
• Seguridad Lógica
• Control de Desarrollo de Cambios de Sistemas
• Planes de Contingencia y Backups
Controles Específicos:
• Test Integrado
• Reconocimiento del Sistema a Evaluar
• Delimitación de Objetivos
• Determinar los Puntos de Control más Importantes
• Preparar los Datos a ser Ingresados y Proyectar los resultados Esperados
• Ingreso de datos y obtención de reportes
• Comparación de los Datos
TAAC ´s (Técnicas de Auditoria Aplicadas por Computador):
• Reducen sustancialmente la aplicación de las pruebas manuales.
• Ahorros de dinero, tiempo y esfuerzo
• Reasignación de los recursos a las áreas de análisis y de valor agregado para el negocio.
AUDITORIA V
MATERIAL DE APOYO EXAMEN FINAL
ESCUELA DE AUDITORIA

Tipos de TAAC´s:
• Comparación de Código Fuente
• Comparación de Código Objeto
• Operación Paralela
• Simulación Paralela

Las TAAC's pueden ser usadas en:

• Pruebas de detalles de transacciones y balances
• Procedimientos analíticos
• Pruebas de controles generales
• Programas de muestreo
• Pruebas de control
• Recálculos
Herramientas Necesarias:
• Herramientas Tradicionales:
Procesadores de Texto
Hojas Electrónicas
• Software de Análisis y Extracción de Datos
• Software de Papeles de Trabajo
• Software de Presentación de Gráficos
FINALIDAD DE LA AUDITORIA DE CUMPLIMIENTO:
1. Definición de los objetivos:
- Definir los riesgos
- Definir el nivel de importancia
- Indicación de los objetivos
2. Recabar de información básica:
- Revisar la documentación
- Entrevistar al usuario y al personal de PED
- Resumen de documentación de auditoría
3. Recabar de Información detallada:
- Recopilar detalles del contenido de la información, procedimientos y controles
- Preparar la documentación de auditoría
- Revisar cada paso de la aplicación
- Obtener diagramas de flujo y formatos de archivos
- Obtener copias seleccionadas de documentos
4. Evaluación del Control (puntos fuertes y débiles):
- Segregar y clasificar los controles
- Evaluar la efectividad de los controles
- Identificar los controles clave
- Evaluar los riesgos
- Seleccionar las características que habrán de probarse
- Preparar tabla de evaluación de controles y lista de controles clave
5. Diseño de Pruebas de Auditoría:
- Seleccionar la técnica de verificación
- Seleccionar las herramientas de verificación
- Preparar el programa de auditoría
6. Realización de Pruebas de Auditoría:
- Verificar los resultados (verificar, comparar, pruebas de edición y razonabilidad)
- Probar las Deficiencias (Verificar los procesos y controles manuales, verificar los procesos y controles computarizados: alrededor del
computador, con el computador, a través del computador).
7. Evaluación y Reporte de Resultados:
- Reevaluar los controles y riesgos
- Informe final
- Planear el seguimiento
AUDITORIA V
MATERIAL DE APOYO EXAMEN FINAL
ESCUELA DE AUDITORIA

DOCUMENTACIÓN DEL SISTEMA:

Diagrama de flujo:
• Constituye un elemento básico de documentación durante el desarrollo de sistemas de aplicación
• Es una herramienta útil para el análisis de auditoria
• Identifica todo el procesamiento manual y computarizado en una aplicación.
• Muestra todos los archivos y transacciones sujetos a procesamiento.
• Muestra quien lleva a cabo el procesamiento y que es lo que se hace.
Programas fuente:
Los programas fuente (escritos en lenguaje simbólico: Basic, cobol, fortran, Java, Java Script, Visual Fox, Visual Basic, Plataforma Netbeans, ERP,
Oracle, SQL, AS400, etc.) de las aplicaciones que correspondan, son listados, y a través de un análisis detallado de las instrucciones que contiene,
se obtiene información relativa al proceso que se realiza por computador.
Diseño de archivos:
Un archivo en computación es una colección de registros que tienen una relación en común.
Los elementos que deben tomarse en consideración para el diseño de archivos son:
• Los datos que deben contener los archivos, de acuerdo con las salidas o reportes que se necesiten.
• Frecuencia de actualización de los archivos.
• Dispositivo en que debe ubicarse el archivo.
Atendiendo a la volatilidad de la información que contienen, los archivos pueden clasificarse en:
• Maestros: es un archivo de información semipermanente, que generalmente se actualiza periódicamente.
• De Transacciones: llamado también de detalle, contiene información corriente, operaciones diarias o periódicas y usualmente sirva
para actualizar un archivo maestro.
Los archivos se pueden organizar, principalmente:
• Archivos secuenciales:
Los registros son almacenados en forma ascendente y colocados adyacentemente uno al otro, de tal manera que puedan ser grabados
y leídos en su secuencia física como las cintas magnéticas.
• Archivos secuenciales con índices:
La organización secuencial con índice implica una lista o índice separado que contiene referencia o información relativa a la ubicación
de los registros; este índice puede formar parte del archivo o estar separado físicamente, formando otro archivo. El índice asociado al
archivo hace posible que después de un rápido acceso secuencial al mismo, se pueda localizar un registro individual en un
procesamiento secuencial.
• Archivos de acceso directo:
La organización directa ignora la secuencia física de los registros almacenados y los mismos son accesados con base en su localización
física en el dispositivo de almacenamiento (discos, tambores magnéticos). Cualquier registro puede ser encontrado sin consultar todos
los registros precedentes.
SISTEMAS DE RESPALDO:
Respaldo del hardware:
Todas las instalaciones de computación deben hacer arreglos formales para una capacidad de procesamiento alterno, en caso de que su centro
de datos quede dañado.
Respaldo de los programas:
Consiste en tres áreas básicas:
• El software del sistema operativo debe tenerse por lo menos dos copias de la versión en uso. Una copia almacenada en la cintoteca
para que esté inmediatamente disponible en caso el original sea dañado, y la otra debe estar en un sitio seguro, en otro local.
• Respaldo de los procedimientos: Los manuales de procedimientos también son necesarios durante la recuperación derivada de un
Desastre. Estos incluyen, manuales sobre los sistemas y normas de programación, biblioteca de documentación y de archivos,
procedimientos de control de datos y procedimientos que señalan los planes para las operaciones de PED durante las emergencias.
• Respaldo de los archivos de datos: La retención de los archivos vigentes de datos o de archivos maestros más antiguos y los archivos
de transacciones necesarios para ponerlos al día, es importante para continuar el procesamiento en caso de desastre.
Respaldo de los procedimientos:
Los manuales de procedimientos también son necesarios durante la recuperación derivada de un Desastre. Estos incluyen, manuales sobre los
sistemas y normas de programación, biblioteca de documentación y de archivos, procedimientos de control de datos y procedimientos que
señalan los planes para las operaciones de PED durante las emergencias.
Respaldo de los archivos de datos:
La retención de los archivos vigentes de datos o de archivos maestros más antiguos y los archivos de transacciones necesarios para ponerlos al
día, es importante para continuar el procesamiento en caso de desastre.
TÉCNICAS DE AUDITORIA:
Existen dos principales enfoques alternativos para probar los controles de aplicación:
• Probando los resultados y
• Probando el procesamiento
AUDITORIA V
MATERIAL DE APOYO EXAMEN FINAL
ESCUELA DE AUDITORIA

Probando los resultados:

El probar los resultados proporciona una inferencia de que, si los resultados son correctos, los controles esenciales están funcionando
adecuadamente. La desventaja de este enfoque es que las pruebas de resultados pueden dar lugar a que, injustificadamente, se suponga que
debido a que las cosas están bien ahora, seguirán estándolo.
Técnicas en las auditorias no computarizadas de las aplicaciones:
• Confirmación:
Se lleva a cabo mediante correspondencia directa con terceros, para corroborar transacciones o saldos.
• Comparación:
Consiste en comparar las partidas que contiene un archivo, con otro archivo independiente o con las partidas físicas que representan.
• Pruebas de edición y de razonabilidad:
sirven para detectar condiciones que no deberían existir si los controles de prevención fuesen efectivos
La naturaleza especifica de las pruebas de razonabilidad y edición, puede variar ampliamente dependiendo de la imaginación
del auditor, de su comprensión de la información y de la importancia que esta tiene para la organización.
Técnicas Manuales:
• Inspección. De documentos, procedimientos, activos, para verificar su existencia, mas que para determinar la forma en que se están
utilizando.
• Observación. De procesos o acciones
• Investigación o indagación.
• Confirmación. Ratificar datos.
• Cálculo. Precisión matemática
• Revisión Analítica. Investigación de fluctuaciones o partidas poco usuales.
TAAC’s:
Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo de las auditorias informáticas con el fin de mejorar la eficiencia,
alcance y confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de la entidad auditada.
AUDITORÍA ASISTIDA POR COMPUTADORA:
Las TAAC's pueden ser usadas en:
• Pruebas de detalles de transacciones y balances (Recálculos de intereses, extracción de ventas por encima de cierto valor, etc.)
• Procedimientos analíticos: por ejemplo, identificación de inconsistencias o fluctuaciones significativas.
• Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema,
comparación de códigos y versiones.
• Programas de muestreo para extractar datos.
• Pruebas de control en aplicaciones.
• Recálculos.
Probando el procesamiento:
Las funciones y controles clave se verifican individualmente.
Las pruebas del proceso real proporcionan un mejor conocimiento de la confiabilidad de cada control individual importante. El principal problema
con este enfoque radica en convertir el porcentaje de errores observado, en un riesgo cuantificado.
Principales técnicas para probar el procesamiento:
• Auditoria alrededor del computador:
Los resultados del procesamiento por computador se verifican manualmente contra los datos fuente alimentados al computador. La
verificación se lleva a cabo sin que el auditor participe directamente en el procesamiento dentro del computador.
• Datos de prueba:
Este procedimiento ejecuta programas o sistemas usando conjuntos de datos de prueba (Test decks) y verifica el procedimiento en
cuanto a su exactitud comparando los resultados del proceso con los resultados de prueba predeterminados.
• ITF (Instalación de Prueba Integrada):
(I.T.F.= INTEGRATED TEST FACILITY)
Este es un procedimiento para procesar datos de prueba a través de los sistemas concurrente con el proceso de producción y
subsecuentemente comparar los resultados de la prueba con los resultados de los datos de prueba predeterminados.
• SCARF (METODO DEL ARCHIVO DE REVISION DE AUDITORIA COMO CONTROL DEL SISTEMA):
(SCARF= SISTEM CONTROL AUDIT REVIEW FILE)
Este procedimiento usa software de auditoria para sustraer y seleccionar transacciones de entrada y transacciones generadas en los
sistemas durante el proceso de producción.
• E T I Q U E T A D O (TAGGING – SNAPSHOT):
Estas instrucciones de programas o subrutina, reconocen y registran el flujo de las transacciones diseñadas en programas de aplicación.
Esta técnica es usada por los auditores para rastrear transacciones específicas por medio de los programas de computador y asegurar
la evidencia documental de las relaciones lógicas, condiciones de control y frecuencias de procedimientos.
AUDITORIA V
MATERIAL DE APOYO EXAMEN FINAL
ESCUELA DE AUDITORIA

UNIDAD 7
FRAUDES Y DELITOS INFORMATICOS

RIESGOS DE LA TECNOLOGÍA INFORMÁTICA:

• Errores u omisiones
Tecnológicos
Humanos
Accidentales
• De la naturaleza
• Actos intencionales

Errores u omisiones:
• De la tecnología
• Daños al computador
• Daños a la línea de transmisión
• Head crash
• Caída del sistema
• Falla del sistema operacional
• Bloqueo de terminales
• Humanos
• Errores de digitación
• Error de programación
• Error de operador u operación
• Omisión de procedimientos
• Inexperiencia
• Accidentales
• Incendio
• Ruptura de un tubo
• Explosión
• Corto circuito

De la naturaleza:
• Inundación
• Terremoto
• Rayos
• Huracán
• Condicionales ambientales extremas

Actos intencionales:
• Fraudes
• Virus
• Piratería
• Sabotaje
• Saqueos
• “Errores intencionales”

¿QUÉ ES FRAUDE?
Acto de mala fe que persigue obtener algún beneficio por medio del engaño para el que lo comete.
El fraude se realiza de manera deliberada y la mayor parte de oportunidades es producto de una planeación minuciosa.
Cometer fraude es un DELITO.
POR SU NATURALEZA:
El tener confianza en los subordinados será muy correcto, emotiva o espiritualmente, pero es necesario admitir que esta fe da lugar a exponerse
a toda clase de fraudes.
La totalidad de los manejos indebidos en los negocios se deben a empleados que se consideraban dignos de confianza.
ESCALONES ENTRE LA HONRADEZ Y EL FRAUDE:
• Honradez.
• La necesidad de tener dinero
• La oportunidad de tomarlo
• El fraude
AUDITORIA V
MATERIAL DE APOYO EXAMEN FINAL
ESCUELA DE AUDITORIA

EL FRAUDE EN LAS COMPUTADORAS:

• ELEMENTOS QUE PUEDEN DAR ORIGEN A LOS FRAUDES
• Concentración de datos en un departamento específico.
• Concentración de datos en depósitos de fácil manejo.
• Concentración de datos en depósitos de almacenamiento masivo.
• Reducción del ámbito de personas que conocen de las características de Procesamiento Electrónico de Datos.
• Diversificación de equipos.
• Diversificación de recursos técnicos.
• Diversificación de lenguajes.
• Excesiva confianza depositada en las personas encargadas del manejo de los equipos.
• Descuido en la implantación de controles adecuados.
• Descuido en el acceso al equipo de cómputo.
SISTEMAS MÁS VULNERABLES:
• Los sistemas que pagan automáticamente a clientes, empleados o proveedores, son los más propensos al fraude.
• Los sistemas de control de inventario automático
• Bancos, financieras, aseguradoras.
TIPOS DE FRAUDES EN EL PROCESO ELECTRONICO DE DATOS
Por su naturaleza: patrimonio que resulte afectado.
• Fraude Efectivo: Se da cuando el sustractor obtiene efectivo o títulos negociables.
• Fraude contra la propiedad: Sucede cuando el defraudador sustrae mercaderías y otros bienes para revenderlos.
• Piratería: Consiste en sustraer información de la empresa y negociarla con la competencia o chantajear a la misma empresa.
Por la fuente: Se refiere al punto de partida o elemento del sistema utilizado como base para cometer el fraude.
• Agregar, alterar o eliminar transacciones
• Efectuando cambios en los archivos
• Efectuando cambios en los programas y/o anteponiendo parches: El parche consiste en incorporar una excepción a la lógica
del programa responda con una excepción ante una operación especifica.
Por el número de personas que lo ejecutan.
• Fraude individualizado: un solo individuo
• Fraude colisionado: dos o más personas.
Fraudes por sustracción de servicios:
• Consiste en la utilización de tiempo de computadora u otros servicios a costa de la empresa en beneficio personal.
CARACTERISTICAS DEL DEFRAUDADOR:
• Experiencia en electrónica.
• Puede desempeñar puestos de cierta importancia dado su nivel.
• Intelectual.
• Solvencia Económica
• Capacidad para no ser descubierto.
• Inteligencia para hundir un plan difícil de descubrir.
• Facilidad para actuar sin dejar huella.
• Habilidad de movimiento en su campo de acción.

¿QUÉ ES DELITO?
El delito conlleva daño a la propiedad, las personas o a la sociedad.
Acción, omisión o actividad prohibida por la ley o la sociedad la cual amerita una sanción o castigo cuando se comete.
DELITO INFORMATICO.
La acción humana antijurídica típica y culpable de quien maliciosamente procese, altere, borre, dañen o destruya parcial o totalmente,
cualquier sistema de cómputo o red de computadoras, programas de cómputo o datos de modo que resulte un perjuicio al patrimonio
de otra persona.

CARACTERÍSTICAS DE LOS DELITOS INFORMÁTICOS: (Según el Mexicano Téllez Valdez).

• Conductas criminales de cuello blanco (white collar crime) solo personas con cierto grado de conocimientos técnicos
pueden llegar a cometerlos.
• Son acciones ocupacionales.
• Acciones de oportunidad.
• Provocan serias pérdidas económicas.
• El medio (Redes informáticas) ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una
necesaria presencia física pueden llegar a consumarse.
• Son muy sofisticados y relativamente frecuentes en el ámbito militar.
• Por su carácter técnico, presentan grandes dificultades para su comprobación.
• Anonimato.
AUDITORIA V
MATERIAL DE APOYO EXAMEN FINAL
ESCUELA DE AUDITORIA

CICLO DEL DELITO INFORMÁTICO

FRAUDE

RIESGO DELITO

DAÑO
ECONOMICO O
REPUTACIONAL

DELITOS INFORMÁTICOS:
• Destrucción de cables de comunicación
• Ataques a ATM`s
• Desconexión intencional de cables
• Detonación de bombas
• Robo o secuestro de partes vitales
• Fraude: cambio de fechas
• Extorsión: virus
• Omisión intencional
• Piratería
• Secuestro de software

TIPIFICACIÓN DE LOS DELITOS INFORMÁTICOS

Clasificación según la actividad informática:
Sabotaje Informático:
El término sabotaje informático comprende todas aquellas conductas dirigidas a causar daños en el hardware o en el Software del sistema.
Fraude a través del uso de Computadoras:
Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en
sistemas informáticos, realizada con el objeto de obtener ganancias indebidas.
Estafas electrónicas:
La proliferación de compras por medio de Internet, han sido una de las causas fundamentales por las que se han incrementado los casos de
estafa.
Delitos contra el derecho de autor y demás derechos conexos DTO 33-98:
Copia, renta, venta y distribución ilegal de Software y programas informáticos.
Copia, renta, venta y distribución de datos que contienen bases de datos o intromisión ilegal en bases de datos.
Delitos Informáticos contra la Privacidad:
Consiste en el grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo
y divulgación indebida de datos contenidos en sistemas informáticos.

ACTIVIDADES DELICTIVAS GRAVES

• Terrorismo: Sitios web y otros contenidos que inducen a actividades terroristas. Así mismo, sitios, contenidos y mensajes que
contienen instrucciones en la fabricación de materiales explosivos con fines terroristas.
• Narcotráfico: Transmisión de fórmulas para la fabricación de estupefacientes. Coordinación de estrategias de entrega, recepción y
pago de drogas. Lavado de dólares.
• Espionaje: Acceso no autorizado a los sistemas informáticos gubernamentales o del servicio secreto de los Estados.
AUDITORIA V
MATERIAL DE APOYO EXAMEN FINAL
ESCUELA DE AUDITORIA

CYBERCRIMEN: (Retos de la atribución del delito)

• El anonimato (Falta de identidad)
• Si el delito se comete en Internet u otras redes digitales, los efectos transnacionales y las dificultades de situar el lugar de comisión
del delito y por ende ley y jurisdicción aplicable.

DISPOSICIONES LEGALES DE LOS DELITOS INFORMÁTICOS EN GUATEMALA:

• CÓDIGO PENAL DTO. 17-73
• CONSTITUCION DE LA REPÚBLICA
• LEY DE DERECHO DE AUTOR Y DERECHOS CONEXOS: (ARTÍCULO 274)

ESTEREOTIPOS DE FRAUDES:
• Caballo de troya
• Técnica del salami
• Bombas lógicas
• Superzapping
• Trampas puerta
• Alteración de información
• Acceso no autorizado
• Intercepción o pinchazo
• Escobillas

¿QUÉ ES UN VIRUS?
• Microinstrucciones que son capaces de reproducirse generando un ambiente parasitario.
• Algunos son únicamente diversión, la mayoría causan daño a los sistemas.

DIFERENTES TIPOS DE VIRUS INFORMÁTICOS:

• Técnica del salami
• Redondeo
• Bomba lógica
• Superzapping
• Trampas puerta
• Alteración de información
• Omisión de validaciones
• Clonación de documentos