UNIVERSIDAD REGIONAL AUTÓNOMA DE

LOS ANDES

“UNIANDES” - TULCÁN

SISTEMAS MERCANTILES

CONTABILIDAD Y AUDITORIA

ALUMNAS: LUPE CALPA

ANITA DELGADO
CECILIA REALPE D.

TUTOR: ING. DARIO MALDONADO

VII NIVEL

ENERO - 2011
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

TEMÁTICA A INVESTIGAR:

1. JUSTIFICATIVOS DE LA AUDITORIA DE SISTEMAS

2. CONTROLES
3. CLASIFICACIÓN DE LOS CONTROLES DE AUDITORIA
FINANCIERA

OBJETIVOS

 Conocer sobre la temática de todo lo referente a auditoria de sistemas, para

poder analizar, emitir y transmitir un comentario.

INTRODUCCION DE AUDITORIA DE SISTEMAS

La Auditoría es un examen crítico que no implica la preexistencia de fallas en la

entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia
de una sección o de un organismo.
 
El auditor informático ha de velar por la correcta utilización de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
Sistema de Información. Para la realización de una Auditoría Informática eficaz, se
debe entender a la empresa en su más amplio sentido. Todos utilizan la Informática
para gestionar sus negocios de forma rápida y eficiente con el fin de obtener
beneficios económicos y reducción de costos.

TIPOS DE AUDITORIAS INFORMÁTICAS

 
Desde el punto de vista de informática la podemos clasificar así:
 
a) Auditoría Informática de Explotación
b) Auditoría Informática de Desarrollo de Proyectos o Aplicaciones
c) Auditoría Informática de Sistemas
d) Auditoría Informática de Comunicación de Redes
e) Auditoría de la Seguridad Informática
 
 Auditoría Informática de Explotación. La explotación Informática se ocupa
de producir resultados, tales como listados, archivos soportados
magnéticamente, órdenes automatizadas, modificación de procesos, etc.
Para realizar la explotación Informática se dispone de datos, las cuales
sufren una transformación y se someten a controles de integridad y calidad.
(Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero
pueden que no sirvan; estos dos juntos expresan una muy excelente
información. 
 Auditoría Informática de Desarrollo de Proyectos o Aplicaciones. La
función de desarrollo de una evaluación del llamado Análisis de
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
2
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

Programación y sistemas. Así por ejemplo una aplicación podría tener las
siguientes fases:
 
b) Prerrequisitos del usuario y del entorno
c) Análisis Funcional
d) Diseño
e) Análisis orgánico (Preprogramación y Programación)
f) Pruebas y
g) Explotación.
 
Todas estas fases deben estar sometidas a un exigente control interno, de lo
contrario, pueden producirse insatisfacciones del cliente, insatisfacción del usuario,
altos costos, etc. Por lo tanto la Auditoría deberá comprobar la seguridad de los
programas, en el sentido de garantizar que el servicio ejecutado por la maquina, los
resultados sean exactamente los previstos y no otros (El nivel organizativo es
medido por los usuarios, se da cuenta el administrador Ej. La contabilidad debe
estar cuadrada.
 
 Auditoría Informática de Sistemas.  Se ocupa de analizar la actividad que
se conoce como técnica de sistemas, en todos sus factores. La importancia
creciente de las telecomunicaciones o propicia de que las comunicaciones,
líneas y redes de las instalaciones informáticas se auditen por separado,
aunque formen parte del entorno general del sistema. (Ej. Auditar el
cableado estructurado, ancho de banda de una red LAN)
 
 Auditoria Informática de comunicación y Redes.  Este tipo de Auditoría
deberá inquirir o actuar sobre índices de utilización de las líneas
contratadas con información sobre tiempos de uso, deberá conocer la
topología de la red de comunicaciones, ya sea la actual o la desactualizada.
Deberá conocer cuantas líneas existen, como son, donde están instaladas, y
sobre ellas hacer una suposición de inoperatividad Informática. Todas estas
actividades deben estar coordinadas y dependientes de una sola
organización. (Debemos conocer los tipos de mapas actuales y anteriores,
como son las líneas, el ancho de banda, suponer que todas las líneas están
mal, la suposición mala confirmarlo).
 
 Auditoría de la Seguridad Informática. Se debe tener presente la cantidad
de información almacenada en el computador, la cual en muchos casos
puede ser confidencial, ya sea individuos, las empresa o las instituciones, lo
que significa que se debe cuidar del mal uso de esta información, de los
robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total.
En la actualidad se debe también cuidar la información d los virus
informáticos, los cuales permanecen ocultos y dañan sistemáticamente los
datos.
CARACTERÍSTICAS DE LA AUDITORIA DE SISTEMAS

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
3
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

La información de la empresa y para la empresa, siempre importante, se ha

convertido en un activo Real de la misma, como sus stocks o materias primas si las
hay. Por ende, han de realizarse inversiones informáticas. Del mismo modo, los
sistemas informáticos han de protegerse de modo global y particular: A ello se debe
la existencia de la Auditoría de Seguridad Informática en general, o a la Auditoría
de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de
Sistemas.
 
Cuando se producen cambios estructurales en la informática, se reorganiza de
alguna forma su función: Se esta en el campo de la Auditoría de Organización
Informática.
 
Estos tres tipos de Auditoría engloban a las actividades auditoras que se realizan en
una Auditoría parcial. De otra manera: cuando se realiza una Auditoría del área de
Desarrollo de Proyectos de la Informática de una empresa, es porque en ese
desarrollo existen, además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
 
a) Síntomas de necesidad de una Auditoría Informática: Las empresas acuden a
las Auditoría externas cuando existen síntomas bien perceptibles de debilidad. Estos
síntomas pueden agruparse en clases.
 
b) Síntomas de descoordinación y Desorganización:
- No coinciden los objetivos de la informática de la compañía y de la propia
compañía
- Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos    habitualmente. (Puede suceder con algún cambio masivo de
personal, o en una reestructuración fallida de alguna área o en la modificación de
alguna norma importante.)
 
c) Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de software
en los terminales de usuario, refrescamiento de paneles, variación de los ficheros
que deben ponerse diariamente a su disposición, etc.)
- No se reparan las averías de hardware, no se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
Pequeñas desviaciones pueden causar importantes desajustes en al actividad del
usuario, en especial en los resultados de aplicaciones criticas y sensibles.
 
d) Síntomas de debilidades económicas - financiero:
- Incremento desmesurado de costos
- Necesidad de justificación de inversiones informáticas (La empresa no esta
absolutamente convencida de tal necesidad y decide contrastar opiniones)
- Desviaciones presupuestarias significativas
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
4
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

- Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a

desarrollo de proyectos y al órgano que realizo la petición).
 
e) Síntomas de inseguridad: Evaluación de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad (Los datos son de propiedad inicialmente de la organización que
los genera. Los datos de personal son especialmente confidenciales)
- Continuidad del servicio. Establece la estrategias de continuidad entre fallo
mediante planes de contingencia.(
- Centro de proceso de datos fuera de control. Si tal situación llegara a percibirse,
sería prácticamente inútil la Auditoría. El síntoma debe ser sustituido por el mínimo
indicio.
 

1. JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE

SISTEMAS.

 Aumento considerable e injustificado del presupuesto del PAD

(Departamento de Procesamiento de Datos).
 Desconocimiento en el nivel directivo de la situación informática de la
empresa.
 Falta total o parcial de seguridades lógicas y físicas que garanticen la
integridad del personal, equipos e información.
 Descubrimiento de fraudes efectuados con el computador.
 Falta de una planificación informática.
 Organización que no funciona correctamente, falta de políticas, objetivos,
normas, metodología, asignación de tareas y adecuada administración del
Recurso Humano.
 Descontento general de los usuarios por incumplimiento de plazos y mala
calidad de los resultados.
 Falta de documentación o documentación incompleta de sistemas que revela
la dificultad de efectuar el mantenimiento de los sistemas en producción.

PAPEL DE TRABAJO QUE INTERVIENEN EN LA

AUDITORIA DE SISTEMAS.

La Auditoría nace como un órgano de control de algunas instituciones estatales y

privadas. Su función es estrictamente económico - financiero, y los casos inmediatos
se encuentran en los estrados judiciales y las contrataciones de contadores expertos
por parte de bancos oficiales.
 
La función de Auditoría debe ser absolutamente independiente; la Auditoría
contiene elementos de análisis, de verificación y de exposición de debilidades y
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
5
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

deficiencias. Aunque pueden aparecer sugerencias y planes de acción para eliminar

las deficiencias y debilidades antes dichas; estas sugerencias plasmadas en el
informe final reciben el nombre de recomendaciones.
 
Las funciones de análisis y revisión que el auditor informático realiza, puede chocar
con la psicología del auditado, ya que el auditor tiene la necesidad de realizar sus
tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y,
en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la
gran complejidad de los sistemas, unidos a los plazos demasiados breves de los que
suelen disponer para realizar su tarea.
 
El auditor solo puede emitir un juicio global o parcial basado en hechos y
situaciones incontrovertibles, careciendo de poder para modificar la situación
analizada por él mismo.

2. CONTROLES DE AUDITORIA DE SISTEMAS

CONTROL.-

Es el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y

actitudes de las empresas y para ello permite verificar si todo se realiza conforme a
los programas adoptados, órdenes impartidas y principios admitidos.

Los controles tienen como fin:

 Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de

Cómputo durante un proceso
 Evitar o detectar el manejo de datos con fines fraudulentos por parte de
funcionarios del PAD
 Garantizar la integridad de los recursos informáticos.
 Asegurar la utilización adecuada de equipos acorde a planes y objetivos.

3. CLASIFICACIÓN DE LOS CONTROLES EN AUDITORÍA DE

SISTEMAS

Se clasifica en tres grandes grupos que son:

a) Controles Preventivos
b) Controles Detectivos
c) Controles Correctivos

 CONTROLES PREVENTIVOS

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
6
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones.

Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones

 CONTROLES DETECTIVOS

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta
luego de ocurridos.

Son los más importantes para el auditor, ya que en cierta forma sirven para evaluar
la eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditoría

Procedimientos de validación

 CONTROLES CORRECTIVOS

Ayudan a la investigación y corrección de las causas del riesgo. La corrección

adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de
controles detectivos sobre los controles correctivos, debido a que la corrección de
errores es en sí una actividad altamente propensa a errores.

PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS

Controles particulares tanto en la parte física como en la lógica se detallan a

continuación:

Autenticidad

Permiten verificar la identidad

1. Passwords
2. Firmas digitales

Exactitud

Aseguran la coherencia de los datos

1. Validación de campos
2. Validación de excesos

Totalidad
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
7
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

Evitan la omisión de registros así como garantizan la conclusión de un proceso de

envío.

1. Conteo de registros
2. Cifras de control

Redundancia

Evitan la duplicidad de datos

1. Cancelación de lotes
2. Verificación de secuencias

Privacidad

Aseguran la protección de los datos

1. Compactación
2. Encriptación

Existencia

Aseguran la disponibilidad de los datos

1. Bitácora de estados
2. Mantenimiento de activos

Protección de Activos

Destrucción o corrupción de información o del hardware

1. Extintores
2. Passwords

Efectividad

Aseguran el logro de los objetivos

1. Encuestas de satisfacción
2. Medición de niveles de servicio

Eficiencia

Aseguran el uso óptimo de los recursos

1. Programas monitores
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
8
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

2. Análisis costo-beneficio

CONTROLES AUTOMÁTICOS O LÓGICOS

Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar

periódicamente. Normalmente los usuarios se acostumbran a conservar la misma
clave que le asignaron inicialmente.

El no cambiar las claves periódicamente aumenta la posibilidad de que personas no

autorizadas conozcan y utilicen claves de usuarios del sistema de computación.

Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinación de alfanuméricos en claves de acceso

No es conveniente que la clave este compuesta por códigos de empleados, ya que

una persona no autorizada a través de pruebas simples o de deducciones puede dar
con dicha clave.

Para redefinir claves es necesario considerar los tipos de claves que existen:
 
Individuales

Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al
momento de efectuar las transacciones registrar a los responsables de cualquier
cambio.
 
Confidenciales
 
De forma confidencial los usuarios deberán ser instruidos formalmente respecto al
uso de las claves.
 
No significativas
 
Las claves no deben corresponder a números secuenciales ni a nombres o fechas.
 
Verificación de datos de entrada

Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o

precisión; tal es el caso de la validación del tipo de datos que contienen los campos o
verificar si se encuentran dentro de un rango.
 
Conteo de registros
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
9
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

 
Consiste en crear campos de memoria para ir acumulando cada registro que se
ingresa y verificar con los totales ya registrados.
 
Totales de Control

Se realiza mediante la creación de totales de linea, columnas, cantidad de

formularios, cifras de control, etc. , y automáticamente verificar con un campo en el
cual se van acumulando los registros, separando solo aquellos formularios o registros
con diferencias.
 
Verificación de límites
 
Consiste en la verificación automática de tablas, códigos, limites mínimos y
máximos o bajo determinadas condiciones dadas previamente.
 

Verificación de secuencias

En ciertos procesos los registros deben observar cierta secuencia numérica o

alfabética, ascendente o descendente, esta verificación debe hacerse mediante rutinas
independientes del programa en si.
 
Dígito auto verificador
 
Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado
de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta
la corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la
cédula de identidad, calculado con el modulo 10 o el ultimo dígito del RUC
calculado con el módulo 11.
 
Utilizar software de seguridad en los microcomputadores
 
El software de seguridad permite restringir el acceso al microcomputador, de tal
modo que solo el personal autorizado pueda utilizarlo.
 
Adicionalmente, este software permite reforzar la segregación de funciones y la
confidencialidad de la información mediante controles para que los usuarios puedan
accesar solo a los programas y datos para los que están autorizados.
 
Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.
 
Controles administrativos en un ambiente de Procesamiento de Datos
 

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
10
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

La máxima autoridad del Área de Informática de una empresa o institución debe

implantar los siguientes controles que se agruparan de la siguiente forma:
 
1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores
 
. Controles de Preinstalación
 
Hacen referencia a procesos y actividades previas a la adquisición e instalación de un
equipo de computación y obviamente a la automatización de los sistemas existentes.

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
11
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

 
Objetivos:
 
 Garantizar que el hardware y software se adquieran siempre y cuando tengan
la seguridad de que los sistemas computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.

 Garantizar la selección adecuada de equipos y sistemas de computación

 Asegurar la elaboración de un plan de actividades previo a la instalación

 
Acciones a seguir:
 
 Elaboración de un informe técnico en el que se justifique la adquisición del
equipo, software y servicios de computación, incluyendo un estudio costo-
beneficio.

 Formación de un comité que coordine y se responsabilice de todo el proceso

de adquisición e instalación

 Elaborar un plan de instalación de equipo y software (fechas, actividades,

responsables) el mismo que debe contar con la aprobación de los proveedores
del equipo.

 Elaborar un instructivo con procedimientos a seguir para la selección y

adquisición de equipos, programas y servicios computacionales. Este proceso
debe enmarcarse en normas y disposiciones legales.

 Efectuar las acciones necesarias para una mayor participación de

proveedores.

 Asegurar respaldo de mantenimiento y asistencia técnica.

 
 
. Controles de organización y Planificación
 
Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de
las diferentes unidades del área PAD, en labores tales como:
 
1.      Diseñar un sistema
2.      Elaborar los programas
3.      Operar el sistema
4.      Control de calidad
 
Se debe evitar que una misma persona tenga el control de toda una operación.
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
12
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

 
Es importante la utilización óptima de recursos en el PAD mediante la preparación
de planes a ser evaluados continuamente
 
Acciones a seguir

 La unidad informática debe estar al mas alto nivel de la pirámide

administrativa de manera que cumpla con sus objetivos, cuente con el apoyo
necesario y la dirección efectiva.

 Las funciones de operación, programación y diseño de sistemas deben estar

claramente delimitadas.

 Deben existir mecanismos necesarios a fin de asegurar que los programadores

y analistas no tengan acceso a la operación del computador y los operadores a
su vez no conozcan la documentación de programas y sistemas.

 Debe existir una unidad de control de calidad, tanto de datos de entrada como
de los resultados del procesamiento.

 El manejo y custodia de dispositivos y archivos magnéticos deben estar

expresamente definidos por escrito.

 Las actividades del PAD deben obedecer a planificaciones a corto, mediano y

largo plazo sujetos a evaluación y ajustes periódicos “Plan Maestro de
Informática”

 Debe existir una participación efectiva de directivos, usuarios y personal del

PAD en la planificación y evaluación del cumplimiento del plan.

 Las instrucciones deben impartirse por escrito.

 Controles de Sistema en Desarrollo y Producción

 Se debe justificar que los sistemas han sido la mejor opción para la empresa,
bajo una relación costo-beneficio que proporcionen oportuna y efectiva
información, que los sistemas se han desarrollado bajo un proceso planificado
y se encuentren debidamente documentados.
 
Acciones a seguir:

 Los usuarios deben participar en el diseño e implantación de los sistemas

pues aportan conocimiento y experiencia de su área y esta actividad facilita el
proceso de cambio

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
13
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

 El personal de auditoría interna/control debe formar parte del grupo de diseño

para sugerir y solicitar la implantación de rutinas de control

 El desarrollo, diseño y mantenimiento de sistemas obedece a planes

específicos, metodologías estándares, procedimientos y en general a
normatividad escrita y aprobada.

 Cada fase concluida debe ser aprobada documentadamente por los usuarios
mediante actas u otros mecanismos a fin de evitar reclamos posteriores.

 Los programas antes de pasar a Producción deben ser probados con datos que
agoten todas las excepciones posibles.

 Todos los sistemas deben estar debidamente documentados y actualizados.

La documentación deberá contener:
 
Informe de factibilidad
Diagrama de bloque
Diagrama de lógica del programa
Objetivos del programa
Listado original del programa y versiones que incluyan los cambios efectuados con
antecedentes de pedido y aprobación de modificaciones
Formatos de salida
Resultados de pruebas realizadas

 Implantar procedimientos de solicitud, aprobación y ejecución de cambios a

programas, formatos de los sistemas en desarrollo.

 El sistema concluido será entregado al usuario previo entrenamiento y

elaboración de los manuales de operación respectivos
 
. Controles de Procesamiento
 
Los controles de procesamiento se refieren al ciclo que sigue la información desde la
entrada hasta la salida de la información, lo que conlleva al establecimiento de una
serie de seguridades para:
 
Asegurar que todos los datos sean procesados

Garantizar la exactitud de los datos procesados

Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría

Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en
las mejores condiciones.
 
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
14
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

Acciones a seguir:

 Validación de datos de entrada previo procesamiento debe ser realizada en

forma automática: clave, dígito autoverificador, totales de lotes, etc.

 Preparación de datos de entrada debe ser responsabilidad de usuarios y

consecuentemente su corrección.

 Recepción de datos de entrada y distribución de información de salida debe

obedecer a un horario elaborado en coordinación con el usuario, realizando
un debido control de calidad.

 Adoptar acciones necesarias para correcciones de errores.

 Analizar conveniencia costo-beneficio de estandarización de formularios,

fuente para agilitar la captura de datos y minimizar errores.

 Los procesos interactivos deben garantizar una adecuada interrelación entre

usuario y sistema.

 Planificar el mantenimiento del hardware y software, tomando todas las

seguridades para garantizar la integridad de la información y el buen servicio
a usuarios.
 
. Controles de Operación
 
Abarcan todo el ambiente de la operación del equipo central de computación y
dispositivos de almacenamiento, la administración de la cintoteca y la operación de
terminales y equipos de comunicación por parte de los usuarios de sistemas on line.
 
Los controles tienen como fin:
 
 Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de
Cómputo durante un proceso

 Evitar o detectar el manejo de datos con fines fraudulentos por parte de

funcionarios del PAD.

 Garantizar la integridad de los recursos informáticos.

 Asegurar la utilización adecuada de equipos acorde a planes y objetivos.

 
 
Personal
Recursos
Hardware Software
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
15
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

Informáticos

  Datos Instalaciones
 
Acciones a seguir:

 El acceso al centro de cómputo debe contar con las seguridades necesarias

para reservar el ingreso al personal autorizado

 Implantar claves o password para garantizar operación de consola y equipo

central (mainframe), a personal autorizado.

 Formular políticas respecto a seguridad, privacidad y protección de las

facilidades de procesamiento ante eventos como: incendio, vandalismo, robo
y uso indebido, intentos de violación y como responder ante esos eventos.

 Mantener un registro permanente (bitácora) de todos los procesos realizados,

dejando constancia de suspensiones o cancelaciones de procesos.

 Los operadores del equipo central deben estar entrenados para recuperar o
restaurar información en caso de destrucción de archivos.

 Los backups no deben ser menores de dos (padres e hijos) y deben guardarse
en lugares seguros y adecuados, preferentemente en bóvedas de bancos.

 Se deben implantar calendarios de operación a fin de establecer prioridades

de proceso.

 Todas las actividades del Centro de Computo deben normarse mediante

manuales, instructivos, normas, reglamentos, etc.
 
El proveedor de hardware y software deberá proporcionar lo siguiente:
 
Manual de operación de equipos
Manual de lenguaje de programación
Manual de utilitarios disponibles
Manual de Sistemas operativos
 
 Las instalaciones deben contar con sistema de alarma por presencia de fuego,
humo, así como extintores de incendio, conexiones eléctricas seguras, entre
otras.

 Instalar equipos que protejan la información y los dispositivos en caso de

variación de voltaje como: reguladores de voltaje, supresores pico, UPS,
generadores de energía.
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
16
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

 Contratar pólizas de seguros para proteger la información, equipos, personal

y todo riesgo que se produzca por casos fortuitos o mala operación.
 
. Controles en el uso del Microcomputador
 
Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso, de fácil
explotación pero los controles que se implanten ayudaran a garantizar la integridad y
confidencialidad de la información.
 
 
Acciones a seguir:

 Adquisición de equipos de protección como supresores de pico, reguladores

de voltaje y de ser posible UPS previo a la adquisición del equipo.

 Vencida la garantía de mantenimiento del proveedor se debe contratar

mantenimiento preventivo y correctivo.

 Establecer procedimientos para obtención de backups de paquetes y de

archivos de datos.

 Revisión periódica y sorpresiva del contenido del disco para verificar la

instalación de aplicaciones no relacionadas a la gestión de la empresa.

 Mantener programas y procedimientos de detección e inmunización de virus

en copias no autorizadas o datos procesados en otros equipos.

 Propender a la estandarización del Sistema Operativo, software utilizado

como procesadores de palabras, hojas electrónicas, manejadores de base de
datos y mantener actualizadas las versiones y la capacitación sobre
modificaciones incluidas.

 Analizados los distintos tipos de controles que se aplican en la Auditoría de

Sistemas efectuaremos a continuación el análisis de casos de situaciones
hipotéticas planteadas como problemáticas en distintas empresas , con la
finalidad de efectuar el análisis del caso e identificar las acciones que se
deberían implementar.
 
 Análisis de Casos de Controles Administrativos
 
. Controles sobre datos fijos
 
Lea cada situación atentamente y
 

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
17
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

1.- Enuncie un control que hubiera prevenido el problema o posibilitado su

detección.
 

2.- Identifique uno o más controles alternativos que hubieran ayudado a prevenir o a
detectar el problema.

Ejemplo de auditoría de sistemas

Auditoría de hardware y software en estaciones de trabajo.

Índice

Alcance..............................................................................................................................................3

Objetivo.............................................................................................................................................3

Recursos.............................................................................................................................................3

Etapas de trabajo................................................................................................................................3

1. Recopilacion de informacion básica......................................................................................3

2. Identificación de riesgos potenciales.....................................................................................4

3. Objetivos de control..............................................................................................................4

4. Determinacion de los procedimientos de control...................................................................4

5. Pruebas a realizar..................................................................................................................5

6. Obtencion de los resultados...................................................................................................5

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
18
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

7. Conclusiones y Comentarios:.................................................................................................6

8. Redaccion del borrador del informe.......................................................................................6

9. Presentación del borrador del informe, al responsable de microinformática...........................6

10. Redacción del Informe Resumen y Conclusiones...................................................................6

11. Entrega del informe a los directivos de la empresa................................................................7

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
19
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

Alcance
La auditoria se realizará sobre los sistemas informaticos en computadoras personales
que estén conectados a la red interna de la empresa.

Objetivo
Tener un panorama actualizado de los sistemas de información en cuanto a la
seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los
activos.

Recursos
El numero de personas que integraran el equipo de auditoria sera de tres, con un
tiempo maximo de ejecucion de 3 a 4 semanas.

Etapas de trabajo
1. Recopilacion de informacion básica
Una semana antes del comienzo de la auditoria se envia un cuestionario a los
gerentes o responsables de las distintas areas de la empresa. El objetivo de este
cuestionario es saber los equipos que usan y los procesos que realizan en ellos.

Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados

con acceso a los computadores, para que tambien lo completen. De esta manera, se
obtendra una vision mas global del sistema.

Es importante tambien reconocer y entrevistarse con los responsables del area de

sistemas de la empresa para conocer con mayor profundidad el hardware y el
software utilizado.

En las entrevistas incluiran:

 Director / Gerente de Informatica

 Subgerentes de informatica

 Asistentes de informatica

 Tecnicos de soporte externo

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
20
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

2. Identificación de riesgos potenciales

Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software.
Los procedimientos para adquirirlos deben estar regulados y aprobados en base a
los estandares de la empresa y los requerimientos minimos para ejecutar los
programas base.

Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del

propio software y la correcta configuracion y/o actualizacion de los equipos
criticos como el cortafuegos.

Los riesgos potenciales se pueden presentar de la mas diversa variedad de

formas.

3. Objetivos de control
Se evaluaran la existencia y la aplicación correcta de las politicas de seguridad,
emergencia y disaster recovery de la empresa.

Se hara una revicion de los manuales de politica de la empresa, que los

procedimientos de los mismos se encuentren actualizados y que sean claros y que
el personal los comprenda.

Debe existir en la Empresa un programa de seguridad, para la evaluación de los

riesgos que puedan existir, respecto a la seguridad del mantenimiento de los
equipos, programas y datos.

4. Determinacion de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los
objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

 El hardware debe estar correctamente identificado y

documentado.

 Se debe contar con todas las órdenes de compra y facturas con

el fin de contar con el respaldo de las garantías ofrecidas por
los fabricantes.

 El acceso a los componentes del hardware esté restringido a la

directo a las personas que lo utilizan.

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
21
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

 Se debe contar con un plan de mantenimiento y registro de

fechas, problemas, soluciones y próximo mantenimiento
propuesto.

Objetivo N 2: Política de acceso a equipos.

 Cada usuario deberá contar con su nombre de usuario y

contraseña para acceder a los equipos.

 Las claves deberán ser seguras (mínimo 8 caracteres,

alfanuméricos y alternando mayúsculas y minúsculas).

 Los usuarios se desloguearan después de 5 minutos sin

actividad.

 Los nuevos usuarios deberán ser autorizados mediante

contratos de confidencialidad y deben mantenerse luego de
finalizada la relación laboral.

 Uso restringido de medios removibles (USB, CD-ROM, discos

externos etc).

5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de
los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:

 Tomar 10 maquinas al azar y evaluar la dificultad de acceso a

las mismas.

 Intentar sacar datos con un dispositivo externo.

 Facilidad para desarmar una pc.

 Facilidad de accesos a información de confidencialidad

(usuarios y claves).

 Verificación de contratos.

 Comprobar que luego de 5 minutos de inactividad los usuarios

se deslogueen.

6. Obtencion de los resultados.

En esta etapa se obtendrán los resultados que surjan de la aplicación de los
procedimientos de control y las pruebas realizadas a fin de poder determinar si se
ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
22
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

cumple o no con los objetivos de control antes definidos. Los datos obtenidos se
registrarán en planillas realizadas a medida para cada procedimiento a fin de tener
catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion
de los mismos y evitar interpretaciones erroneas.

7. Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la información obtenida, asi como lo que
se deriva de esa información, sean fallas de seguridad, organización o estructura
empresarial. Se expondrán las fallas encontradas, en la seguridad física sean en
temas de resguardo de información (Casos de incendio, robo), manejo y obtención de
copias de seguridad, en las normativas de seguridad como por ejemplo normativas de
uso de passwords, formularios de adquisición de equipos, y estudios previos a las
adquisiciones para comprobar el beneficio que los mismos aportarían. Finalmente se
verán los temas de organización empresarial, como son partes responsables de
seguridad, mantenimiento y supervisión de las otras áreas.

8. Redaccion del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas encontrados,
anotando los datos técnicos de cada una de las maquinas auditadas:

 Marca

 Modelo

 Numero de Serie

 Problema encontrado

 Solución recomendada

9 . Presentación del borrador del informe, al responsable de

microinformática
Se le presentara el informe borrador a un responsable del área informática, como se
aclaro en el punto anterior, con el máximo de detalle posible de todos los problemas
y soluciones posibles recomendadas, este informe se pasara por escrito en original y
copia firmando un documento de conformidad del mismo para adquirir un
compromiso fuerte en la solución de los mismos, de esta forma evitaremos posibles
confusiones futuras.

10. Redacción del Informe Resumen y Conclusiones.

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
23
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

Es en este paso es donde se muestran los verdarderos resultados a los responsables

de la empresa, el informe presentado dará a conocer todos los puntos evaluados
durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones.

La conclusión tendrá como temas los resultados, errores, puntos críticos y

observaciones de los auditores. Mientras que en el resumen se verán las posibles
soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen
uso y también recomendaciones sobre la forma incorrecta de realizar algunos
procedimientos.

11. Entrega del informe a los directivos de la empresa.

Esta es la ultima parte de la auditoria y en una reunion se formaliza la entrega del
informe final con los resultados obtenidos en la auditoria.

Tambien se fijan los parametros si asi se requieren para realizar el seguimientos de

los puntos en los que el resultado no haya sido satifactorio o simplemente se quiera
verificar que los que los objetivos de control se sigan cumpliendo a lo largo del
tiempo.

EJEMPLO PRÁCTICO A LA DIRECCIÓN DE AVIACIÓN CIVIL

REALIZADO POR LA CONTRALORÍA GENERAL DEL ESTADO

Sistema Informático Integrado de Recursos Humanos  desactualizado

 Los responsables de la Jefatura de Gestión de Recursos Humanos, en su respectivo

período de gestión no alimentaron la información de manera ágil y oportuna en el
Sistema Informático Integrado de Recursos Humanos y en muchos casos no refleja
ni siquiera la Unidad en que los funcionarios se encuentran prestando físicamente
sus servicios.

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
24
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

Se verificaron comunicaciones enviadas por la Jefatura de Sueldos al Jefe de la

UARHs, solicitando que los diferentes movimientos de personal correspondientes a
cada mes, se envíen oportunamente para poder procesar el rol ya que son las
Jefaturas de Registro y Control, Gestión y Control las que proveen el insumo para
realizar este proceso. Se debe considerar que la información que corresponda a la
UARHs debe ser consistente con la que se mantiene en el Área Financiera; por lo
tanto, las partidas presupuestarias deben guardar relación con el distributivo y la
remuneración asignada en la misma, en cuanto al cargo que desempeña.

El registro de acciones de personal que contienen sanciones administrativas, no

fueron registradas oportunamente, por lo tanto prescribieron, tampoco fueron
archivados en los expedientes personales en los que se incluyen otros documentos,
los mismos que reposan en cajas y fundas en el área de Registro y Control.

Lo expresado, se debe a que la unidad no dispone de un software que integre la

información de los subsistemas de clasificación, selección, capacitación y evaluación
del desempeño, lo que ocasionó que la Dirección de Recursos Humanos no cuente
con datos actualizados  para la administración adecuada y eficiente del personal.

Por lo expuesto, el Jefe de Recursos Humanos inobservó  las Normas de Control

Interno 110-03, “Contenido, flujo y Calidad de la Información”; 400-10, “Utilización
de los Equipos, Programas e Información Institucional” y 400-11, “Aprovechamiento
de los Recursos Computarizados del Sector Público”.

Conclusión

El Sistema informático implantado en la UARHs no es adecuado y está

desactualizado de manera que no  permite obtener información oportuna  relativa a
la hoja de vida y otros datos de los servidores.

Recomendaciones

Al Director General de  Aviación Civil

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
25
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

1.    Dispondrá al Jefe de Recursos Humanos solicite y coordine con la unidad de

Tecnología para que prepare un software que integre la información de los
subsistemas de clasificación, selección, capacitación y evaluación del desempeño,
que permita que la División de Recursos Humanos cuente con datos actualizados y
de importancia  para la administración adecuada y eficiente del personal.

Al  Jefe de Recursos Humanos

2.    Establecerá la necesidad de contar con un sistema informático exclusivo para el

área de recursos humanos que permita tener información confiable y oportuna para
la toma de decisiones, que facilite obtener reportes actualizados para lograr un
adecuado control de vacaciones, permisos, licencias, comisiones de servicio,
atrasos, faltas y permanencia del personal en su lugar de trabajo.

3.    Dispondrá a los responsables de  la Jefatura de Gestión y Administración y

Control, la depuración y actualización inmediata del Sistema  Informático Integrado
de Recursos Humanos.

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
26
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
28
 CONCLUSIONES

1. La Gestión de Tecnologías de información y Comunicaciones

en la “Sociedad del Conocimiento”, se constituye en el factor
diferenciador entre las prácticas tradicionales y las prácticas
automatizadas, centradas en el empleo de Hardware,
Software y personal actualizado con el fin de mantener
servicios de tecnología de información adecuados para
alcanzar los objetivos institucionales.

3. Concluimos que la auditoria de sistemas nos permite realizar un examen

crítico y analítico en todas las entidades que se manejen sistema
informáticos; ya en base a esto se saca criterios de fallas o buenos manejos o
administración de recursos.

4. Nos permite emitir información adecuada a los directivos para la toma de

decisiones dentro de una entidad a través de la emisión de un Informe de
Hallazgos y hechos encontrados en el examen realizado sea interno o
externo.
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

RECOMENDACIONES

1. A todas las entidades o instituciones que manejen un sistema informático, se

realice una auditoría de sistemas para ver si el manejo de la base de datos se
está registrando de una manera adecuada, correcta y concisa que no afecte a
la situación verdadera de la entidad en el caso de que exista fraude.

2. En todos las unidades de una institución u organización se realizan

controles, mediante diferentes auditorías, porque no hacer control (antes,
durante y después) a los sistemas o paquetes informáticos, si son éstos los
que actualmente están manejando un 90% de la información y un 80% de la
gestión de cada institución.

BIBLIOGRAFÍA Y LINKOGRAFÍA

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
30
 UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”
AUDITORIA DE SISTEMAS

- Manual de Auditoría de Sistemas de la Contraloría General del Estado, Año 2010.

- Audiconsystem.com

- Concepaudit.com
- Monografías. Com

ALUMNAS:
Calpa Lupe
Delgado Anita
Realpe Cecilia
31