1

EVALUACIÓN DE RIESGOS

Daniela Castillo Flórez

Mayra Guevara Vargas
María del Pilar Saavedra
Karina Angelly Solarte Riascos

Tutor: Fabio Sánchez

Fundación Universitaria San Martin – Cat Cali.

Contaduría Pública
Sistemas Contables y Auditoria Sistematizada
 2

Tabla de Contenidos

Introducción ……………………………………………………………………………...3

Evaluación de riesgos……………………….………………………………………..4
Diagnóstico de la organización…………………………………………………4
Revisión de documentación…………………………………………………..4
Entrevistas al personal………………………………………………………..5
Observación de personal realizando sus tareas……………………………….5
Señales de peligro de auditoría……………………………………………….6
Información que solicita el auditor…………………………………………...6
Revisión de centros de cómputo……………………………………………………..7
Revisión de seguridad………………………………………………………………...8
Controles de acceso lógico……………………………………………………9
Controles de acceso físico…………………………………………………….9
Controles del ambiente………………………………………………………..9
Labor de auditoría……………………………………………………………..9
Sistema operativo…………………………………………………………………….11
Revisión de desarrollo de sistemas…………………...………………………...11
Estudio de factibilidad…………...…………………………………………..12
Definición de requerimientos………..………………………………………12
Fase de diseño detallado y programación…………………..……….……….12
Fase de prueba…………………..…………………………………………...13
Implantación………………………………………………..………………..13
Fase de post-implantación………………………………………..………….13
Revisión de aplicaciones de software comprado……………………………….13
Revisión del mantenimiento de aplicaciones…………………………………...14
Revisión de controles de aplicaciones……………………………………….....14
Diagnóstico de informática………………………………………………………15
Conclusiones........................................................................................................19
Lista de Referencias...........................................................................................................20
 3

Introducción

El diagnóstico de la organización permite a la empresa conocer qué tan protegidas

o desprotegidas están sus operaciones que se apoyan en la informática, de tal forma que

se adopten las medidas necesarias para minimizar o eliminar la probabilidad de

ocurrencia del riesgo. De tal forma que, el análisis y evaluación de los riesgos del área de

informática de una empresa son dos elementos esenciales para determinar el estado en

que se presentan los riesgos, es decir, los escenarios frente a los cuales la organización

posee debilidades.
 4

Evaluación de Riesgos

Se verifica la existencia y aplicación de todas las normas y procedimientos

requeridos para minimizar las posibles causas de riesgos, tanto en las instalaciones

y equipos, como en los programas computacionales y los datos, en todo el ámbito

del Sistema: usuarios, instalaciones, equipos.

Las instituciones efectúan Auditorías de Sistemas, con la finalidad de asegurar la

eficiencia de las organizaciones de informática, así como la confiabilidad y

seguridad de sus sistemas.

Diagnóstico de la organización

Es analizar y evaluar la estructura organizacional la administración de la función

de sistemas de la empresa, y para conseguirlo se realiza las siguientes actividades:

Revisión de documentación

 Organigramas, diagramas de funciones: le permite conocer al auditor la

división de las funciones y su jerarquía.

 Perfiles de personal; Permite definir las funciones y asignar las tareas que

desempeñara el colaborador dentro de la organización.

 Informe del comité de sistemas: Brindan información documentada acerca de

todos los proyectos de nuevos sistemas.

 5

 Política de seguridad: Debe identificar quién es el responsable de la salvaguarda

de los bienes de la empresa, incluyendo programas y datos.

 Manuales de políticas de personal: los manuales de políticas de personal dan las

reglas y reglamentaciones determinadas por la organización sobre cómo se espera

que se comporten los empleados.

 Objetivos a corto y largo plazo: son los objetivos del departamento, los cuales

deben estar de acuerdo con las necesidades de los usuarios y estar autorizados.

Entrevistas al Personal

 Personal relacionado con las operaciones del centro de cómputo: Este es un

importante factor que contribuye a una operación eficaz y eficiente.

 Personal usuario: La realización de entrevistas al personal usuario debe también

incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas

necesarias para realizar eficazmente la función específica de sus tareas.

 Otro personal pertinente: El auditor, a su criterio, decidirá si es conveniente

entrevistarse con otro personal que tiene relación con el sistema.

Observación de personal realizando sus tareas

 Funciones reales: Permite que el auditor de sistemas tenga oportunidad de ser

testigo de cómo se comprenden y aplican las políticas y procedimientos.

 6

 Percepción de la seguridad: comprobar la comprensión y práctica de buenas

medidas de seguridad preventiva y de detección por parte de la persona observada

a fin de salvaguardar los bienes y datos de la empresa.

 Relaciones de comunicación jerárquica: Deben observarse las relaciones de

quién reporta a quién.

Señales de peligro de Auditoria

 Actitudes desfavorables de los usuarios finales.

 Costos excesivos.

 Exceso al presupuesto.

 Alta rotación de personal.

 Frecuentes errores de los computadores.

 Atraso excesivo de solicitudes de usuarios no satisfechas.

 Elevado tiempo de respuesta del computador.

 Numerosos proyectos de desarrollo abortados o suspendidos.

 Compras de Hardware y Software sin respaldo o autorización.

 Cambios frecuentes a versiones superiores de Hardware y Software

Información que solicita el auditor

A nivel organizacional:

 Objetivos del Departamento a corto y largo Plazo.

 Manual de la organización.
 7

 Antecedentes o historia de la empresa.

 Políticas generales.

A nivel del área informática:

 Objetivos a corto y largo plazo.

 Manual de organización que incluya puestos, funciones y jerarquías.

 Manual de políticas, reglamentos y lineamientos internos.

 Procedimientos administrativos del área.

 Presupuestos y costos en el área.

 Recursos materiales y técnicos.

Solicitar un inventario actualizado de equipos, que incluya:

 Características, fecha de instalación y ubicación

 Contratos vigentes de compra, renta y servicios de mantenimiento.

 Contrato de seguros.

 Convenios con otras instalaciones.

 Configuraciones de equipos.

 Planes de expansión.

 Políticas de uso y operación de equipos.

Revisión de centros de cómputo

 Revisión de controles en el equipo: Se hace para verificar si existen formas

adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados

 8

y mantener un registro detallado de todas las actividades del computador que debe

ser analizado periódicamente.

 Revisión de programas de operación. Se verifica que el cronograma de

actividades para procesar la información asegure la utilización efectiva del

computador.

 Revisión de controles ambientales. Se hace para verificar si los equipos tienen

un cuidado adecuado, es decir, si se cuenta con deshumidificadores, aire

acondicionado, fuentes de energía continua, extintores de incendios, etc.

 Revisión del plan de mantenimiento. Aquí se verifica que todos los equipos

principales tengan un adecuado mantenimiento que garantice su funcionamiento

continuo.

 Revisión del sistema de administración de archivos. Se hace para verificar que

existan formas adecuadas de organizar los archivos en el computador, que estén

respaldados, así como asegurar que el uso que le dan es el autorizado.

 Revisión del plan de contingencias. Aquí se verifica si es adecuado el plan de

recuperación en caso de desastre, el cual se detalla más adelante.

Revisión de seguridad

El objetivo de la Revisión de seguridad es analizar y evaluar los controles

diseñados para salvaguardar las instalaciones del centro de procesamiento de datos de

eventos accidentales, intencionales o naturales que puedan causar pérdidas de

información o destrucción.
 9

Los controles de acceso lógico son utilizados para limitar el uso de aplicaciones

del computador, son para identificar el usuario el cual te va a dar acceso a los niveles de

datos de las aplicaciones, por ejemplo: solo lectura, creación, eliminación de registros,

etc.

Los controles de acceso físico Se usan generalmente para resguardar el centro de

cómputo o centros importantes de procesamiento de datos. Unos ejemplos son seguros en

las puertas, puertas con combinación, puertas electrónicas, con tarjetas, digitación de

códigos, sistemas biométricos de huella digital.

Los Controles del ambiente detectan peligros dentro del centro de cómputo.

Ejemplos: detectores de agua, extintores de mano, detectores de humo, sistemas para

apagar incendios, etc.

Labor de auditoria

Consiste en la identificación del ambiente de procesamiento para tener

conocimiento general de este.

Los diagramas de red son los encargados de mostrar los puntos de conexión
entre computadoras, terminales y quipos periféricos, estos son importantes porque pueden
enlazar puntos físicos con accesos lógicos de terminales.

Las rutas de acceso son caminos lógicos para acceder a información

computarizada. en esta se encuentran componentes de hardware y software. Estas rutas

son importantes porque permiten dar a conocer y enfocar los puntos de seguridad física y

lógica la secuencia típica que siguen estos caminos son 5:

 10

1. Terminales: sirven para identificarse, deben contar con restricción física del curso

y también, los usuarios deben contar con claves de acceso.

2. El software de comunicaciones: limita el acceso a datos específicos

3. El software de procesamiento de transacciones: es el que usa la información de

acceso del usuario en los terminales para asignar niveles y posibilidades de

transacción en una aplicación determinada. Este se basa en archivos o tablas de

usuario definidas.

4. Software de aplicación: tiene un procesamiento de datos definida, en esta se debe

proteger el acceso a programas que regulan la lógica para permanecer según las

prioridades establecidas por la gerencia

5. Software de administración de base de datos: es para acceder directamente a la

información, para esto de estar previamente definido su campo de datos y debe

ejecutarse de manera restringida para administradores de base de datos.

Inspección de la facilidad del procesamiento de datos: es eficaz para comprender los

controles físicos y de seguridad del ambiente. Dicho proceso debe ser hecho en el centro

de cómputo, programación, punto de cintas o cassetes, almacenes, etc.

Por último están las entrevistas con el personal de sistemas y la revisión de

políticas y procedimientos, las primeras sirven para que al hablar con el personal clave
se obtenga información sobre el control y mantenimiento de los componentes de las rutas
de acceso y las ultimas consisten en hacer una revisión política para verificar el correcto
funcionamiento, para esto un auditor encargado debe verificar políticas de acceso físico,
lógico, entrenamiento sobre precauciones de seguridad y uso de internet.
 11

Sistema Operativo

Consiste en revisar las políticas y procedimientos de adquisición y mantenimiento

de software de sistemas operativos.

El auditor revisa:
 Los procedimientos relacionados con la identificación y la selección del

software del sistema. Mediante entrevistas a la gerencia, para identificar: los

requerimientos de software, las fuentes potenciales de software.

 Análisis de costo/beneficio del software del sistema. Consiste en revisar la

documentación del análisis costo/beneficio y las alternativas que proponen y

determinan si cada alternativa potencial fue evaluada adecuadamente.

 Instalación del software del sistema. Consiste en revisar el plan o procedimiento

para la prueba del sistema, determinar si las pruebas se realizaron de acuerdo con

ese plan y en forma exitosa; de no ser así investigar si todos los problemas se

evaluaron y resolvieron antes de la instalación del software.

 Mantenimiento del software del sistema. Consiste en revisar la documentación

relacionada con el mantenimiento o upgrade del software.

 Seguridad del software del sistema. Consiste en revisar los procedimientos para

el acceso al software del sistema y a su documentación.

Revisión De Desarrollo De Sistemas

Cuando se revisa el proceso de desarrollo de sistemas, se espera que el auditor de

sistemas obtenga la documentación necesaria y disponible de las diversas fases, así como
 12

que asista a las reuniones del equipo del proyecto ofreciendo asesoramiento durante todo

el proyecto de desarrollo de sistemas. También, el auditor de sistemas debe evaluar la

capacidad de los equipos del proyecto para producir los productos claves a entregar para

las fechas prometidas.

Estudio de factibilidad

El auditor de sistemas debe revisar la documentación producida en esta fase y corroborar

su razonabilidad. Deben verificarse todas las justificaciones de costo/beneficio junto con

el cronograma de cuándo se anticipaba que se realizarían los beneficios. Identificar si la

necesidad del negocio que se utiliza para justificar el sistema, realmente existe, y hasta

qué punto existe la necesidad.

Definición de requerimientos

El auditor de sistemas debe obtener el documento de definición de requerimientos

detallados y verificar su exactitud por medio de entrevistas con los departamentos

usuarios que lo solicitan. Identificar los miembros clave del equipo del proyecto y

verificar que todos los grupos usuarios afectados tienen una adecuada representación.

Verificar que la gerencia aprobó la iniciación del proyecto y el costo del proyecto.

Revisar los diagramas de flujo de datos y el diseño conceptual para asegurarse de qué se

tratan las necesidades del usuario.

Fase de diseño detallado y programación

Revisar los flujogramas del sistema para observar el seguimiento del diseño

general; si se observan cambios, verificar que fueron dadas las aprobaciones apropiadas

para los cambios y que los cambios han sido discutidos y aprobados por los grupos de
 13

usuarios afectados. Revisar los controles de entrada y salida diseñados dentro del sistema,

para comprobar que sean apropiados.

Fase de prueba

La fase de prueba es crucial para determinar que los requerimientos han sido

satisfechos y que el sistema se comporta como se anticipaba. Por ende, el auditor de

sistemas debe participar en forma intensa y revisar la fase. Examinar el plan de prueba

para verificar que sea completo con la evidencia indicada de la participación del usuario,

tal como escenario de situaciones de prueba creados por los usuarios y/o aprobación

escrita de aceptación de los resultados.

Implantación

Esta fase se inicia sólo después de una exitosa fase de prueba. Debe tenerse

precaución al transferir un nuevo sistema a situación de producción. El auditor de

sistemas debe verificar que las aprobaciones necesarias, existen antes de implementar el

nuevo sistema.

Fase de post-implantación

Revisar las solicitudes de cambios a los programas que se han realizado, para

evaluar el tipo de cambios que se exigen al sistema; el tipo de cambios puede indicar

problemas de diseño, programación o interpretación de los requerimientos de usuario.

Revisión de aplicaciones de software comprado

Para tomar la decisión de comprar el producto de un vendedor en lugar de crear

una solución interna, debe existir en el estudio de factibilidad, documentación sobre la

 14

decisión de “hacer”, compromiso para la producción de entrenamiento, documentación a

los productos, aceptación de pruebas del producto antes de la compra.

Revisión del mantenimiento de aplicaciones

Las tareas de auditoria en este aspecto son:

 Evaluar los estándares y procedimientos para cambios a programas para asegurar

su adecuación por medio de examen de la correspondiente documentación,

discusiones con personal clave y observaciones.

 Probar los procedimientos de control de cambios para asegurar que se explican

según se describe en los estándares por medio de discusión y examen de los

registros respaldados.

 Evaluar el proceso de control de cambios para determinar que los objetivos de

control fueron cumplidos al analizar los resultados de pruebas y otra evidencia de

auditoría.

 Determinar la adecuación de la seguridad de la biblioteca de producción para

asegurar la integridad de los recursos de producción al identificar y probar

controles existentes.

Revisión de controles de aplicaciones

Quienes diseñan los sistemas y ubican controles en el ingreso de datos o input en

el procedimiento y en el output del sistema.

La auditoria de los controles de las aplicaciones tienen las siguientes tareas:

 15

 Elaboración de un modelo de evaluación de riesgos para analizar los controles de

la aplicación.

 Examen y prueba de autorizaciones y capacidades de acceso.

 Selección del tipo de técnica de auditoría asistida por computador y pruebas de

auditoría con ayuda del computador.

Diagnóstico De Informática

Para lograr desarrollar e implantar un sistema con calidad, dentro de los plazos y

costos previstos, cuyos beneficios sean los planificados, es necesario controlar que:

 El Proyecto de Desarrollo de Sistemas está enmarcado dentro del Plan

General de Sistemas.

 El Cronograma del Proyecto sea realista y el Sistema esté operativo en forma

oportuna, de acuerdo con las necesidades de la Institución.

 Se aplique la Metodología de Desarrollo de Sistemas.

 Exista un control permanente de la consistencia y confiabilidad de los

Sistemas Informáticos.

 La Calidad del Sistema producido, permita una óptima operatividad del

mismo.

 La tecnología utilizada sea la más adecuada a los fines del sistema y permita

una vida útil satisfactoria para la inversión realizada.

 Los costos, tanto del desarrollo como de su operación y mantenimiento, sean

los planificados y exista un retorno de la inversión.

 16

 Se hayan logrado los beneficios esperados.

Observemos en detalle cada uno de estos aspectos:

El Proyecto de Desarrollo de Sistemas esté enmarcado dentro del Plan

General de Sistemas. Para asegurar que el Sistema por desarrollar o desarrollado logre

estar integrado y tenga todas las interfaces con los demás sistemas, es necesario que se

compruebe que es uno de los componentes del Sistema Global FEDV CONTADURIA

PUBLICA 26 de Información de la Institución y está interrelacionado con otros sistemas,

a través del intercambio de información o acceso a información común

El Cronograma del Proyecto permita o haya permitido que el Sistema esté

operativo oportunamente. Debe verificarse que exista un Cronograma del Desarrollo

del Sistema, usando el método de Gantt como mínimo, siendo ideal utilizar

adicionalmente el PERT-CPM

Se aplique la metodología de Desarrollo de Sistemas. La forma más adecuada

para asegurar que el Sistema se desarrolle de acuerdo con una metodología, consiste en

verificar dos aspectos:

 Que cuente con toda la documentación del análisis, diseño e implantación del

sistema.

 Aplicación de técnicas

Exista un control permanente de la consistencia y confiabilidad de los Sistemas

Informáticos. Deben existir los controles específicos de:

 Detección de errores.
 17

 Prevención de acceso no autorizado y mal uso de la información y del equipo.

 Controles ambientales y seguridad

La calidad del sistema producido sea tal que permita una óptima operatividad del

mismo. Este aspecto, además de ser evaluado por un especialista en Sistemas, debe

también ser verificado con el usuario, ya que él puede dar su apreciación del sistema, en

forma real y responsable, porque se encarga de operarlo y administrarlo. La información

debe garantizar que:

La tecnología utilizada sea la más adecuada a los fines del sistema y permita una

vida útil satisfactoria para la inversión realizada. Se debe verificar que los siguientes

elementos sean los más adecuados: -

 Equipos.

 Sistema de Red.

 Sistema de Base de Datos.

 Sistema de Comunicaciones.

 Lenguaje de Programación.

Que los costos, tanto del desarrollo como de su operación y mantenimiento, sean los

planificados y que exista un retorno de la inversión. El proyecto, para ser aprobado,

debe contar con un presupuesto general, el cual debe ser detallado en la fase de Análisis

de Sistemas. Los componentes de costos deben ser:

 Costos de personal de sistemas y del usuario.

 Costo de supervisión.
 18

 Costos de equipamiento.

 Costos de originales de software de base.

 Costos de instalaciones y servicios.

 Costo de almacenamiento de datos.

 Costo de capacitación.

 Costo de creación de archivos maestros.

 Costo de procesamiento en paralelo.

 Costo de producción.

 Costo de mantenimiento.

Se hayan logrado los beneficios esperados. Una vez puesto en operación el

sistema, se debe esperar que transcurran por lo menos dos períodos de procesamiento

para evaluar si los beneficios del sistema se han logrado, tanto en las ventajas esperadas

por su implantación, como los beneficios económicos que estaban planificados.

 19

CONCLUSIONES

La auditoria de sistemas contables es fundamental dentro de una compañía, ya

que si no nos anticipamos a los mecanismos de control y respaldo de la información

dentro de una sociedad se vera inmersa a riesgos lógicos y físicos.

La evaluación de riesgos la debemos implementar de manera primordial dentro de

una compañía debido a que nos permite identificar los riesgos por áreas o sectores dentro

de la auditoria de sistemas, se puede descartar o minimizar riesgos dentro de las

funciones que se desempeñan y permite desarrollar planes de acción para actuar de

manera eficiente y eficaz ante los inconvenientes que se puedan presentar.

 20

PREGUNTAS

1. ¿En cuál de los siguientes aspectos consiste La revisión de centros de cómputo?:

a) Revisión de controles en el equipo y revisión de controles de operación

b) Revisión del plan de mantenimiento y revisión del plan de contingencia

c) Revisión de controles Ambientales

d) Todas las anteriores

2. ¿En qué consiste la Revisión de controles ambientales?

a) Se verifica si los equipos tienen un cuidado adecuado, es decir, si se cuenta con

deshumidificadores, aire acondicionado, fuentes de energía continua, extintores

de incendios, etc.

b) Se verifica que el cronograma de actividades para procesar la información asegure

la utilización efectiva del computador.

c) Se verifica que todos los equipos principales tengan un adecuado mantenimiento

que garantice su funcionamiento continuo.

3. ¿Cuál de los controles se usa para limitar las aplicaciones de los computadores?

a) Controles de acceso físico.

b) Controles de acceso lógico.

 21

c) Controles del ambiente.

d) Ninguna de las anteriores.

4. ¿En qué consiste la labor de la auditoria?

a) Consiste para entender todas las necesidades de seguridad.

b) Consiste en identificar el ambiente de procesamiento de información.

c) Consiste para entender los controles físicos del personal.

d) A y B son correctas

5. La evaluación de riesgos sirve para:

a) Verificar la existencia y aplicación de todas las normas y procedimientos.

b) Asegurar la eficiencia de las organizaciones de informática.

c) Verificar confiabilidad y seguridad de los sistemas.

d) Todas las anteriores.

6. Para conseguir el diagnóstico de la empresa el auditor realiza:

a) Revisión de documentos.

b) Entrevistas al personal.

c) Señales de peligro de auditoria.

d) A y B son correctas.
 22

Bibliografía

Unidad Evaluación del Riesgo-Universidad San Martin- Sistemas Contables