Técnicas de Verificación

Alejandro Fernández Garrido

AUDITORIA INFORMATICA

Instituto IACC

26 de Noviembre 2018
 Desarrollo

1.- Le solicitan su apoyo en una auditoría financiera en un importante banco. Específicamente, le

piden analizar la totalidad de los registros de asientos contables en el sistema financiero del
banco, para el periodo enero 2014 a diciembre 2014, de tal forma de identificar los movimientos
sospechosos de fraude: realizados en fines de semana o días feriados, fuera de horario de oficina,
por montos terminados en 000, por montos terminados en 999.?

R: En este caso se debe utilizar la técnica de auditoria asistida por computador, ya que, al tratarse
de un banco financiero, se maneja un gran número de flujo de datos, por ende, tendrán que ver
todos los registros ingresados en ese año y a partir de esos datos realizar un filtro para poder
determinar cualquier movimiento sospechoso que se haya realizado dentro de los días sábados y
domingos del año 2014, con esto también se puede llegar a ver cualquier movimiento recurrente
o fuera del horario de trabajo y luego determinar si realmente es una transacción legal o se está
vulnerando el sistema, al terminar esta auditoría se deberá realizar una documentación de la
auditoria para tener un documento que avale los que se realizó y que conclusiones se tuvieron de
dicha auditoria.

2.- Durante el desarrollo de una auditoría le han solicitado que verifique el grado de
cumplimiento de las políticas de seguridad de una compañía, en relación a los siguientes puntos:
 Los nombres de usuarios y contraseña que otorgan acceso a los sistemas son de uso
exclusivamente personal y no deben ser compartidos bajo ningún motivo.
 Las contraseñas no deben ser registradas en ningún medio (ni físico ni digital), de tal forma que
no pueda ser conocido por otras personas.

R: Lo que se debe utilizar es la técnica de entrevista y observación del personal durante la

ejecución de sus funciones, sobre todo para ver si el personal realmente tiene conciencia sobre lo
importante que es la información y el resguardo de esta para la empresa, ya que al día de hoy el
activo más importante de las empresas es la información, para esto se capacita a el personal que
será auditado, dándoles conocimiento de las diferentes buenas prácticas y vulnerabilidades a las
que estarán expuestos en el día a día, porque no todo el personal tiene conciencia del uso del
computador y que pueden caer en trampas como por ejemplo el phishing.

3.- ¿Para una auditoria de seguridad de redes, se decidió utilizar herramientas específicas para
realizar evaluaciones de las vulnerabilidades de la red y de sus sistemas operativos, pruebas de
penetración, y pruebas de descifrado de contraseñas. Indique si en este caso se utilizó la técnica
de muestreo o de auditoría asistida por computador, identificando las características que le
permiten reconocer esta técnica. ¿Qué ventaja o desventaja implicaría utilizar la técnica no
seleccionada para este caso?

R: Para este caso se utilizó la técnica de muestreo, por el motivo de que se está verificando algo
específico con el fin de obtener una evaluación de la red, como esta auditoria está viendo
aspectos específicos de las redes, pueden ver en cada campo examinado que tan vulnerables son,
y con esto tomar medidas de precaución para evitar que su red sea accesible de forma externa
con la intención de dolo, la desventaja que tiene no realizar una auditoria con la técnica asistida
con el computador, es que pueden haber vulnerabilidades internas a la empresa, esto quiere decir
que pueden haber usuarios conectados con computadores personales a la red de la empresa, esto
permitiría que los datos puedan ser manipulados en computadores no regulados por la empresa y
así tener una pérdida de información no detectada, que puede ser provocada de forma
inconsciente por el trabajador, pero que sin duda puede causar un daño mayor a la empresa, otro
punto importante es que con esta técnica se puede testear la red más a fondo obteniendo datos
más específicos, como cuantos dispositivos se encuentran conectados, ver si realmente la red está
configurada de forma segura de modo que no sea sencillo ingresar de forma externa.

4.-En una auditoría al proceso de otorgamiento de créditos de consumo de un banco, se necesita

verificar el correcto cálculo de intereses en función de los distintos productos ofrecidos y sus
características. Dada la variedad de productos ofrecidos por el banco y por la complejidad de
configurar las distintas reglas de cálculo en alguna herramienta, se estima que no es posible
asegurar la revisión de total de créditos otorgados durante el periodo auditado. ¿Qué Control 4
técnica es conveniente utilizar en este caso: técnica de muestreo o auditoría asistida por
computador?
R: Se utiliza auditoria asistida por muestreo, ya que para este caso el resultado final es una suma
de factores variantes que se van ajustando según sea solicitado por el cliente, para esto se
selecciona una muestra no estadística, es decir de un total se selecciona una gran parte y a partir
del análisis de esas partes se estima cuantos créditos fueron realizados correctamente en relación
al total de la muestra, con esto se determina si se está realizando un correcto cálculo de los
créditos y obtener una muestra sin haber realizado una auditoria de todos los datos por el factor
de tiempo y la por la complejidad de los datos que se debían auditar.
 Bibliografía

Contenido Semana 4, Auditoria Informática, IACC 2018