TRABAJO NO AUDITORIA INFORMÁTICA UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA DE CONTADURÍA PÚBLICA Y AUDITORÍA SEMINARIO DE CASOS DE AUDI ORIA PRESENTADO A: LIC. CARLOS ROBERT AUXILIAR ERWIN R. C 22 DE OCTUBRE DEL CARNÉ 5 o p INTEGRANTES DEL GRUPO 4 SALÓN 101 S-3 200812792 200912425 200912500 200912508 200912536 200913302 200913782 201010676 201010903 201 022062 ARLIN IVONNE CASTANEDAJUANTA. ANA MARÍA OROZCO MAURICIO. FREDY ESTUARDO OLMINO ZEPEDA.
HÉCTOR ABEL REYES ALECIO. EDGAR RENE XAJPOT BATZ. AURA MARITZA AYALA RODAS. EDGAR EDUARDO RODRÍGUEZ RODRÍGUEZ. SILVIA PATRICIA MAZARIEGOS HERNÁNDEZ. SERAFINA LOPEZ LOPEZ. MARCO ANTONIO DE LEÓN XILOJ. REALIZAR UNA AUDITORIA INFORMATICA. 19 5. 1 Principales Pruebas….. 19 5. 2 Principales Herramientas…. 6. CONTROLES EN INFORMÁTICA 20 6. 1 . Controles Preventivos………………… — 6. 2. Controles Detectivos. 6. 3. Controles .. 22 ….. 24 7. PARTICIPACION DEL AUDITOR EN EL DESARROLLO DE SISTEMAS 25 7. . Su 7. 2. Su Oportunidad……………. 7. 3. Aspectos generales… CONCLUSION 32 RECOMENDACIÓN 33 BIBLIOGRAF[A34 NTRODUCCION …. 26 El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sis mación. Claro está, 2 OF as que para la realización de informática eficaz, se permita lograr una mejor eficiencia y eficacia en las actividades. CAPITULO I AUDITORIA INFORMATICA 1. ANTECEDENTES Para finales del siglo H, los sistemas informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los sistemas de información de la ntidad. La informática hoy por hoy, esta subsumida en la gestión integral de la entidad, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma.
En consecuencia, las organizaciones informáticos forman parte de lo que se ha denominado el «management’ o gestión de la empresa. Cabe aclarar que la informática no gestiona propiamente la entidad, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una entidad, existe la auditoria nformática. En 1988, Echenique publicó su libro Auditoría de sistemas, en el cual establece las principales bases para el desarrollo de una auditor[a de sistemas computacionales, dando un enfoque teórico-práctico sobre el tema.
En 1992, Lee presentó un libro en el cual enuncia los principales aspectos a evaluar en una auditoria de sistemas, mediante una especie de guia que le Indica al auditor los aspectos que debe evaluar en este campo. Motivada por lo especializado de las actividades de cómputo, así como por el espectacular avance que han tenido estos istemas en los últimos años, ha surgido una nueva necesidad de evaluación para los aud s requieren 3 OF as una especialización cada v da en sistemas tipo de auditorías.
Por ello nació la necesidad de evaluar no solo de los sistemas, sino también la información, sus componentes y todo lo que está relacionado con dichos sistemas. 1. 2 DEFINICION «Es conocida como auditoria de sistemas, teniendo como objetivo evaluar sistemas informáticos en forma integral, los procedimientos y seguridad de los equipos electrónicos o hardware de los programas o software que posea la empresa ean propios o de modalidad de servicios (Razo)pag25-32». Analiza la actividad que se conoce como técnica de sistemas en todas sus facetas.
Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones, Líneas y redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de sistemas Es el conjunto de técnicas, procedimientos y actividades, destinadas a analizar y evaluar el funcionamiento de los sistemas informáticos de un ente, por lo que comprende un examen metódico y puntual, con el propósito de mejorar aspectos como: ontrol y seguridad de sistemas informáticos; cumplimiento de la normativa tecnológica del ente; control de los planes de contingencia; eficacia y rentabilidad en el manejo de sistemas. 1. ALCANCE «El alcance ha de definir con precisión eL entorno y los limites en que va a desarrollarse la auditoria informática, se completa con los objetivos de esta» (Lucas Morea). El alcance ha de figurar expresamente en el informe final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino lo que se esperar lograr con el resultado de la auditoria 1. 4 IMPORTANCIA Detecta de forma sistemática el uso de los recursos y los flujos de información dentro de ión y determina qué 4 25 información es crítica para de información dentro de una organización y determina qué información es cntica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes» (Lucas Morea).
Permite a través de una revisión independiente, la evaluación de actividades, funciones específicas resultados u operaciones de una organización con el fin de evaluar su correcta ealización. Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar u evaluar evidencias para determinar si un Sistema de información salvaguarda el activo empresaria, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Los principales puntos por lo que es importante realizar esta auditoría son, la alta sistematización, las nuevas tecnologías, la automatización de los controles, integración de nformación y su importancia. 1. OBJETIVOS DE LAAUDI ORIA INFORMÁTICA «La evaluación a los sistemas computacionales, a la administración del centro de cómputo, el desarrollo de proyectos informáticos, a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos, será considerada bajo los siguientes objetivos» (Razo)pag122, 140: Realizar una evaluación con el personal multidisciplinario y capacitado en el área de sistemas, con el fin de emitir un informe independiente sobre las razonabilidad de las operaciones del sistema y la gestión administrativa del área de informática. Hacer una evaluación sobre el uso de los recursos financieros en las áreas del centro de información, así como del aprovechamiento del sistema computacional, aprovechamiento del sistema computacional, sus equipos periféricos e instalaciones.
Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos, las Instalaciones y mobiliario del centro de cómputo, así como el uso de los recursos técnicos y materiales para el procesamiento de información. Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los leguajes, programas y paqueterías e aplicación y desarrollo, así como el desarrollo e instalación de nuevos sistemas. Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y lineamientos que regulan las funciones y actividades de las áreas y de los sistemas de procesamiento de información, así como de su personal y de los usuarios del centro de información.
Realizar la evaluación de las áreas, actividades y funciones de una empresa, contando con el apoyo de los sistemas computacionales, de los programas especializados para auditoria y de la paqueter[a que sirve de soporte para el desarrollo de uditorias por medio de la computadora. Objetivos específicos de la auditoría de sistemas computacionales es la determinación, en forma detallada, de los fines que se pretenden alcanzar con la Auditoria de sistemas, señalando concretamente las áreas a evaluar y, específicamente, los sistemas, componentes o elementos concretos que deben ser evaluados. 1. 6 CLASIFICACION DE TIPOS DE AUDITORIA «A continuación se presenta la clasificación y definiciones de auditoría informática, las cuales se aplican a diferentes áreas y disciplinas del ambiente informático» (Razo)pag83, 92.
La clasificación y definiciones de auditoria informática son: Auditoria informática Auditoria con la computad Auditoria sin la computado informática son: Auditoria con la computadora Auditoria sin la computadora Auditoria a la gestión informática Auditoria al sistema de computo Auditoria alrededor de la computadora Auditoria de la seguridad de sistemas computacionales Auditoria a los sistemas de redes Auditoría integral a los centros de computo Auditoria ISO-9000 a los sistemas computacionales Auditoria outsourcing Auditoria ergonómica de sistemas computacionales Auditoria Informática Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.
Auditoria Con La Computadora Es la auditoria que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizado, pero si susceptibles de ser automatizados; dicha auditoria se ealiza también a las actividades del propio centro de sistemas y a sus componentes. Es la auditoria cuyo métodos, técnicas y procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y validez de las transacciones económicas, administrativas y operacionales de un área de computo, y en sí de todos los aspectos que afectan a las actividades en las que se utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de los sistemas computacionales.
Es también la evaluación tanto a la estructura de or nciones y actividades de 7 OF as uncionarios V personal de cómputo, así como de cómputo, así como de los perfiles de sus puestos, como de los reportes, informes, y bitácoras de los sistemas, de la existencia y aplicación de planes, programas y presupuestos en dicho centro, asf como del uso y aprovechamiento de todos los recursos informáticos para la realización de las actividades, operaciones y tareas. Auditoria A La Gestión Informática Es la auditoria cuya aplicación se enfoca exclusivamente a la revisión de las funciones y actividades de tipo administrativo que se realiza dentro de un centro de cómputo, tales como la laneación, organización, dirección y control de dicho centro. Esta auditoria se realiza también con el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios, empleados y usuarios de las áreas de sistematizacion, así como para revisar y evaluar las operaciones del sistema, el uso y protección de los sistemas de procesamiento, los programas y la información.
Auditoria al sistema de cómputo Es la auditoría técnica y especializada que se enfoca únicamente a la evaluación del funcionamiento y uso correcto del equipo de cómputo, su hardware, software y periféricos asociados. Esta auditoria también se realiza a la composición y arquitectura de las partes físicas y demás componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones internas o externas, así como el diseño, desarrollo del software de operación, de apoyo y de aplicación, ya sean sistemas operativos, leguajes de procesamiento y programas de desarrollo, o paquetería de aplicación institucional que se utiliza en la empresa donde se encuentra el equipo de cómputo que será evaluado. Es la revisión especifica que se realiza a todo lo que está alrededor de un equipo de cómputo, computadora
Es la revision especifica que se realiza a todo lo que está alrededor de un equipo de cómputo, como sus sistemas, actividades y funcionamiento, haciendo una evaluación de sus métodos y procedimientos de acceso y procesamiento de datos, la emisión y almacenamiento de resultados, las actividades de planeación y presupuesto del propio centro de cómputo, los aspectos operacionales y financieros, la gestión administrativa de acceso al sistema, la atención a los usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en sí, a todos aquellos aspectos que contribuyen al buen uncionamiento de un área de sistematización.
Auditoria De La Seguridad De Los Sistemas Computacionales Es la revision exhaustiva, técnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cómputo, sus áreas y personal, así como las actividades, funciones y acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de los equipos computacionales, las bases de datos, redes, instalaciones y usuarios del sistema. Es también la revisión de los planes de contingencia y medidas de protección para la información, los usuarios y los propios sistemas computacionales, en si para todos aquellos aspectos que contribuyen a la protección y salvaguarda en el buen funcionamiento del área de sistematización, sistemas de redes o computadoras personales, incluyendo la prevención y erradicación de los Virus informáticos.
Auditoria Integral A Los Centros De Cómputo Es la revisión exhaustiva, sistemática y global que se realiza por medio de un equipo multidisciplinario de auditores, de todas las actividades y operaciones de un centro de sistematización, a fin de evaluar, en forma integral, el uso adecuado de sus s de sistematización, a fin de evaluar, en forma integral, el uso decuado de sus sistemas de cómputo, equipos periféricos y de apoyo para el procesamiento de información de la empresa, asf como de la red de servicios de una empresa y el desarrollo correcto de las funciones de sus áreas, personal y usuarios. Es también la revisión de la administración del sistema, de manejo y control de los sistemas operativos, leguajes, programas y paqueterías de aplicación, así como de la administración y control de proyectos, la adquisición del hardware y software institucionales, de la adecuada integración y uso de los recursos nformáticos y de la existencia y cumplimiento de las normas, políticas, estándares y procedimientos que regulan la actuación del sistema, del personal y usuarios del centro de cómputo. Todo esto hecho de manera global por medio de un equipo multidisciplinario de auditores.
Auditoria Iso-gooo A Los Sistemas Computacionales Es la revisión exhaustiva, sistemática y especializada que realizan únicamente los auditores especializados y certificados en las normas y procedimientos ISO-9000, aplicando exclusivamente los lineamientos, procedimientos e instrumentos establecidos por esta asociación. El propósito fundamental de esta revisión es evaluar, informar y certificar que la calidad de los sistemas computacionales de una empresa se apegue a los requerimientos Iso-gooo. Auditoria Outsourcing Es la revision exhaustiva, técnica y especializada que se realiza para evaluar la calidad de servicio de asesoría o procesamiento externo de información que proporciona una empresa a otra. Esto se lleva a cabo con el fin de revisar la confiabilidad, oportunidad suficiencia y asesoría por parte de los prestadores de servicio de procesamiento de datos, así como el cumplimiento 0 DF 25