COLEGIO DE CONTADORES PUBLICOS

DE
NICARAGUA

MODULO DE AUDITORIA DE SISTEMAS

Y
DELITOS INFORMATICOS

PARTE N°2

POSTGRADO EN AUDITORIA CON ENFASIS EN NIAS

EXPOSITOR:
LIC. E ING MSC. SILVIO GOMEZ GUEVARA
INDICE TEMATICO
 MARCO CONCEPTUAL PARA REALIZAR AUDITORIAS COMPUTACIONALES.

 PAPELES DE TRABAJO.

 SISTEMAS CONTABLES: ESTRUCTURA Y CARACTERISTICAS.

 NORMAS ISO APLICADAS A (ASC).

 DELITOS INFORMATICOS: CONCEPTO Y CARACTERISTICAS.

 ESTRUCTURA DE CEDULAS DE AUDITORIA INFORMATICA.

 EXAMEN DE CIERRE.
 MARCO CONCEPTUAL:
LA PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES ASC
Llevar a cabo una auditoria de sistemas computacionales implica una serie
ordenada de acciones y procedimientos específicos, los cuales deben de
ser diseñados previamente bajo la siguiente estructura:
 SECUENCIAL.
 CRONOLOGICA.
 ORDENADA.
 Estos puntos deben de fundamentarse en función de etapas, eventos y
actividades que se requieren para su ejecución, mismos que serán
establecidos conforme a las necesidades de la institución. Además es
fundamental señalar que estos procedimientos se apegan de acuerdo
con el tipo de auditoria de sistemas computacional (ASC), que se
ejecutara de acuerdo con las necesidades de la organización.
 LA PLANEACION DE LA AUDITORIA DE
SISTEMAS COMPUTACIONALES

Origen de la Vista
Auditoria Preliminar

Establecer Objetivos

Determinar los Puntos a Evaluar

Elaborar Planes, Presupuestos Y

Programas

Selección de Métodos, Técnicas y Herramientas de

Trabajo

Asignación de Recursos
 CONTINUACION…

Aplicación de la Auditoria

Identificación de desviaciones y elaboración de informe

Presentación de desviaciones a
discusión

Elaboración de borrador final de

desviaciones

Presentación del informe de

auditoria

Conforme la aplicación de esta estructura, nos servirá para establecer

las técnicas, procedimientos y métodos adaptables a las características
especiales de la auditoria de sistemas a evaluar incluyendo los recursos:
humanos , técnicos y materiales necesarios para dicha revisión
 ETAPAS DE PLANEACION DE LA AUDITORIA

 1° ETAPA: PLANEACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES.

 2° ETAPA: EJECUCION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES.
 3° ETAPA: DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES.
FASES Y PASOS PARA INICIAR UNA AUDITORIA DE SISTEMAS COMPUTACIONALES
CON RELACION A LA PRIMER ETAPA SE DEBE DE SEGUIR LO SIGUIENTE:
 Identificación del Origen de la auditoria.
 Visita preliminar al área que será evaluada.
 Establecer los objetivos de la Auditoria.
 Determinar los puntos que serán evaluados en la ASC.
 Elaboración de planes, programas y presupuestos.
 Identificación de métodos, herramientas, instrumentos, y procedimientos.
 Asignación de recursos y sistemas computacionales para la auditoria.
Continuación…

SEGUNDA ETAPA: LA EJECUCION.

 Realizar las acciones programadas por la auditoria.
 Aplicar los instrumentos y herramientas para la auditoria.
 Identificar y elaborar los documentos de desviaciones encontradas.
 Elaborar el dictamen preliminar y presentarlo a discusión.
 Integrar el legajo de papeles de trabajo en la auditoria.

TERCERA ETAPA: EL DICTAMEN

 Análisis de la información y elaborar un informe de situaciones detectadas.
 Elaboración del dictamen final.
 Presentación del dictamen de la auditoria.
 PROCESO Y ESTRUCTURA DE LA PLANEACION
DE LA ASC
Como recomendación general para este tipo de Auditoria en lo sucesivo la planeación de la ASC
debe de iniciar con las siguientes preguntas:
1. Porque se realizara la Auditoria?
2. Se debe de Realizar una visita presencial al área de sistemas para conocer la estructura de la
configuración del hardware y software que forman parte del sistema informático de la
empresa?
3. Cual es el objetivo que se pretende alcanzar con esta Auditoria?.
CON RELACION AL CAPITULO UNO REFERENTE A LA PLANEACION SE DETALLA LOS SIGUIENTES
PUNTOS:
 POR MANDATO INTERNO.
 POR MANDATO EXTERNO.
 POR CONSECUENCIA DE EMERGENCIAS Y CONDICIONES ESPECIALES.
 COMO RESULTADO DE LOS PLANES DE CONTINGENCIA.
Continuación…
REALIZAR UNA VISITA AL AREA A AUDITAR:
 Visita preliminar de arranque.
 Contacto con funcionarios y empleados del área.
 Identificación preliminar de la problemática del área de sistemas.
 Prever los objetivos iniciales de la Auditoria.
 Calcular los recursos y las personas necesarias para la Auditoria.
ESTABLECIMIENTO DE LOS OBJETIVOS DE LA ASC:
 Objetivo General.
 Objetivo Especifico.
DETERMINACION DE LOS PUNTOS A EVALUAR EN LA ASC
 Evaluación de las funciones y actividades del personal de sistemas.
 Evaluación de las áreas y unidades administrativas del área de sistemas.
 Evaluación de la seguridad de los sistemas de información.
Continuación…
 Evaluación de la información, documentación y registros del sistema
 Evaluación de los equipos, sistemas y componentes:
1. Evaluación de los recursos humanos del área de sistemas.
2. Evaluación del Hardware.
3. Evaluación del Software.
4. Evaluación de la información y de las bases de datos.
5. Evaluación de otros recursos informáticos.
6. Evaluación de equipos , instalaciones y demás componentes.
ELABORACION DEL PROGRAMA DE AUDITORIA:
1. Elaboración del documento formal de los planes de trabajo de la ASC.
2. Contenido de los planes para realizar la ASC.
3. Elaboración del documento formal de auditoria.
4. Elaboración de los programas de actividades para realizar la ASC.
5. Elaboración del presupuesto de actividades.
 Continuación…
IDENTIFICAR Y SELECCIONAR LOS METODOS, HERRAMIENTAS, INSTRUMENTOS Y
PROCEDIMIENTOS NECESARIOS PARA LA AUDITORIA.
 Establecer las guías de ponderación de los puntos que serán evaluados.
 Elaborar la guía de auditoria.
 Elaborar los documentos necesarios para la auditoria.
 Determinar herramientas, métodos y procedimientos para la ASC.
 Determinar los sistemas, programas y métodos de pruebas para la auditoria.
 Asignación de recursos para la auditoria de sistemas computacionales.
Como se estructura el plan de ASC?

LOS SIGUIENTES PASOS REPRESENTAN LA OFERTA TECNICA DE AUDITORIA EN SISTEMAS

COMPUTACIONALES:
1. Hoja Membretada con el Logo y datos referenciales de la firma o grupo de Auditores que
ejecutan el trabajo.
2. Nombre de la Empresa a auditar.
3. Periodo en que ejecutara la auditoria.
4. Nombre del auditor supervisor.
5. Nombre del área auditada.
6. Breve introducción con el nombre de la empresa, grupo o auditor que llevara a cabo el
trabajo (en el caso de las personas jurídicas) fecha en que fue constituida, ubicación y
experiencia en años de ejercer esta especialidad.
7. Indicación del documento.
8. Breve descripción de las responsabilidades del auditor supervisor (o persona encargada de
ejecutar la coordinar el desarrollo de la misma)
 Continuación…

 Índice del contenido de la ASC: Esto quiere decir que en este caso, se señala por contenido
o apartado los puntos a evaluar en el desarrollode la auditoria.
 Definición de objetivos.
 Definición de estrategias.
 Definición de normas, políticas y procedimientos a implementarse en la ASC.
 Definición de objetivos finales.
 Cuerpo del informe.
 Conclusiones.
 Recomendaciones.
 Anexos : Estos incluye el Archivo de la auditoria ejecutada (Cedulas de Software, y
Hardware).
 Cronograma de Ejecución
ACTIVIDADES SEMANAS OBSERVACION
No Pasos a Seguir Responsable 1 2 3
1 Plan de ASC J Dpto. Asig Planificación
2 Aprobación ASC Director Aprobado
3 Prepa Instru. De Remisión Resp Auditor Documentos y
Programas.
4 Inicio de Preparativos Aud Senior Reuniones Previas
5 Viáticos de Viaje Aud Asignado Entrega de Dinero
para Gestión
6 Audi Gestión Informática Aud #1 Departamento
7 Bases de Datos Aud #2 Evaluación
8 Sistema Operativo Aud #2 Tipo de Sistema
9 Personal Informático Aud #3 Personal a cargo
10 Aud de Hardware Aud #4 Partes físicas
11 Aud de Software y Redes Aud # 5 Partes lógicas.
 EL DICTAMEN DE AUDITORIA
Pasos para su elaboración
PARA EFECTOS DEL DICTAMEN DE ASC SE CONSIDERAN LOS SIGUIENTES ASPECTOS:
 Detalle de situaciones detectadas.
 Análisis del archivo de auditoria.
 Señalización de situaciones encontradas.
 Detalle de las situaciones encontradas.
 Modificaciones del informe.
 Opinión del Auditor.
 Presentación del expediente del informe de ASC
1) La Carta de Presentación.
2) El dictamen de auditoria.
3) El Informe de situaciones relevantes.
4) Anexos y cuadros adicionales.
 PAPELES DE TRABAJO
ESTRUCTURA DE LOS PAPELES DE TRABAJO EN ASC
 HOJA DE IDENTIFICACION.
 INDICE DEL CONTENIDO DE LOS PAPELES DE TRABAJO.
 DICTAMEN PRELIMINAR.
 RESUMEN DE DESVIACIONES DETECTADAS.
 SITUACIONES ENCONTRADAS.
 PROGRAMA DE TRABAJO DE AUDITORIA.
 GUIA DE AUDITORIA.
 INVENTARIO DE SOFTWARE.
 INVENTARIO DE HARDWARE.
 INVENTARIO DE CONSUMIBLES.
 MANUAL DE LA ORGANIZACIÓN.
 DESCRIPCION DE LOS PUESTOS.
 REPORTES PRUEBAS Y RESULTADOS.
 Continuación…
 RESPALDOS FISICOS (PEND DRIVE , DVD, DISCOS EXTERNOS)
 RESPALDO DE LA BASE DE DATOS DEL SISTEMA.
 GUIAS Y CODIFICACION DE LOS PAPELES DE TRABAJO.
 ANEXOS DE RECOPILACION DE INFORMACION.
 DIAGRAMA DE FLUJO DE LA AUDITORIA.
 TESTIMONIOS, ENTREVISTAS Y CHECK LIST.
CLAVES UTILIZADAS EN LOS PAPELES DE TRABAJO ASC:
 HW: Relacionado con las partes físicas.
 SW: Relacionado con las partes lógicas.
 SG: Relacionado con la seguridad informática.
 BD: Relacionado con las bases de datos.
 DS: Documentación relacionado con el diseño del sistema.
 IS: Relacionado con las instalaciones del área de sistemas.
 CC: Relacionado con el centro de computo.
 CA: Documentación relacionada con la gestión administrativa del centro de
computo.
 CM: Relacionadocon los consumibles del área de computo.
 Sistemas Contables
INFORMÁTICA CONTABLE:
Este tema trata sobre los sistemas de información y como ha ido evolucionado la tecnología en
la contabilidad así como también la evolución de la misma contabilidad también nos indica
sobre los programas informativos cuales son y también los sistemas informativos como ha ido
cambiando el modo de trabajar en las empresas.
SISTEMA DE CÓMPUTO ADMINISTRATIVO:
 Constan de diferentes módulos: Clientes y Cuentas por Cobrar y Proveedores y Cuentas por
pagar, control de inventarios, nóminas, etc. que le permite mantener toda la información
sobre sus clientes y proveedores, así como llevar el control de todas las transacciones que la
empresa realice con los mismos.
 Manejan su información en múltiples formatos de bases de datos tanto cliente servidor como
MS SQL-Server , Interbase , Oracle y también en bases de datos desktop como Access y
paradox. Las características de los sistemas es que utilizan mecanismos de transacciones
provistas por estos servidores de bases de datos lo cual los hace seguros y confiables en el
registro y control de las transacciones.
 COMPONENTES
PASOS QUE SE EJECUTAN EN UN SISTEMA CONTABLE:

 Registro de la Actividad Financiera: En un Sistema Contable se debe

llevar a cabo un registro sistemático de la Actividad comercial diaria en
términos económicos, es por tal razón que en Nicaragua la Aplicación de
los Mismos en las Empresas independientemente de la Índole que
desarrollen en sus transacciones deben de asegurarse, que los Sistemas
Contables cuentan con la estructura necesaria en lo que a materia de
Software y Materia fiscal se refiere, de tal manera que una no se
desligue de la otra.
 Clasificación de la Información: Un registro completo de todas las
actividades comerciales implica comúnmente un gran volumen de datos,
demasiado grande y diverso para que pueda ser útil para las personas
encargadas de tomar decisiones. Por tanto, la información se debe de
clasificar en grupos o categorías.
 Continuación…
 Resumen de la Información: La información contable utilizada
por quienes toman decisiones, debe ser resumida. Por ejemplo,
una relación completa de las transacciones de venta de una
empresa como Marcas, sería demasiado larga para que cualquier
persona se dedicara a leerla. Los empleados responsables de
comprar mercancías, necesitan la información de las ventas
resumidas por productos. Cabe señalar que dicha información
radica en decisiones no solo administrativas y financieras sino
que además en decisiones contables, al momento de generar un
reporte del Estado de Situación financiera de la Organización.
TIPOS DE SISTEMAS:
 DAC EASY
 PEACH TREE
 EXACTUS
 SAP
 MONICA
 QUICK BOOKS
 CARACTERISTICAS DE UN SIC
 Suelen lograrse ahorros significativos de mano de obra.
 Son el primer tipo de sistemas de información que se implanta en las
organizaciones.
 Son intensivos en entradas y salidas de información; sus cálculos y procesos
suelen se simples y poco sofisticados, requieren mucho manejo de datos
para poder realizar sus operaciones y como resultado generan también
grandes volúmenes
 Tienen la propiedad de ser recolectores de información.
 Son Adaptables de aplicación que se encuentran en el mercado.
Continuación…

CARACTERISTICAS DE LOS SISTEMAS CONTABLES

TODO SISTEMA DEBE DE CONTENER LAS SIGUIENTES CARACTERISICAS

 FLEXIBLES
 COMPATIBILIDAD.
 FACIL MANEJO.
 SEGURIDAD.
 UNIFORMIDAD.
 REPORTES BASICOS REQUERIDOS.
 OPCIONES AVANZADAS.
 Normas ISO Aplicadas
a
Sistemas Contables

Familia de Normas ISO 27000

 Las normas ISO son normas o estándares de seguridad establecidas por la
Organización Internacional para la Estandarización (ISO) y la Comisión
Electrotécnica Internacional (IEC) que se encargan de establecer estándares y guías
relacionados con sistemas de gestión y aplicables a cualquier tipo de organización
internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el
intercambio de información y contribuir a la transferencia de tecnologías.
 En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de
seguridad (desarrollados o en fase de desarrollo) que proporciona un marco para la
gestión de la seguridad.
Continuación…
 Contiene las mejores prácticas recomendadas en Seguridad de la información para
desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la
Seguridad de la Información (SGSI) utilizable por cualquier tipo de organización, pública
o privada, grande o pequeña.
 La seguridad de la información, según la ISO 27001, se basa en la preservación de su
confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para
su tratamiento.
 Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.
 Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
 Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento
de la misma por parte de los individuos o procesos autorizados cuando lorequieran.
Continuación…
Norma Descripción
 ISO/IEC 27000 Vocabulario estándar para el SGSI para todas las normas
de la familia.. Se encuentra en desarrollo actualmente.
 ISO/IEC 27001 Certificación que deben obtener las organizaciones.
Norma que especifica los requisitos para la implantación del SGSI. Es la
norma más importante de la familia. Adopta un enfoque de gestión de
riesgos y promueve la mejora continua de los procesos. Fue publicada
como estándar internacional en octubre de 2005.
 ISO/IEC 27002 Information technology - Security techniques - Code of
practice for information security management. Previamente BS 7799
Parte 1 y la norma ISO/IEC 17799. Es un código de buenas prácticas para
la gestión de seguridad de la información. Fue publicada en julio de
2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC
27002:2005 el 1 de julio de 2007.
 ISO/IEC 27003 Directrices para la implementación de un SGSI. Es el
soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero del 2010.
 Continuación…

 ISO/IEC 27004 Métricas para la gestión de seguridad de la

información. Es la que proporciona recomendaciones de quién, cuándo y
cómo realizar mediciones de seguridad de la información. Publicada el 7
de diciembre del 2009, no se encuentra traducida al español
actualmente.
 ISO/IEC 27005 Normativa dedicada exclusivamente a la gestión de
riesgos en seguridad de la información. Proporciona recomendaciones y
lineamientos de métodos y técnicas de evaluación de riesgos de
Seguridad en la Información, en soporte del proceso de gestión de
riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual
British Standar BS 7799 parte 3. Publicada en junio de 2008.
 ISO/IEC 27006 Requisitos para la acreditación de las organizaciones
que proporcionan la certificación de los sistemas de gestión de la
seguridad de la información. Esta norma especifica requisitos para la
certificación de SGSI y es usada en conjunto con la norma 17021-1, la
norma genérica de acreditación.
 ISO/IEC 27007 Guía para auditar al SGSI. Se encuentra en
preparación.
ISO 9126 Productividad de Software

 Según la Normativa ISO/IEC 9126 establece que un Software adquiere en su fase de

productividad cuando se le proporciona un mantenimiento adecuado en sus funciones
de desarrollo, después de su entrega a su Cliente para poder Corregir cualquier defecto
que este pueda presentar.
 Sin embargo aunque la fase de mantenimiento y adaptación del Sistema con el entorno
del Usuario, inicia cuando se da las primeras fases de su ciclo de vida. Puesto que la
fase de mantenimiento incluiría las siguientes fases:
 Mantenimiento Adaptativo.
 Mantenimiento Correctivo.
 Mantenimiento Perfectivo.
 Mantenimiento Preventivo. .
Continuación…

 La distinción que señala la Normativa ISO/IEC9126, asociadas con la productividad y el

desarrollo con el mantenimiento y la capacidad de respuesta, máxime cuando se trata de
un Sistema que procesa y Analiza datos Financieros, están basadas en la visibilidad de
los problemas y la forma de trasmitírseloa los Usuarios.
 Ya se ha mencionado que el Usuario es el consumidor principal de un Sistema, el sistema
que trata de dar respuestas inteligentes a cada una de las Necesidades planteadas al
interactuar con su interfaz grafica en función del manejo del mismo.
 CARACTERISTICAS DE LA CALIDAD SEGÚN LA ISO/IEC 9126:
 Funcionalidad: Capacidad del Software, de proveer los Servicios Necesarios para cumplir
con los requisitos funcionales.
 Fiabilidad: Capacidad del Software de mantener las prestaciones, requeridas del Sistema,
en un tiempo establecidoy bajo un conjunto de condiciones plenamente definidas.
 Usabilidad: Esfuerzo requerido por el Usuario para utilizar el producto
satisfactoriamente.
 Continuación…
 Eficiencia: Relación entre las prestaciones del Software, y los
requisitos necesarios para su utilización.
 Mantenibilidad: Esfuerzo necesario, para adaptarse a las nuevas
especificaciones y requisitos del Software.
 Portabilidad: Capacidad del Software de ser transferido, de un
entorno a otro.
 Delitos Informáticos.
C ONC E P TO D E D E LITO INFOR M ATIC O:
E l c o n stan te p ro g re so te c n o ló g ic o q u e e xp e rime n ta la so c ie d ad , su p o n e u n a
e v o lu c ió n e n las fo rmas d e d e lin q u ir, d an d o lu g ar, tan to a la d iv e rsific ac ió n
d e lo s d e lito s trad ic io n ale s c o mo a la ap aric ió n d e n u e v o s ac to s ilíc ito s. E sta
re alid ad ha o rig in ad o u n d e b ate e n to rn o a la n e c e sid ad d e d istin g u ir o n o
lo s d e lito s in fo rmátic o s d e l re sto . P IR ATE R IA, D E R E C HOS D E AUTOR , M AR C AS Y
P ATE NTE S , LIC E NC IA O C R AC KE O D E LIC E NC IA LE GAL P AR A US O D E S IS TE M AS ,
INS TR UC IONE S NO AUTOR IZAD AS A BAS E D E D ATOS Y M AQUILLAJE D E BAS E S D E
D ATOS .
 Características

• Son delitos difíciles de demostrar ya que, en muchos casos, es

complicado encontrar las pruebas.
• Son actos que pueden llevarse a cabo de forma rápida y sencilla.
En ocasiones estos delitos pueden cometerse en cuestión de
segundos, utilizando sólo un equipo informático y sin estar
presente físicamente en el lugar de los hechos.
• Los delitos informáticos tienden a proliferar y evolucionar, lo
que complica aun más la identificación y persecución de los
mismos.
 ESTRUCTURA DE CEDULAS

 CEDULA #1: SITUACIONES ENCONTRADAS.

 CEDULA #2: GUIA DE AUDITORIA.

 CEDULA #3: CEDULA DE SOFTWARE.

 CEDULA #4: COMPARACION DE INFORMACION SOBRE HARDWARE

ASIGNADO A LAS DIFERENTES AREAS.

 CEDULA #5: CEDULA DE HARDWARE.

 DIAGRAMA DE FLUJO.