1

Concepto de Auditoria informática:

Hay especialistas que opinan que la auditoría de gestión financiera con el uso de

recursos informáticos, se denomina Auditoría Informática, sin embargo otros opinan

que este término debe ser exclusivo de las auditorías que se hacen a la función

informática.

Zavaro y Martínez (2) expresan dos definiciones de la misma:

 Auditoría Informática: “Conjunto de procedimientos y técnicas que permiten en una

entidad: evaluar, total o parcialmente, el grado en que se cumplen la observancia de

los controles internos asociados al sistema informático; determinar el grado de

protección de sus activos y recursos; verificar si sus actividades se desarrollan

eficientemente y de acuerdo con la normativa informática y general existentes en la

entidad, y para conseguir la eficacia exigida en el arco de la organización

correspondiente”.

 Auditoría con la informática: “utilización de las técnicas de auditoría asistida por

computadora”.
 2

Técnicas de Auditoría Asistida por Computadoras (TAAC)

Constituyen una de las herramientas básicas del auditor. Estas se pueden dividir en

TAAC estándar y TAAC avanzadas, las estándar consisten en la utilización de

determinados software que actúan sobre los datos y las avanzadas consisten más bien

en realizar procesos sobre los sistemas.

En el caso de los auditores mayormente usan las TAAC estándar.

Según Zavaro y Martínez, entre los trabajos que mayormente realizan las mismas se

pueden citar:

 Selección e impresión de muestras de auditoría sobre bases estadísticas o no

estadísticas.

 Verificación matemática de sumas, multiplicaciones y otros cálculos en los

archivos de información de la entidad.

 Realización de funciones de revisión analítica al establecer comparaciones,

calcular razones identificar fluctuaciones y llevar a cabo cálculos de regresión

múltiple.

 Manipulación de la información al calcular subtotales, sumar y clasificar

información volver a ordenar en serie la información, entre otras.

 Preparación de balances de comprobación, estados financieros, solicitudes de

confirmación, papeles de trabajo de auditoría.

 3

 Examen de los registros de acuerdo con criterios especificados, como puede ser

la verificación de créditos excedidos, cantidades negativas y operaciones en

exceso de importantes especificados.

 Varias funciones de comparación, tales como comparar las cantidades físicas de

los inventarios con las cantidades de los libros.

 Hacer búsquedas de alguna información en particular la cual cumpla ciertos

criterios y que se encuentra dentro de la base de datos del sistema que se audita.

 Poder listar la información encontrada.

 Realizar cálculos, comparaciones, ordenamientos con los datos tomados de

muestra.

 Tomar muestras electrónicas a través de algoritmos estadísticos ya elaborados.

 Realización de diagramas de flujo u otro tipo.

 Creación de gráficos de barras u otro a partir de los datos obtenidos.

Estas técnicas se ejecutan con la utilización de software de auditoría de propósitos

generales o específicos. El software de auditoría de propósitos generales trabaja con

diferentes estructuras de datos siendo los más apropiados para auditores externos. Los

software de propósito específico se utilizan sobre una estructura de base de datos

determinada, son más apropiados para auditores internos.

 4

Capitulo 2

Herramienta ACL

Fue creada por la empresa ACL Services, Ltd, ubicada en Vancouver Canadá.Esta

herramienta que reduce el riesgo y asegura el retorno de la inversión, también posee

una poderosa combinación de accesos a datos, análisis y reportes integrados, ACL lee

y compara los datos permitiendo a la fuente de datos permanecer intacta para una

completa integridad y calidad de los mismos. ACL permite tener una vista inmediata de

la transacción de datos críticos en la organización.

ACL permite

 Análisis de datos para un completo aseguramiento.

 Localiza errores y fraudes potenciales.

 Identifica errores y los controla.

 Limpia y normaliza los datos para incrementar la consistencia de los resultados.

 Realiza un test analítico automático y manda una notificación vía e-mail con el

resultado.
 5

ACL brinda una vista de la información de la organización y habilita directamente el

acceso a búsquedas de cualquier transacción, de cualquier fuente a través de cualquier

sistema.

Ahorra tiempo y reduce la necesidad de requerimiento de información al auditor

informático, incrementa el nivel de datos hospedados en múltiples ERP o aplicaciones

especializadas. Permite examinar el cien por ciento de las transacciones de datos,

cada campo, cada registro. Acceso a diversos tipos de datos con facilidad incluyendo

bases de datos ODBC. Esta herramienta proporciona una completa integridad de

datos, ACL solo tiene acceso de lectura a los datos de los sistemas que se están

monitoreando, esto significa que la fuente de datos nunca será cambiada, alterada o

borrada.

Una de las ventajas de esta herramienta es que tiene un tamaño ilimitado en el

monitoreo de datos y puede procesar rápidamente millones de transacciones de datos

ya que permite leer más de 10,000 y hasta 100,000 registros por segundo.

ACL destaca por ser de fácil uso: selecciona, identifica y da formato a los datos

fácilmente gracias al Data DefinitionWizard con esta librería permite importar y exportar

datos directamente a Excel, Access y XML.

La herramienta tiene comandos pre-programados para análisis de datos, pero

también puede analizar datos adaptándose a una metodología y excepciones de

 6

investigación en cualquier momento, se pueden implementar continuos monitoreos

haciendo análisis automáticos a través de scripts y habilitando la notificación en tiempo

real, explora los datos rápida y completamente.

Otra ventaja es los resultados se pueden ver fácilmente y entenderlos en formatos

tabulares, posee gráficas precargadas, también posee un log de actividad de los

registros, esto permite analizar y comprar registros pasados con los nuevos, posee

vistas de reportes precargadas de CrystalReports.

Especificaciones técnicas:

 PC con procesador Pentium o superior.

 Windows 98/ME o Windows NT (SP6), 2000 (SP2), XP.

 32MB de RAM (Mínimo).

 26MB de espacio en disco duro para ACL (Mínimo) y 44 MD extras si se desea

instalar la librería de CrystalReports.

Otros componentes requeridos:

 Internet Explorer 5.5 o mayor.

 Windows Installer1

 MDAC 2.6

 MsJet 4.0 SP3 o mayor.

 MSXML 4.0 o mayor.

Revista de Arquitectura e Ingeniería. 2012, vol.6 no.2 ISSN 1990-8830 / RNPS 2125
 7

Funciones de ACL:

 Analiza poblaciones de datos completos.

 Identifica tendencias y excepciones, y resalta posibles áreas problemáticas.

 Registra actividades de análisis anteriores, lo que permite examinar y comparar

los resultados.

 Identifica problemas de control y garantiza el cumplimiento de los estándares.

 Calcula la antigüedad y analiza transacciones financieras o transacciones que se

vean afectadas por el paso del tiempo.

 Automatiza las pruebas analíticas y se reciben notificaciones inmediatas de los

resultados.

 Ayuda al análisis de ventas, control de calidad, revisiones de nóminas

Funciones específica para la auditoría:

Desde comandos tales como Faltantes, Duplicados y Estratificar hasta el importante
log de comandos o el historial detallado. La funcionalidad incorporada de revisión de
cuentas le permite a auditores y contadores, sin experiencia técnica o de programación,
realizar rápidamente análisis e informes sobre datos financieros. Procesa rápidamente
millones de transacciones, asegurando una cobertura del 100% y una confianza
absoluta en sus resultados.

El Asistente de definición de datos fácilmente selecciona, identifica y da formato a

los datos, acelerando su acceso a las poderosas capacidades de análisis y generación
de informes de ACL.
 8

ACL puede leer y analizar cualquier tipo de datos accediendo a cualquier entorno de
su organización (tales como Oracle, SQL Server, Informix , AS400, IBM/390, SAP™
R/3™, archivos de informe de longitud variable, archivos privados, archivos
tradicionales, archivos de informe y muchos más) .

 Relaciona y trabaja simultáneamente con varios archivos (Modelo

Entidad/Relación), para hacer análisis e informes aún más completos.

 Crea informes en HTML para su publicación en Internet o en la Intranet de su

organización.

 Automatiza y registra sus pasos y desarrolla aplicaciones especiales, haciendo

más productivas las auditorías futuras.

 Permite revisar o imprimir, en cualquier momento, un historial completo de sus

archivos, pasos y resultados.

Análisis más recurrentes de ACL:

 Análisis de Riesgos.
 Análisis y detección de fraudes.
 Identificación de excepciones y anomalías.
 Identificación de problemas de control.
 Evaluación de procesos y cumplimiento de estándares.
 Señalar excepciones y destacar áreas que requieren atención.
 9

 Localizar errores y posibles irregularidades.

 Recuperar gastos o ingresos perdidos, detectando pagos duplicados.
 Revisar exhaustivamente el 100% de la información en minutos.
 Asegurar la integridad de los resultados, al procesar los datos en forma protegida
sin posibilidad de alterarlos.
 Ajustar pro activamente las pruebas en base a los hallazgos.
 Aumentar la eficiencia y precisión en los resultados tomando ventaja de
funciones propias de auditoria, listas para su uso: estratificación, identificación de
duplicados, faltantes, muestreo estadístico, comparaciones, cálculos y otros.

Aplicar diferentes filtros acorde con las necesidades de la investigación y establecer

relaciones entre diversos archivos para efectuar las comparaciones que se requieran.

 Documentar su trabajo con un historial detallado y huella de auditoria del estudio

realizado.
 Automatizar pruebas repetitivas y de monitoreo continuo.
 Analizar los datos en el origen, incrementando la capacidad de procesamiento,
seguridad y confiabilidad de sus servidores o mainframes con opciones
Cliente/Servidor, evitando duplicar datos y congestionamiento en la red.
 Acceso directo e impecable a los datos que residen en entornos SAP R/3, a través
de la opción Direct Link.
 Reducción de los riesgos operacionales.
 Minimización del riesgo de fraude.
 Integridad y confiabilidad de la información para la toma de decisiones.
 Investigaciones más detalladas, identificación fácil y rápida de discrepancias.
 10

 Acceso oportuno a todo el universo de la información.

 Ciclos de auditoria más cortos y mucho más económicos.
 Procesos de negocios más confiables, seguros y efectivos.
 Incremento de la calidad y productividad con ahorro de recursos.
 Supervisión y optimización de los controles de sistemas y procesos.

Características generales:

 Permite importar archivos de diferentes fuentes o formatos (archivos planos y de

base de datos específicas).

 Los datos importados no son modificados asegurando la integridad e

incrementando el nivel de confianza de los datos trabajados

 Generación de pistas de auditoria (Quien, Como, Cuando, Donde)

 Posibilidad de escribir Scripts/Macros que automaticen procedimientos de

revisión rutinaria en auditorias recurrentes.

 Incrementa la cobertura de revisión al 100% de datos a analizar.

Características específicas:
 Identificar tendencias, señalar excepciones y destacar áreas que requieren
atención
 Localizar errores y fraudes potenciales, mediante la comparación y el análisis de
archivos según los criterios especificados por el usuario
 Volver a calcular y verificar saldos
 Identificar problemas de control y asegurar el cumplimiento de las normas.
 Analizar y determinar la antigüedad de las cuentas por cobrar, cuentas por pagar
 11

u otras transacciones a las que afecta el tiempo transcurrido

 Recuperar gastos o ingresos perdidos, detectando pagos duplicados, secuencias
numéricas incompletas en la facturación o servicios no facturados
 Detectar relaciones no autorizadas entre el personal de la empresa y los
proveedores.

Capitulo 3

Listas de control de acceso

En ocasiones, para restringir el acceso a los recursos del sistema no es suficiente

con la utilización de perfiles de usuario y la creación de grupos, sino que es necesario

realizar un ajuste más riguroso. Por ejemplo, puede existir un directorio donde

únicamente deban acceder dos usuarios que pertenecen a grupos distintos para

realizar cosas diferentes. Para estos supuestos se utilizan las listas de control de

acceso –ACL- (Access Control List), cuya utilización variará en función del sistema

operativo instalado, aunque los fundamentos son los mismos.

Las listas de control de acceso son una herramienta que permite controlar qué

usuarios pueden acceder a las distintas aplicaciones, sistemas, recursos, dispositivos,

etc.

Las ACL son un mecanismo básico para proporcionar seguridad a las redes de

datos pudiéndose utilizar tanto para restringir y controlar el acceso desde el punto de
 12

vista de la red (proporcionando seguridad a las redes de datos), como desde el punto

de vista del sistema operativo para realizar esas mismas tareas sobre distintos

recursos del sistema. Por un lado, los elementos constitutivos de la red suelen utilizar

ACL basadas en direcciones de red, direcciones IP o direcciones MAC para configurar

las políticas de acceso o bloqueo a los recursos. Así, mediante el establecimiento de

políticas de seguridad en los firewall que protegen la red, puede permitirse el acceso

desde o hacia solo determinados sistemas, pueden bloquearse todos los puertos que

no vayan a ser explícitamente necesarios, etc. Por otro lado, las ACL también se

aplican masivamente en servicios básicos de red tales como proxy (para controlar

quién puede salir a Internet o quién puede visitar qué páginas), servidores DNS (para

evitar ataques desde direcciones IP no identificadas), servidores de correo electrónico

(para evitar ataques por spam desde direcciones IP no autorizadas), etc.

Algunas de las ventajas de crear y utilizar ACL en redes son:

– Posibilidad de mejorar el rendimiento de la red limitando determinado tráfico. Por

ejemplo, se puede impedir que los empleados de una oficina descarguen o visualicen

ficheros de vídeo. Los ficheros de vídeo ocupan mucho ancho de banda y pueden

llegar a colapsar la red.

– Posibilidad de permitir o denegar el acceso de equipos a ciertas zonas de la red.

Por ejemplo, los alumnos que utilizan el servidor que proporciona servicios a su aula no
 13

deberían tener acceso al servidor de la secretaría del centro o los empleados que

trabajan en una zona de red (caracterizada por un rango de direcciones IP) no deberían

acceder a la zona de red donde trabaja el personal de administración.

– Permiten que no se ejecuten determinados comandos por la red destinados a fines

malintencionados (instalación de troyanos, comandos de apagado, etc.). A cambio,

presentan el inconveniente de que la exhaustividad en el nivel de control complica

bastante la administración de la seguridad del sistema. Por tanto, habrá que valorar

hasta qué punto las ventajas superan a los inconvenientes en cada supuesto.

Configuración de las listas de control de acceso en los distintos sistemas

operativos.

ACL en Windows en sistemas Windows, las opciones de comparación de recursos

van a depender del sistema de archivos con el que se trabaje. Si FAT32 únicamente

permitía la compartición de recursos a todos los usuarios o prácticamente a ninguno,

NTFS abre un mundo de posibilidades que permite aprovechar al máximo las ventajas

de la comparación de recursos y la asignación de permisos avanzada.

En los discos o volúmenes formateados con NTFS, cada fichero y cada directorio

tiene una lista de control de acceso o permisos NTFS. Para cada usuario que tiene

acceso a un directorio o a un fichero existe una entrada de acceso que indica el tipo de

operaciones que puede realizar. Windows distingue dos tipos de privilegios de acceso:
 14

– Los permisos: establecen la forma de acceder a un objeto concreto, por ejemplo,

escribir un archivo NTFS.

– Los derechos: establecen qué acciones se pueden realizar en el sistema, como

por ejemplo iniciar sesión.

El propietario de un recurso (o un administrador) asigna permisos sobre dicho

recurso a través del cuadro de diálogo de propiedades del mismo. Por ejemplo, si en la

carpeta D:\Programas se hace clic sobre ella con el botón secundario del ratón, se abre

el cuadro de diálogo Propiedades. Si se selecciona la pestaña Seguridad se ven los

usuarios que tienen permisos sobre ella.

Los administradores configuran los derechos y privilegios del usuario dentro del

sistema a través de la consola Directiva de seguridad local, a la que se accede desde

Panel de control / Herramientas administrativas. Desde allí también se puede configurar

la asignación de los usuarios a grupos del sistema. Los permisos sobre ficheros son

distintos de los que se pueden aplicar a los directorios. Unos y otros tienen un usuario

propietario, que es quien ha creado esa carpeta o fichero y quien tiene control total

sobre el objeto. Para cada objeto (fichero, directorio, recurso) se establece una lista de

usuarios y/o grupos y a cada uno de ellos se les aplican los permisos pertinentes.
 15

Esta lista se denomina ACL (Access Control List). Cada una de las entradas que

forman estas listas recibe el nombre de ACE (Access Control Entry). En un sistema en

red debidamente configurado, el administrador del sistema se encarga de establecer

los permisos, los derechos y los privilegios del usuario. Los usuarios normales, no

administradores, deberían tener privilegios mínimos o nulos dentro del sistema y no se

les debería permitir la realización de acciones como la instalación de programas o

modificaciones en el sistema. Tan solo deben ser propietarios de sus directorios de

trabajo en zonas de trabajo seguras (directorios en la red, directorios locales, etc.).

Máscara En Linux existe una máscara, o patrón de permisos por defecto, que se

aplica en la creación de los ficheros y directorios.

Los permisos por defecto en la creación de ficheros son 644 ( rw-r--r-), mientras que

para los directorios es de 755 ( rwxr-xr-x ). ACL en Linux Antes de ver cómo se

establecen las listas de control de acceso en Linux, veremos cómo se establecen los

permisos en Linux. En Linux, todos los usuarios pertenecen a un grupo principal (que

lleva el nombre de ese usuario o se le puede asignar otro existente) y, además, pueden

pertenecer a otros secundarios.

 16

El usuario administrador del sistema se denomina root y tiene todos los privilegios

del sistema, como la creación de nuevos usuarios, el cambio de las contraseñas de los

otros usuarios o la ejecución de comandos privilegiados del sistema. Desde el punto de

vista de la seguridad, no es recomendable trabajar con este usuario, sino con otro con

menos privilegios. Cada fichero o directorio pertenece a un usuario y, por tanto, a uno

de los grupos a los que pertenece el usuario. Los permisos de cada fichero o di rectorio

se ajustan para el usuario propietario ( u ), para su grupo ( g ) y para el resto ( o ).

Estos permisos aplicados implican que el recurso puede leerse ( r ), ser editado ( w ) o

ser ejecutado ( x ), además existe un cuarto campo que indica la máscara. Los

permisos sobre ficheros y directorios se establecen mediante el comando chmod,

usando la notación UGO o la notación octal.