Auditoría y peritaje informático

PRIMER TRABAJO
Introducción a la Auditoría Informática

Concepto de auditoría: Auditoría, en su acepción más amplia significa verificar la

información financiera, operacional y administrativa que se presenta es confiable, veraz
y oportuna.
Auditoría contable/financiera: Consiste en el examen de los registros, comprobantes,
documentos y otras evidencias que sustentan los estados financieros de una entidad.
Concepto de auditoría en informática: Es el control de la función informática, el
análisis de la eficiencia de los Sistemas Informáticos que comporta y la verificación del
cumplimiento de la Normativa general de la empresa en este ámbito.
Campos de acción del Auditor Informático:
 Los objetivos del departamento, dirección o gerencia.
 Metas, planes, políticas y procedimientos de procesos electrónicos estándares.
 Organización del área y su estructura orgánica.
 Evaluación del análisis de los sistemas y sus diferentes etapas.
Síntomas de Necesidad de Auditoría:
 No coinciden los objetivos de la Informática de la Compañía y de la propia
Compañía.
 Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente.
 No se atienden las peticiones de cambios de los usuarios.
 No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables.
Auditoría interna y externa (diferencia entre ambas):
En la Auditoría Interna existe un vínculo laboral entre el auditor y la empresa, mientras
que en la Auditoría Externa la relación es de tipo civil.
La Auditoría Interna está inhabilitada para dar Fe Pública, debido a su vinculación
contractual laboral, mientras la Auditoría Externa tiene la facultad legal de dar Fe
Pública.

SEGUNDOTRABAJO
GRUPO 1 Control interno y Auditoría Informática
¿Cuáles son las funciones del control interno informático?
 Controles en las redes de comunicaciones.
 Control sobre el software de base.
 Controles en los sistemas microinformáticos.
¿Cuáles son los principales controles en el área de desarrollo?
 Controles generales organizativos.
 Controles en aplicaciones.
  Controles específicos de ciertas tecnologías.
¿Cómo justificaría ante un directivo de empresa la inversión necesaria en
control y auditoría informática?
 Mejora de la capacidad de toma de decisiones.
 Mejora de la calidad de los servicios debido al incremento de la capacidad.
 Nacimiento de servicios a clientes basados en la nueva tecnología.

GRUPO 2 Organización del Departamento de Auditoría

Informática

¿Cuál es el perfil del auditor informático general?

El auditor informático debe ser una persona con un alto grado de calificación
técnica y al mismo tiempo estar integrado en las corrientes empresariales.
Debe tener conocimientos básicos en cuanto a:
 Redes locales.
 Seguridad física.
 Ofimática.
 Comercio Electrónico.
¿Cuáles son las funciones de la Auditoría Informática?
 Verificación del control interno, tanto las aplicaciones como de los
sistemas informáticos, centrales y periféricos.
 Análisis de la gestión de los sistemas de información desde un punto de
vista de riesgo de seguridad, de gestión y de efectividad de la gestión.
 Análisis de la integridad, fiabilidad y certeza de la información a través
del análisis de las aplicaciones.
 Auditoría del riesgo operativo de los circuitos de información.

GRUPO 3 Marco Jurídico de la auditoría en informática

¿Qué son delitos informáticos?

Toda acción culpable realizada por un ser humano, que cause un perjuicio a
personas sin que necesariamente se beneficie el autor.
¿Qué es una estafa informática?
La estafa se puede definir'' como el perjuicio patrimonial realizado con ánimo de
lucro mediante engaño.
Realice una clasificación de los contratos informáticos.
1. Contratación del hardware.
2. Contratación del software.
3. Contratación de datos.
4. Contratación de servicio.
GRUPO 4 Deontología del Auditor Informático y Códigos Éticos
Principios deontológicos aplicables a los auditores
informáticos
Principio de independencia. Principio de capacidad. Principio de discreción. Principio de
legalidad. Principio de precisión
Que es el principio de legalidad?
El auditor no colaborará en la desactivación o eliminación de dispositivos de seguridad
ni intentará obtener los códigos o claves de acceso a sectores restringidos de
información generados para proteger los derechos, obligaciones o intereses de
terceros.
GRUPO 5 Metodologías de control interno. seguridad y
auditoría informática
¿Qué diferencias y similitudes existen entre las metodologías cualitativas y las
cuantitativas?
 Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la
realización del trabajo.
 Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para seleccionar en base a la experiencia acumulada.
¿Cuáles son las dos metodologías más importantes para control interno
informático?
 Clasificación de la información: identificamos distintos niveles de contramedidas
para distintas entidades de información con distinto nivel de criticidad.
 Procedimientos de control: Es establecer cuáles son las entidades de
información a proteger.
¿Qué papel tienen las herramientas de control en los controles?
Son elementos software que por sus características funcionales permiten vertebrar un
control de una manera más actual y más automatizada

GRUPO 6 El informe de auditoría

El informe de auditoría: Es el documento final que redactan los auditores después de

la realización completa de la auditoría, donde señalan la situación económica de la
empresa y donde muestran su opinión sobre la realidad económica de la empresa.
La Evidencia: Es la información/documentación utilizada por el auditor para alcanzar las
conclusiones en las que basa su opinión.
La Documentación: Es la totalidad de los documentos preparados o recibidos por el
auditor, de manera que, en conjunto constituyen un compendio de la información
utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las
decisiones que ha debido de tomar para llegar a formarse su opinión.
El informe debe contener uno de los siguientes tipos de opinión:
 Opinión favorable
 Opinión con salvedades
 Opinión desfavorable
  Opinión denegada

GRUPO 7 La Auditoría Física

Diferencie entre seguridad lógica, seguridad física y seguridad de las

comunicaciones No existe una diferencia clara entre ellos, lo más práctico sería
unirlas como una seguridad integral es decir en una sola.
Técnicas más adecuadas para la auditoría física
 Observación de las instalaciones, sistemas
 Revisión analítica de Documentos sobre construcción y preinstalaciones,
 Entrevistas con directivos y personal, fijo o temporal
 Consultas a técnicos y peritos que formen parte de la plantilla o independientes
contratados.
Responsabilidades del auditor informático interno respecto a la auditoría física
 Revisar los controles relativos a seguridad física
 Revisar el cumplimiento de los procedimientos
 Revisar riesgos
 Emitir informes y efectuar el seguimiento de las recomendaciones.

TERCER TRABAJO
GRUPO 1 Auditoría de la Ofimática.
¿Que distingue la auditoría de la ofimática de la de otros entornos informáticos?.
La distribución de las aplicaciones por los diferentes departamentos de la
organización en lugar de encontrarse en una única ubicación centralizada.
Traslado de la responsabilidad sobre ciertos controles de los sistemas de información a
usuarios finales no dedicados profesionalmente a la informática.
¿Qué elementos de un sistema informático se contemplan dentro de la ofimática?
Hojas de cálculo o procesadores de textos, Herramientas para la gestión de documentos
y Sistemas de trabajo en grupo.
Auditoría de la Dirección
¿Qué evidencias deberá buscar el auditor para poder evaluar si las necesidades
de los usuarios son tenidas en cuenta adecuadamente?
 Evidencia Física
 Evidencia Documental
 Evidencia Testimonial
 Evidencia Analítica
Describa las actividades a realizar por un auditor para evaluar un plan estratégico
de sistemas de información.
 Lectura de actas de sesiones del Comité de Informática dedicadas a la
planificación estratégica.
 Identificación y lectura de los documentos intermedios prescritos por la
 metodología de planificación.
 Realización de entrevistas al Director de Informática y a otros miembros del
Comité de Informática.
GRUPO 2 Auditoria de la Explotación.
Fases de la planificación de la auditoría:
 Planificación estratégica
 Planificación administrativa
 Planificación técnica
Categorías se pueden distinguir en los controles generales:
 Controles Operativos y de Organización
 Controles sobre el desarrollo de programas y su documentación
 Controles sobre los Programas y los Equipos
 Controles de acceso
 Controles sobre los procedimientos y los datos
Defina los tipos de archivos principales y contenido de cada uno.
Archivo Permanente: Facilitar la preparación de papeles de trabajo, especialmente
para aquellas áreas que requieren la referencia de documentos .
Archivo Corriente: Facilitar la administración de todos los documentos que sirvieron de
evidencia, comunicación e información durante la ejecución de la auditoría.
Auditoría del desarrollo

Aspectos que se deben comprobar respecto a las funciones del área de

desarrollo:
 Planificación del área y participación
 Desarrollo de nuevos sistemas
 Estudios de nuevos lenguajes
 Establecimiento de un plan de formación para el personal adscrito al área.
Factores que contribuyen a la importancia de la auditoría de desarrollo:
 El desafío más importante y principal factor de éxito de la informática es
la mejora de la calidad del software.
 El gasto dedicado al software es mayor que el destinado al hardware..
 Las aplicaciones informáticas que son el producto final del desarrollo,
pasan a ser herramientas de trabajo principal de las áreas informatizadas.

GRUPO 3 Auditoría del mantenimiento.

Una acción de mantenimiento se puede descomponer en tres actividades:

 Comprensión del cambio a realizar
 Modificación o realización del cambio.
 Prueba de colección del cambio realizado.
¿Cuál es la utilidad de la auditoría jurídica de entornos informáticos?
La Auditoría Jurídica forma parte fundamental de la Auditoría Informática. Su objeto es
comprobar que la utilización de la Informática se ajusta a la legislación vigente.
Áreas comprende la auditoría jurídica:
a. la auditoría del entorno informático.
b. la auditoría de las personas .
c. la auditoría de la información.
d. la auditoría de los archivos
GRUPO 4 La auditoría de Técnica de Sistemas.
Procedimientos para la instalación y puesta en servicio de un equipo:
 Planificación
 Documentación
 Pruebas
¿Por qué son peligrosas algunas utilidades que permiten acceso directo a los
datos o al núcleo del sistema operativo?
Son peligrosas porque podrían causar hechos malintencionados contra la organización
misma o sus colaboradores.
Principales aspectos a contemplar en la resolución de incidencias
 Registrar
 Analizar
 Diagnosticar

GRUPO 5 Auditoría de la calidad.

Características de la calidad define la norma ISO 9126: Funcionalidad, Fiabilidad,
Usabilidad, Eficiencia
Objetivos de las auditorías de la calidad.
 Establecer el estado de un proyecto.
 Verificar la capacidad de realizar o continuar un trabajo específico.
 Verificar la adherencia de esos elementos con d programa o Plan de
Aseguramiento de la Calidad.
Conocimientos que se requieren para poder llevar a cabo con éxito una auditoría
de la calidad:
 Los datos de prueba cumplen con la especificación
 Los productos software fueron sucesivamente probados y alcanzaron esta
especificaciones
 El coste y el cronograma se ajustan a los planes establecidos.

GRUPO 6 Auditoría de la Seguridad.

Auditoría de la Seguridad Informática: busca analizar la información de los sistemas
informáticos para identificar y enumerar los problemas y vulnerabilidades de todos los
sistemas para ofrecer propuestas que solventen o mitiguen estos problemas.
Tipos de control:
 Controles directivos.
 Controles preventivos
 Controles de detección
  Controles correctivos
 Controles de recuperación
Evaluación de Riesgos: Se trata de identificar los riesgos, cuantificar su probabilidad e
impacto y analizar medidas que los eliminen o disminuyan la probabilidad de que
ocurran los hechos.

GRUPO 7 Auditoría de redes.

Cuáles son los mayores riesgos que ofrecen las redes?
Por causas dolosas y teniendo en cuenta que es posible interceptar la información.
 Indagación
 Suplantación.
 Modificación.
Cuáles son las incidencias que pueden producirse en las redes de
comunicaciones? En las redes de comunicaciones por causas propias de la
tecnología se pueden producir las siguientes incidencias:
 Alteración de bits.
 Ausencia de tramas.
 Alteración de secuencia.

Auditoría de aplicaciones
Fines persigue una Aplicación Informática
 Registrar fielmente la información considerada de interés en torno a las
operaciones llevadas a cabo por una determinada organización
 Permitir la realización de cuantos procesos de cálculo y edición sean necesarios
a partir de la información registrada.
 Generar informes que sirvan de ayuda para cualquier finalidad de interés en la
organización, prestando la información adecuada

Enumere las principales amenazas que pueden impedir a las aplicaciones

informáticas cumplir sus objetivos.
Pese a todas las previsiones o al rigor en la creación de la aplicación ni la
profesionalidad en el uso de la misma pueden ser garantizados.
1. El cansancio o el estrés puede incurrir en fallas del uso de la aplicación por
parte humana.
2. Posibilidad de fallo en cualquier de los elementos que intervienen en el proceso
informático
3. La conexión cada vez más generalizada de las empresas a entornos abiertos
como la internet multiplican los riesgos que amenazan la confidencialidad de
integridad de la información de los sistemas.