UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS

FACULTAD DE CIENCIAS ECONÓMICAS, ADMINISTRATIVAS Y CONTABLES

Derecho Mercantil y Laboral

SECCIÓN: 0801

TEMA:
Guia Teorica

PRESENTADO POR: CUENTA:

Marden Vladimir Herrera 20221003964

LICENCIADO: Favio Garcia

23 de febrero del 2023

C O N C EP TO S
FUNDANMENTALES DE
AUD IITTOR IIAA DE S IISSTEMAS DE IINNFORMAC IIOON

RECURSOS DE TECNOLOG IIAA DE LA

NFORMAC IIO
IIN ON
SSEEPPUUEEDDEENNDDEEFFIIN
N IIRRCCOOMMOOSSIIG
GUUEE::
Las aplicaciones: incluyen tanto sistemas de
usuarioautomatizados como procedimientos manuales
que procesan información.
La información: Son los datos en todas sus formas
de entrada, procesados y generados por los sistemas
de información, en cualquier forma en que son
utilizados por el negocio.
La infraestructura: Es la tecnología y las
instalacionesque permiten el procesamiento de las
aplicaciones.
Las personas: son el personal requerido para
planear, organizar, adquirir, implementar, entregar,
soportar, monitorear y evaluar los sistemas y los
servicios de
CONCEPTOS SOBRE R IIEESGOS
información. WEBSTER´S DEFINE EL RIESGO COMO “LA POSIBILIDAD
DE DAÑO O PÉRDIDA”.
EN EL CONTEXTO DE LOS NEGOCIOS EL RIESGO SE DEFINE COMO:
Los factores, eventos o exposiciones, internos o externos que
amenazan el logro de los objetivos
SEGUN NORMAS ISO 27002 DEFINE EL RIESGO COMO:
La combinación de la probabilidad de un evento yde

E JJEEMPLOS DE R IIEESGOS sus consecuencias

- Errores en el Cálculo de Ingresos

- Errores en el Cálculo de Ingresos
- Pérdida de negocios o de credibilidad pública
- Pérdida de Ventaja ante la Competencia
- Daño y Destrucción de Activos
- Hurto / fraude / Robo
- Decisiones Erróneas
- Sanciones Legales

RREELLAACCIIÓ
ÓN EENNTTRREE RRIIEESSGGOOSS
YY CCAUUSAAS DDE R IIEESSGGOO
Una causa puede generar
CAUSAS DEL R IIEESGO ((AAMENAZAS )) más de un tipo de riesgo.
Se refieren a los medios, medios o circunstancias y agentes EEJJE
EMMPPLLOO::
que generan riesgos. La causa incendio en el centro de
cómputo podría generar varios de los
EEJJE
EMMPPLLOOSS:: riesgos considerados como ser: el
- Incendio en el centro de computo daño y destrucción de activos.
por no tener controles adecuados. Pérdida de negocios, pérdida de
- Funciones incompatibles en el ingresos (futuros) Etc.
personal que procesa aplicaciones.

COMPONENTES DEL R IIEESGO

TRATAM IIEENTO DEL EELL RRIIEESSGGOO TTIIEENNEE DDOOSSCCOOMMPPOONNEENNTTEESS::
R IIEESGO a. La probabilidad de la ocurrencia de la causa.
b. El impacto (efecto) que la causa podría tener, expresado en
Tratamiento del Riesgo: Proceso de
términos monetarios o cualitativos.
selección e implementación de medidas
Los controles posibles para una causa del riesgo
para modificar el riesgo.
atacan los componentes del riesgo de dos maneras no
Determinar las acciones a tomar
excluyentes:
respecto
- para reducir la probabilidad de ocurrencia de la causa (cuando
a los riesgos que se
sea posible).
identificaron. Las acciones
- para reducir el impacto que pueda tener la ocurrencia de la
pueden ser:
causa (siempre será posible).
– CONTROLAR EL RIESGO.
– ELIMINAR EL RIESGO.-
– COMPARTIR EL RIESGO.
– ACEPTAR EL RIESGO.

CONCEPTOS FUNDAMENTALES DE AUDITORIA DE SISTEMAS DE INFORMCION

 COMPONENTES DEL R IIEESGO
OOBBJJEETTIIVVOOSS DDEE LLOOSS CCOONNTTRROOLLEESS
Los controles actúan sobre las causas del riesgo
de tres maneras, mutuamente excluyente:
Como Control Preventivo: Para evitar la ocurrencia
de lacausa del riesgo
Como Control Detectivo: Para detectar, registrar e
informarla ocurrencia de la causa (actuar como alarma que
se dispara cuando detecta la causa)
Como control Correctivo: Obligan a tomar acción
correctivapara resolver el problema detectado por los
controles detectivos.

SEGUN NORMAS IISSO 27002

TERMINOS Y DEFINICIONES
Análisis de Riesgo: Es la utilización sistemática de la
información para identificar las fuentes y estimar el riesgo.
Evaluación de Riesgos: Es el proceso global del análisis
del riesgo y valoración del riesgo.

TERMINOS Y DEFINICIONES
Valoración del Riesgo: proceso de
comparar el riesgo estimado contra los
criterios del riesgo dados para
determinar la significación del riesgo.
Gestión del Riesgo: Actividades
dirigidas para dirigir y controlar una
organización con respecto al riesgo.

EEJJEEMMPPLLOOSSDDEEAAMMEENNAAZZAASS::
Amenazas naturales:
inundaciones tsunamis o maremotos,
tornados, huracanes, sismos,
tormentas,
incendios forestales.
Amenazas humanas: Huelgas,
TERMINOS Y DEFINICIONES
epidemias, materiales peligrosos,
Amenaza: Una causa potencial de un incidente no
problemas de transporte, pérdida de
deseado, que puede resultar en daño para un sistema u
personal clave.
organización.
Amenazas tecnológicas: Virus,
TTIIPPOOSS DDEEAAMMEENNAAZZAASS hacking, perdida de datos, fallas de
Naturales: Terremotos que destruyan el hardware, fallas de software, fallas
centro de cómputo. en la red, fallas en las líneas
Humanas: Fraude realizado al modificar los telefónicas.
saldos de cuentas por cobrar.
Software: Cambios no autorizados al
sistemaque realicen cálculos incorrectos..

TERMINOS Y DEFINICIONES
EJEMPLOS DE VULNERABILIDADES:
1. Cuentas de usuarios sin contraseña;
2. Personal externo no registra su
entrada y salida a las instalaciones;
3. Falta de directrices para la
construcción de contraseñas;
4. No hay un software de control de
accesos;
5. No contar con un plan de
recuperación de desastres.
Vulnerabilidad: Es una debilidad de un activo o grupo de activos
que pueden ser aprovechados por una o más amenazas.
1. Seguridad de los recursos humanos: falta de
entrenamiento enseguridad, carencia de toma de conciencia
en seguridad, falta de mecanismos de monitoreo, falta de
políticas para el uso correcto de las telecomunicaciones
2. Control de acceso: Segregación inapropiada de redes, falta
de
política sobre escritorio y pantalla limpia.
3. Seguridad física y ambiental de equipos: Control de
acceso
físico inadecuado a oficinas, salones y edificios, ubicación en áreas
sujeta a inundaciones, almacenes desprotegidos,
CONCEPTOS FUNDAMENTALES DE AUDITORIA DE SISTEMAS DE INFORMCION
PRUEBAS DE AUD IITTOR IIAA
DDEESSDDEE EELL PPUUNNTTOO DDEE VVIISSTTAA DDEE SSUU EEJJEECCUUCCIIO
ONN PPUUEEDDEENN SSEERR::
Manuales
Con asistencia del computador (CAATs)

DDEESSDDEE EELL PPUUNNTTOO DDEE VVIISSTTAA DDEE SSUU AAPPLLIICCAACCIIÓ

ÓNN PPUUEEDDEENN SSEERR::
De aplicaciones discreta (Pruebas
manuales) De aplicaciones continua
(Pruebas CAATs)

DDEESSDDEE EELL PPUUNNTTOO DDEE VVIISSTTAA DDEE SSUU OOBBJJEETTIIVVOO PPUUEEDDEENN SSEERR::
PRUEBAS DE CUMPLIMIENTO
También llamadas pruebas de control, verifican el grado de
cumplimiento y/ó funcionamiento del control.
PRUEBAS SUSTANTIVAS
También llamadas prueba de riesgo, su propósitoes
sustentar cifras y/ó determinar el grado de
ocurrencia de eventos, hechos, riesgos, etc.

FUNC IIOONES IINNCOMPAT IIBBLES ::

las funciones incompatibles para
propósito de control contable
son aquellas que colocan a
cualquier persona en posición
tanto de cometer errores o
irregularidades en el curso
normal de sus deberes.

MMAASSEEJJEEMMPPLLOOSS::
7. El que revisa y controla
operaciones no debe ingresar datos
ni actualizar o postear
8. El que ingresa datos no debe
autorizar transacciones
Ejemplo de funciones incompatibles a nivel de funciones 9. Los que ingresan datos no deben
operativas y secciones o unidades en TI: tener acceso a formularios
EEJJE
EMMPPLLOOSS:: 10. Las personas que modifican y
1. Ser cajera y llevar el control de cuentas por pagar. revisan la modificación y/o cambios a
2. Ser programador y operador de aplicaciones programas deben ser diferentes
3. Ser bibliotecario y programador o analista
4. Ser administrador de redes y administrador de base de datos
5. Ser programador y operador de computadora
6. Que operador de aplicaciones pueda ingresar o cambiar
datos

C O NT R O L E S CONS IIDDERAC IIOONES DEL AUD IITTOR EN LA

COMPENSATOR IIOOS SEPARAC IIOON DE FUNC IIOONE S
Son controles que se implementan para CCUUAANNDDOOEELLAAUUDDIITTOORREEVVAALLUUAALLAASSEEPPAARRAACCIIO
ONNDDEEFFUUNNCCIIO
ONNEESS
aminorar la exposición a errores o CCOONNSSIID
DEERRAALLOOSSIIG
GUUIIEENNTTEE::
irregularidades (al riesgo) a falta decontroles 1. El tamaño de la organización de TI y de la empresa ( mientras
ideales. haya menos personal, mas difícil es separar las funciones.
EEJJEEMMPPLLOOSS :: 2. Los riesgos involucrados en no separar los deberes
- Las limitaciones sobre el acceso al 3. Los costos potenciales de segregar los deberes
equipo y a la biblioteca de datos, 4. La posibilidad y lo aconsejable de utilizar técnicas alternativas
- La eficaz supervisión y rotación del personal
para obtener la misma medida de control
- El uso de conteo de documentos y
totales de control.
CONCEPTOS FUNDAMENTALES DE AUDITORIA DE SISTEMAS DE INFORMCION