Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(AUDITORÍA EN INFORMÁTICA )
7to Semestre: 10
DOCENTE:
CPA. CARLOS GABRIEL PARRALES CHOEZ, MCA.
MOVIL: 0994748743
SOLO MENSAJES DE TEXTO SOBRE LA MATERIA
CORREO INSTITUCIONAL:
CARLOS.PARRALESCH@UG.EDU.EC
2019 - 2020
Magíster en Contabilidad y Auditoria por la
Universidad Laica Vicente Rocafuerte de
Guayaquil. Contador Público Autorizado por la
C.V.DOCENTE Universidad de Guayaquil.
CAPITULO IV
DEL PROCESO DE EVALUACIÓN
Para la promoción de las asignaturas, cursos o sus equivalentes el estudiante deberá cumplir
con al menos el 70% de las asistencias a las clases programadas.
El registro de las asistencias será de responsabilidad del docente, y se realizara a través del
portal web. La asistencia será el promedio de la sumatoria del primero y el segundo parcial,
considerando que se registrara sobre el 100% en cada parcial.
Ponderaciones:
30% Gestión formativa.
30% Gestión práctica y autónoma de los aprendizajes.
40% Acreditación y Valuación de los aprendizajes.
Índice del Informe: Detalla el número de hojas. Si es más de una hoja. Tipo tesina.
Resumen
Descripción breve del tema. (200 a 250 palabras),
Palabras Claves:
Abstract (Inglés)
Descripción breve del tema. (200 a 250 palabras),
Palabras Claves:
Introducción:
Desarrollo Metodológico
Referencias
EJ.: AUTOR, AA.(AÑO). Título del capitulo, título de la obra (pp.xx-xxx) Ciudad: Editorial))
no menor a 5 años en la fecha actual.
NIA
CONTROL INTERNO (ISO, Herramientas COSO II-
III, Cobit, ITIL)
Hojas bond.
Papelografos o diapositivas.
Lápiz, esferos o plumas.
Pendrive.
Cuaderno.
Laptop.
Internet y Otros.
¿Qué es Auditoría?
Un proceso sistemático que consiste en obtener y evaluar
objetivamente la evidencia sobre las afirmaciones relativas a los
actos y eventos de carácter económico; es decir sobre los balances
que estén razonables; para luego informar a los dueños o los socios.
¿Qué es informática?
La informática se refiere al procesamiento automático de
información mediante dispositivos electrónicos y sistemas
computacionales.
❑ Controlar el uso de la computadora, que cada día se vuelve más importante y costosa.
4. – Seguridad.
✓ Física y lógica.
✓ Confidencialidad.
✓ Respaldos.
✓ Seguridad del personal.
✓ Seguros.
✓ Seguridad en la utilización de los equipos.
✓ Plan de contingencia y procedimiento de respaldo para casos de
desastre.
✓ Restauración de equipo y de sistemas.
Efectividad de los sistemas. Los sistemas deben cumplir con los objetivos de la
organización.
Eficiencia de los sistemas. Que se cumplan los objetivos con los menores recursos.
Seguridad y Confidencialidad.
CASO
Una web fue hackeada por un spammer
El sitio web de una empresa fue atacada por unos
spammers y al entrar en su web visualizaban anuncios
Publicitario.
Spammers
Se le llama Spasmado, Al sujeto o persona que hace
Spam. Se llama spam, correo basura o mensaje basura a
los mensajes no solicitados, no deseados o de remitente
no conocido, habitualmente de tipo publicitario,
generalmente enviados en grandes cantidades que
perjudican de alguna o varias maneras ...
MONITOREO PLANEACIÓN Y
ORGANIZACIÓN
RECURSOS DE TI
• datos
• sistemas de
aplicación
• tecnología
• instalaciones
• gente
ADQUISICION E
ENTREGA Y
IMPLANTACION
SOPORTE
Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf
Unidad 1
DEFINICIÓN DE LA AUDITORIA
INFORMÁTICA.
Presentación de las herramientas de
auditoria
ACL Software para Auditoría
Interna y Auditoría de
Sistemas
http://www.eniac.com/productos/acl.htm
Aplicaciones de ACL:
Auditorías financieras, de operaciones o de sistemas, análisis de ventas, control de
calidad, revisiones de nóminas y otros. Análisis típicos son:
Análisis de Riesgos.
Análisis y detección de fraudes.
Identificación de excepciones y anomalías.
Identificación de problemas de control.
Evaluación de procesos y cumplimiento de estándares.
Señalar excepciones y destacar áreas que requieren atención.
Localizar errores y posibles irregularidades.
Recuperar gastos o ingresos perdidos, detectando pagos duplicados.
Eniac complementa todos los productos de ACL Services con los servicios necesarios de
establecimiento de políticas y procedimientos, soporte técnico, instalación, integración,
entrenamiento y respaldo para garantizar implementaciones altamente efectivas y con
excelente relación costo/valor.
DEFINICIÓN DE LA AUDITORIA
INFORMÁTICA.
DEFINICIÓN DE LA AUDITORIA
INFORMÁTICA.
¿Qué paquetes de software de Auditoria
están hoy disponibles?
Ej.:
Auditor de programas, revisa cada una de los
componentes que posee físicamente un computador
para luego reportarlo.
Durante los 2 primeros años, Andrea demostró ser una persona trabajadora, honesta y digna de
toda confianza, hasta el punto que se ganó la confianza del Sr. Steven, Gerente de la Sucursal.
A comienzos del año 2008, Andrea, fue ascendida como contadora y tesorera de la Sucursal.
Dentro de sus nuevas funciones, Andrea, debía autorizar y contabilizar el pago de las compras
de materiales y servicios que eran aprobadas por el jefe de compras. Esta autorización se daba
mediante una firma en el egreso y una primera firma en el cheque. Firmado el cheque por
Andrea, se lo pasaba al Sr. Steven para la segunda firma, y posterior entrega al proveedor.
A finales del año 2009, en la evaluación de los procesos, los auditores de la Sucursal,
identificaron que existía una debilidad importante en la segregación de funciones, debido a que
Andrea participaba en toda la transacción, autorizando el pago, custodiando los bancos y
realizando el mantenimiento de registros. Lo que dificultaba la prevención y detección de
fraudes debido a que gran parte de la operación de egresos se concentraba en Andrea.
A finales del año 2012, el Sr. Steven es trasladado como gerente a un país en Centro
América.
En ese mismo año asumió la Gerencia el Sr. Romero, quien contaba con una amplia
experiencia como contralor en la industria.
El 5 de febrero del 2013, el Sr. Romero, detecta que Andrea estaba falsificando cuentas de
cobro por servicios de transporte de la siguiente forma:
Andrea en el año 2008, creó un proveedor ficticio (novio), aprovechando que tenía
acceso al sistema, quien semanalmente pasaba una cuenta de cobro por transporte de
materiales. Con la cuenta falsa, Andrea procedía a falsificar la firma del jefe de compras.
Con la cuenta de cobro y la firma falsificada, Andrea, la niña tímida de ojos grandes y
mirada tierna, procedía a autorizar el pago al proveedor ficticio (novio) mediante la firma
de un cheque por un valor superior US$ 2.500.
Con la firma de Andrea en el cheque, autorizando el pago, el Sr. Steven, con toda
confianza, procedía a realizar la segunda firma en el cheque, para el respectivo pago al
proveedor ficticio.
Aunque sus auditores detectaron la debilidad, nunca efectuaron un seguimiento a la
implementación de su recomendación.
El Sr. Steven se fue del país sin sospechar que Andrea, esa niña tierna con apariencia
inofensiva, hurtó más de US$130.000 durante 5 años.
Carlos Parrales Choez. CPA. MCA
UNIDAD 2
Modelo COSO
Marco interno de control interno que plantea el informe
COSO consta de cinco componentes interrelacionados,
derivados del estilo de la dirección, e integrados al proceso
de gestión:
Ambiente de Control.
Evaluación de los Riegos.
Actividades de Control.
Información y Comunicación.
Supervisión.|
1. El conocimiento preliminar.
2. La planeación.
3. Ejecución de la auditoria.
4. La Elaboración del informe.
En la Auditoria de Normatividad,
Determina si la entidad ha ejecutado las actividades
relacionadas con el cuidado de los recursos
informáticos, es decir evaluará:
Verificación del cumplimiento normativo de aplicación
a lo tecnológico.
a) Síntomas de descoordinación y
desorganización:
No coinciden los objetivos de la gerencia de TI con los
de la propia organización.
d) Síntomas de Inseguridad
Evaluación de nivel de riesgos.
Seguridad Lógica.
Seguridad Física.
Confidencialidad.
Enfoque Metodológico.
Conocimiento Preliminar
Planeación
REVISIÓN PRELIMINAR
REVISIÓN PRELIMINAR
Las evidencias se pueden recolectar por medio
de:
• Cuestionarios iniciales
• Entrevistas
• Documentación narrativa
2.- PLANEACIÓN DE LA
AUDITORIA INFORMÁTICA.
REVISIÓN DETALLADA
REVISIÓN DETALLADA
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN.
PRUEBAS SUSTANTIVAS
Existen 8 pruebas.
1. Pruebas para identificar errores en el procesamiento o de falta
de seguridad o confidencialidad.
2.Pruebas para asegura la calidad de los datos.
3.Pruebas para identificar la inconsistencia de los datos.
4.Pruebas para comparar con los datos o contadores físicos.
5.Confirmación de datos con fuentes externas.
6.Pruebas para confirmar la adecuada comunicación.
7.Pruebas para determinar la falta de seguridad.
8.Pruebas para determinar problemas de legalidad.
PRUEBAS SUSTANTIVAS
El auditor debe participar en tres estados del
sistema:
PRUEBAS SUSTANTIVAS
El que el auditor participe en el diseño del
sistemas pueda afectar a la independencia
del
mismo, existen formas en las cuales se
puede
eliminar esto:
PRUEBAS SUSTANTIVAS
Realizar una auditoría en
informática es un trabajo “La suma de los óptimos parciales de los
complejo. subsistemas no es igual al óptimo
del sistema, pero nos da una buena
aproximación.”
Para ello, lograr los objetivos,
el auditor necesita dividir los
sistemas en una serie de
subsistemas, identificando los
componentes que realizan las
actividades básicas de cada
subsistema.
PRUEBAS SUSTANTIVAS
Invesigación Investigación Prueba los Pruebas Conclusión
Preliminar detallada controles sustantivas
críticos
Ejemplo:
Sistemas de base de datos,
sistemas distribuidos o de
comunicación, tecnología sobre la
cual la organización tenga muy
poca experiencia o respaldo, la
cual es más probable que sea una
fuente de problemas de control.
Carlos Parrales Choez. CPA. MCA
Unidad 3
Una vez elaborada la planeación de la auditoría, la cual servirá como plan maestro de
los tiempos, costos y prioridades, y como medio de control de la auditoría, se debe
empezar la recolección de la información.
Se procederá a efectuar la revisión sistematizada del área a través de la observación y
entrevistas de fondo en cuanto a:
Estructura Orgánica
Se deberá revisar la situación de los recursos humanos.
Entrevistas con el personal de procesos electrónicos.
Se deberá conocer la situación presupuestal y financiera.
Se hará un levantamiento del censo de recursos humanos y análisis de situación.
Por último, se deberá revisar el grado de cumplimiento de los documentos
administrativos.
4) Flujos de Información:
Los flujos de información entre los grupos de una organización son necesarios para su eficiente
gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.
Recursos Humanos
La cantidad de recursos depende del volumen auditable.
Las características y perfiles del personal seleccionado
depende de la materia auditable.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista.
Conocedor de las metodologías de Desarrollo más importantes.
Experto en Bases de Datos y Administración de las Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de
mismas. productos compatibles y equivalentes. Buenos conocimientos de
explotación
Experto en Explotación y Gestión de CPD´S Responsable de algún Centro de Computos. Amplia experiencia en
Automatización de trabajos. Experto en relaciones humanas. Buenos
conocimientos de los sistemas.
Muñoz RazoParrales
Carlos C. Pág. Choez.
49, Prentice Hall.
CPA. MCA
3.- PLANEACION DE LA AUDITORIA.
EVALUACIÓN DE LOS RECURSOS
HUMANOS, FINANCIEROS, MATERIALES Y
PRESUPUESTOS.
Para auditorías internas de macroempresas y empresas grandes
TALLER
Identificar en el caso propuesto ASIGNADO A CADA GRUPO
que tipo de documentación se debe de utilizar en para poder
realizar el conocimiento del negocio de la auditoria :
Ingeniero
Raúl Eduardo Flores Granados
Gerente del Área Informática
Distribuidora Granada, S.A. de C.V.
Ecuador.
Ustedes nos han solicitado que auditemos el ambiente del Sistema de Información Computarizado: Mónica Versión 8.5 al año 2010. Por medio de la presente,
tenemos el agrado de confirmar nuestra aceptación y nuestro entendimiento de este compromiso. Nuestra auditoría será realizada con el objetivo de que
expresemos una opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados.
Efectuaremos nuestra auditoría de acuerdo con Normas de Calidad. Dichas Normas requieren que planeemos y desempeñemos la auditoría para obtener una
certeza razonable sobre si el Sistema Mónica Versión 8.5 esté libre de fraudes sistemáticos importantes. Una auditoría incluye el examen, sobre una base de
pruebas, también inclúyela evaluación de los sistemas y procedimientos y la evaluación de los equipos de cómputo. En virtud de la naturaleza comprobatoria y
de otras limitaciones inherentes de una auditoría, junto con las limitaciones inherentes de cualquier sistema y control interno, hay un riesgo inevitable de que
aún algunos fraudes sistemáticos importantes puedan permanecer sin ser descubiertas. Además de nuestro dictamen sobre el Sistema Mónica Versión 8.5,
esperamos proporcionarle una carta por separado, referente a cualquier debilidad sustancial en tales sistemas y control interno que hayan llamado nuestra
atención.
Les recordamos que la responsabilidad de tener un adecuado ambiente de tecnología de información y la adecuación de la misma, corresponde a la
administración de la compañía. Esto incluye el diseño, implementación, mantenimiento de equipos de cómputo y de controles internos adecuados, la selección
y aplicación de políticas, y las salvaguarda de los activos de la compañía. Como parte del proceso de nuestra auditoría, pediremos de la administración
confirmación escrita referente a las representaciones hechas a nosotros en conexión con la auditoría.
Esperamos una cooperación total con su personal y confiamos en que ellos pondrán a nuestra disposición toda la información que se requiera en relación con
nuestra auditoría. Nuestros honorarios que se facturarán a medida que avance el trabajo, están basados en el tiempo requerido por las personas asignadas al
trabajo más gastos directos que hemos acordado con ustedes. Las cuotas por hora individuales varían según el grado de responsabilidad involucrado y la
experiencia y pericia requeridas.
Está carta será efectiva para años futuros a menos que se cancele, modifique o sustituya.
Favor de firmar y devolver la copia adjunta de está carta para indicar su comprensión y acuerdo sobre los arreglos para nuestra auditoría del ambiente de la
tecnología de la información.
Atentamente,
F. _______________________________
Licda. Xiomara Patricia Pérez de Melgar Inscripción Nº 2610 F. _____________________________
Ingeniero Raúl Eduardo Flores Granados Gerente del Área
Fecha y sello del cliente
Carlos
Muñoz RazoParrales
C. Pág. Choez. CPA. MCA
103, Prentice Hall.
CONTROLES GENERALES
Clasificación general de los controles
• Controles detectivos: Son aquellos que no evitan que ocurran las causas del
riesgo sino que los detecta luego de ocurridos. Son los mas importantes
para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles
preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría.
Procedimientos de validación.
La banda Carbanak está detrás del robo digital más grande de la historia.
Muñoz RazoParrales
Carlos C. Pág. Choez.
181, Prentice Hall.
CPA. MCA
Metodología para realizar auditorías de sistemas
computacionales o Informáticos
1ª etapa:
Planeación de la auditoría de sistemas computacionales
HONORARIOS
En una empresa se realizó hace más de 2 años una auditoria para la revisión
del software instalado en todos sus computadores, el informe final, concluyó
que el 95% de los computadores cumplía con el software licenciado. Hoy se
quiere hacer una auditoria para revisar nuevamente el software instalado en
450 computadores de la empresa, 200 son portátiles y 250 de escritorio,
actualmente 10 de los 250 computadores de escritorio son nuevos y los están
configurando, 2 de los portátiles están en mantenimiento, 3 los tienen 3
directivos que se encuentran fuera del país y en el momento hay 4 empleados
que están de vacaciones. Por restricción de tiempo del auditor de informática,
no tiene disponibilidad para revisar el 100% de los computadores por lo tanto
se requiere calcular una muestra estratificada por clase de computador y
representativa. Se quiere trabajar con una confiabilidad del 95% y se espera un
error máximo del 5%.
AUDITORIA DE HARDWARE Y SOFTWARE EN
LAS ESTACIONES DE TRABAJO
OBJETIVOS ESPECIFICOS
Evaluar si la persona encargada del mantenimiento y
programación del sistema informático de la empresa cumple
con el perfil del puesto.
GESTIÓN ADMINISTRATIVA:
Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que está estructurado tanto
desde del punto de vista organizacional y administrativo, así como el organigrama, número y distribución de
empleados, sistema interno de autorizaciones, firmas, formularios utilizados, secuencia de operaciones y otros
aspectos similares que se realizan con la utilización del sistema informático.
Verificar si se ha diseñado un manual de organización y funciones a ser aplicado a los y por los usuarios del
área de informática.
Verificar si las contrataciones del personal del área de informática se han realizado con base a los criterios
establecidos en el manual de funciones y cumplen el perfil del puesto.
Verificar si la administración provee oportunamente los recursos necesarios para la adquisición del software
actualizado para la protección de los sistemas informáticos.
Verificar si la administración promueve la capacitación y adiestramiento constante del personal del área de
informática.
Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves de acceso
a las bases de datos.
Verificar que las instalaciones donde labora el personal del área de informática estén adecuadas a las
necesidades y no representen peligro para los empleados.
GESTIÓN INFORMÁTICA:
Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado el equipo informático.
Se verificará si se lleva un control de las operaciones realizadas y si queda un registro de los usuarios del área de informática y los
horarios en los cuales, han utilizado el equipo del centro. También se solicitará información correspondiente a si se ha realizado en
otras ocasiones auditorías al sistema informático.
Externa: Conocimiento e identificación de los usuarios del área de informática, así como de los proveedores de materiales y accesorios
y otros clientes.
2) Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario, inmuebles, equipos, inventarios y otros que tienen
relación al área de informática y la ubicación de sucursales, en caso de que también utilicen dicho sistema.
3) Verificar si los programas utilizados dentro de la entidad han sido diseñados específicamente para la empresa y hasta que punto
estos programas son operativos y satisfacen las necesidades de la entidad.
4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informáticos.
5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la auditoria de sistemas informáticos.
7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello será necesario contratar a un perito
programador, para que efectué las pruebas correspondientes.
9) Verificar quienes están autorizados para realizar modificaciones a los sistemas informáticos y quien autoriza cada una de estas
modificaciones.
10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los sistemas informáticos,
verificar si existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las ordenes se efectúan
solamente de manera verbal.
11) En el caso de que exista el registro de las solicitudes de cambios mencionados en el punto anterior, realizar pruebas en el
sistema para verificar que se hayan realizado correctamente y que respondan a la solicitud de la gerencia o de quien lo haya
autorizado.
12) Verificar quien es el responsable de autorizar los niveles de jerarquía y niveles de acceso a utilizar dentro del sistema y si
existe algún registro escrito por medio del cual se hayan emitido dichas autorizaciones.
13) Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de la información más
importante, cuyo daño pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anómalas dentro
del sistema informático.
14) Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección del personal que trabaja como usuario de
los sistemas informáticos de la entidad.
Carlos Parrales Choez. CPA. MCA
15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores, a los cuales no deberían acceder.
Evaluación de la Estructura Orgánica