Auditoria Informática

De Computacion

Hoy por hoy las tecnologías de la información son vitales para una organización en la medida en la que éstas dan soporte a sus procesos escenciales de negocio, no obstante, todos los beneficios que de esto se deriva se ven amenazados por numerosos riesgos que requieren ser controlados para garantizar que este soporte sea efectivo; en otras palabras se requiere de un sistema de control interno eficaz, eficiente y una labor periódica de supervisión o de auditoría informática. La Auditoría Informática permite detectar la falta de un control, comprobar su correcto o deficiente funcionamiento así como la verdadera utilidad del mismo, recomendando el perfeccionamiento necesario al sistema de control interno sobre la base de la relación costo – beneficio de este sistema para el servicio informático a la entidad. Por lo expresado anteriormente se puede afirmar con una base sustentada que la Auditoría Informática es un campo de importancia actual y de excelente proyección futura ya que va de la mano con el avance vertiginoso de las tecnologías de la información y por lo tanto es una excelente oportunidad para ustedes estimados estudiantes futuros ingenieros en informática y quizá futuros Auditores Informáticos.

[editar] Objetivos Generales

Comprender la importancia de la Auditoría Informática en el entorno tecnológico actual de las organizaciones y las oportunidades de desarrollo profesional para los conocedores de las tecnologías de la información.

[editar] Objetivos Especificos

Entender los conceptos básicos y la importancia de la Auditoría Informática en los procesos de una organización.

Conocer el ISACA como un organismo referente en el ámbito de la Auditoría Informática a nivel mundial.

Ver la importancia que tiene la seguridad de la información con un enfoque basado en la norma ISO 17799.

Comprender la relación entre el control interno y la auditoría informática.

Conocer e implementar la metodologia de Auditoría Inofrmática para una aplicación en funcionamiento.

Elaborar y presentar un informe de Auditoría Informática.

Conocer el modelo COBIT como referente en os procesos de IT y Auditorñia Informática.

Conocer los principales tipos de delitos informátcos y la legislación vigente en el Ecuador para sancionarlos.

[editar] Bibliografía

Texto Básico:

PIATINNI Mario G. y DEL PESO Emilio, Auditoría Informática, un enfoque práctico.

La presente guía ha sido elaborada en función de los temas que se presentan en éste texto.

Bibliografía complementaria:

MANTILLA Samuel, Control Interno – Informe COSO
Norma ISO 17799: Seguridad de la Información
COBIT (Control Objectives for Information Technologies)

Otras fuentes de información

Otra fuente de información muy importante es el Internet. Aquí mostramos algunas direcciones de páginas web que resultan de interés para ésta asignatura:

www.isaca.org
www.isaca.org.ec

[editar] Desarrollo del Aprendizaje

[editar] Capitulo 1: GENERALIDADES

[editar] Datos Generales:

Texto Base	PIATINNI Mario G. y DEL PESO Emilio, Auditoría Informática, un enfoque práctico.
Capítulo	7: Deontología del Auditor Informático
Referencias Adicionales	Información de ISACA internacional disponible en http://www.isaca.org Información de ISACA, Capítulo Ecuador, para conocer las iniciativas locales, disponible en http://www.isaca.org.ec
Pàginas	151 -177
Horas de estudio empleadas para el desarrollo del contenido	4 horas

[editar] Propositos:

El propósito de este capítulo es introducir al estudiante en los conceptos básicos de la Auditoría Informática y entender la importancia de los mismos en los procesos de una organización.

[editar] Conceptos Claves:

Importancia de la Auditoría Informática

Entre los puntos clave que reflejan la importancia de la auditoría informática, destacamos los siguientes:

- La alta sistematización de las organizaciones

- Nuevas tecnologías

- Automatización de los controles

- Integración de la información

Conceptos de Auditoría Informática

- Proceso metodológico que tiene el propósito principal de evaluar todos los recursos (humanos, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opera con criterio de integración y desempeño de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organización.

- El conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que todos los recursos de informática operen en un ambiente de seguridad y control eficiente, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos, la certeza de que la información que pasa por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etc.

- La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalaciones, con el objeto de evaluar su efectividad y presentar recomendaciones a la gerencia.

¿Cuál es el objetivo de la Auditoría Informática?

- El objetivo fundamental de la Auditoría Informática es asesorar a los diferentes niveles de la Administración de la empresa en el cumplimiento efectivo de sus responsabilidades, facilitándoles análisis, apreciaciones, comentarios y recomendaciones relacionados con las actividades del procesamiento de la información en el computador.

EFECTIVIDAD.- Es el logro de las metas establecidas después de considerar las alternativas.

EFICIENCIA.- Es el logro de las metas con el menor costo posible. Los costos se expresan en términos de recursos.

ECONOMÍA.- Consiste en eliminar todo desperdicio, extravagancia y duplicación.

Organismo Regulador de Auditoría Informática

- ISACA (Information Systems Audit and Control Association - Asociación de Auditoría y Control de Sistemas de Información )

Certificaciones Otorgadas:

ISACA mantiene el programa de certificación CISA que es reconocida en forma global y ha sido obtenida por más de 30.000 profesionales alrededor del mundo. De otro lado, su nueva certificación CISM (Certified Information Security Manager - Gerente Certificado de Seguridad de Información) se concentra exclusivamente en el sector de gerencia de seguridad de la información.

[editar] Esquema de Estudio:

A continuación se detallan los temas que se deben desarrollar, una descripción general del mismo, y un conjunto de actividades que se recomienda sean desarrolladas para una mejor asimilación de los conceptos. Se han dispuesto las tres columnas de la derecha para llevar un control personal del tiempo de dedicación a cada tema, marcar las actividades que cada estudiante estima que necesita tutoría y realizar anotaciones personales.

Tema a revisar	Descripción del Contenido a revisar	Actividades Recomendadas
Importancia	Explica como saber si se está administrando y dirigiendo de manera correcta la función informática, así como también da a conocer las razones por las que se considera importante la auditoría informática en los procesos de una organización.	Hacer una lista de los puntos clave que reflejan la importancia de la auditoría informática.
Definición	Expresa los diferentes puntos de vista que permiten comprender los criterios fundamentales que definen a la auditoría informática.	Defina a la auditoría informática
Objetivos	Explica lo que la auditoría informática pretende lograr tanto a nivel general como específico.	Enliste los objetivos que persigue la auditoría informática e indique como se cumplen los mismos
ISACA	Da a conocer sobre el organismo regulador de la Auditoría Informática	¿Qué es ISACA y cuáles son sus objetivos?
CISA	Explica una de las certificaciones ofrecidas por el organismo regulador de Auditoría Informática ISACA	Elabore un esquema del ámbito del examen CISA y los requerimientos para obtener la certificación.

[editar] Capitulo 2: SEGURIDAD DE LA INFORMACIÓN

[editar] Datos Generales:

Referencia base	Anexo 1: Norma ISO 17799, disponible para descargar en UTPLONLINE y al final de la guía.
Páginas	1 - 60
Horas de estudio empleadas para el desarrollo del contenido	10 horas

[editar] Propositos:

El propósito de incluir esta temática como parte del estudio de la asignatura, es adquirir un conocimiento general de la norma ISO 17799, la cual reúne las mejores prácticas en seguridad de la información aceptadas mundialmente.

[editar] Conceptos Claves:

Norma ISO 17799

La principal norma internacional de Evaluación, Implementación y Certificación de medidas de Seguridad en Tecnologías de la Información es la Norma ISO 17799.

Está basada en una normativa inglesa: el British Standard 7799 que le dio origen y que consta de dos partes:

o PARTE 1: NORMALIZACIÓN (Desarrollo de las mejores prácticas), convertida luego en Norma ISO/IEC17799:2000.

o PARTE 2: CERTIFICACIÓN (Proceso de Auditoría para la Implementación, próximamente convertida en norma ISO también).

Seguridad de la Información

La seguridad de la información esta caracterizada aquí como la preservación de:

- Confiabilidad: Asegurando que la información sea accesible sólo a los que están autorizados a tener acceso.

- Integridad: Salvaguardando la exactitud y calidad de la información.

- Disponibilidad: Asegurando que los usuarios que estén autorizados tengan acceso a la información y los recursos asociados cuando sea requerido.

[editar] Esquema de Estudio:

Tema a revisar	Descripción del Contenido a revisar	Actividades Recomendadas
En qué consiste la seguridad de la información?	Explica como la información es considerada un recurso valioso para la organización y consecuentemente como debe ser protegido.	Indique en que formas existe la información en una organización.
Definición	Describe los componentes principales de la definición de seguridad de la información.	Extraiga una definición de seguridad de la información.
¿Por qué se necesita seguridad de la información?	Presenta las razones por las cuales una organización debe proteger su información.	Identifique y enliste algunas de las razones por las cuaes se debe proteger la información.
Áreas relacionadas con la seguridad de la información.	Explica cada uno de los dominios en los que se encuentra organizada la Norma ISO 17799.	Esquematice el contenido de la Norma ISO 17799.

[editar] Capitulo 3 : CONTROL INTERNO Y AUDITORÍA INFORMÁTICA

[editar] Datos Generales:

Referencia base	Anexo 2: Control Interno y Auditoría Informática, disponible al final de la guía
Capítulo
Páginas
Horas de estudio empleadas para el desarrollo del contenido	15 horas

[editar] Propositos:

El propósito de este capítulo es explicar como el Control Interno es de vital importancia para las empresas, y como los niveles directivos hacen fuertes exigencias para mejorar el control de las empresas que dirigen; así como también conocer como los controles internos promueven la eficiencia, reducen los riesgos de pérdida de activos, y ayudan a asegurar la confiabilidad de los estados financieros y el cumplimiento de leyes y regulaciones.

[editar] Conceptos Claves:

Control Interno

El control interno se define ampliamente como un proceso realizado por la alta dirección, administradores y otro personal de la organización, diseñado para proporcionar seguridad razonable mirando el cumplimiento de los objetivos en las siguientes categorías:

- Efectividad y eficiencia de las operaciones.

- Confiabilidad de la información financiera.

- Cumplimiento de leyes y regulaciones aplicables.

Riesgo y Control

- Riesgo: cualquier amenaza a la que está expuesta una organización y que impide o va en contra del logro de los objetivos propuestos.

- Control: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables o riesgos serán prevenidos o detectados y corregidos

Los controles pueden ser:

- Controles Preventivos.- Operan en las primeras etapas en el flujo del proceso, a fin de prevenir la ocurrencia del error o riesgo. Estos controles apuntan especialmente a las causas del riesgo.

- Controles Detectivos.- Generalmente siguen a los controles preventivos y están diseñados para captar errores que escapan a los controles preventivos. Estos controles apuntan a la forma de ocurrencia del riesgo.

- Controles Correctivos.- Aseguran que los efectos de los errores o fraudes detectados se corrijan o disminuyan. Se piensa normalmente que los controles correctivos son parte inherente de los controles detectivos, pero muy frecuentemente se encuentran controles detectivos funcionando, sin el correctivo complementario.

[editar] Esquema de Estudio:

Tema a revisar	Descripción del Contenido a revisar	Actividades Recomendadas
Definición de Control Interno.	Explica los componentes principales de la definición de Control Interno.	Defina Control Interno.
Control Interno en las Tecnologías de Información.	Explica la relación que existe entre el Control interno y la Auditoría Informática.	Definir riesgo, control y explicar la importancia de la relación entre Control interno y Auditoría Informática.
Clasificación de los Controles.	Presenta los tipos de controles que puede aplicar una organización.	Haga una lista de controles, aplicando los criterios de clasificación.

[editar] Capitulo 4: ESTUDIO DE LOS CONTROLES EN LAS TECNOLOGÍAS DE LA INFORMACIÓN (IT)

[editar] Datos Generales:

Texto Base	PIATINNI Mario G. y DEL PESO Emilio, Auditoría Informática, un enfoque práctico. Capítulo 12: Auditoría del Desarrollo Capítulo 2: Control Interno y Auditoría Informática
Capítulo
Páginas	273-293 ,34-41
Horas de estudio empleadas para el desarrollo del contenido	6 horas

[editar] Propositos:

El propósito de este capítulo es el estudio de dos grandes grupos de controles en los sistemas de información. El primero son los Controles Generales los cuales aplican a la mayoría sino, a todas las aplicaciones de sistemas y ayudan a asegurar la continuidad y operación adecuada. La segunda categoría son los Controles de Aplicación, diseñados para controlar aplicaciones en funcionamiento, ayudando a asegurar que el procesamiento sea completo y exacto, así como la autorización y validación de las transacciones.

[editar] Conceptos Claves:

Controles Generales

Los controles generales son aquellos que aplican a todas o por lo menos la mayoría de las aplicaciones de sistemas, con la finalidad de asegurar la continuidad y operación adecuada.

Autenticación

Se refiere al proceso en el cuál un usuario intenta ingresar a una aplicación por lo general a través de un login y password y éste realiza una validación de esta información para permitir el ingreso.

Autorización

Una vez superado exitosamente el proceso de autenticación, es decir se permitió el ingreso del usuario a la aplicación, se requiere de un proceso de autorización que se refiere a otorgar permisos sobre las transacciones o funciones a las que el usuario está autorizado.

Rol

Conjunto de funciones o transacciones de un sistema. Los roles son utilizados en el proceso de autorización.

Log de Auditoría

Se refiere al registro cronológico de las operaciones efectuadas por un sistema o una aplicación en particular

Controles de Aplicación

Los controles de aplicación son propios de cada aplicación y deben garantizar la integridad de la información durante todo su recorrido, desde la captación, pasando por su procesamiento y salidas. Estos controles pueden estar incluidos en procedimientos manuales (controles manuales), generalmente realizados por el usuario, o en procedimientos automatizados (controles automatizados). Ambos tipos de procedimientos se combinan para lograr un control más efectivo.

[editar] Esquema de Estudio:

Tema a revisar	Descripción del Contenido a revisar	Actividades Recomendadas	Planificación Personal del estudio (fecha)	¿Requiero Tutorial?	Anotaciones
Controles Generales	Describe los Controles Generales que se aplican a los procesos de la organización, entre ellos tenemos: 1. Organización y Procedimientos del Departamento de Informática. 2. Desarrollo y Mantenimiento de Aplicaciones 3. Seguridad de Acceso (Lógico) 4. Continuidad de operaciones	Seleccione un determinado proceso de una organización y para el mismo identifique los riesgos y controles existentes para cada una de las áreas mencionadas.
Controles de Aplicación	Explica los controles diseñados para aplicaciones en funcionamiento, entre ellos: 1. Ingreso de datos 2. Procesamiento 3. Salida de datos	Seleccione un determinado proceso de una organización y para el mismo identifique los riesgos y controles existentes para cada una de las áreas mencionadas

Tema a revisar

Descripción del Contenido a revisar

Actividades Recomendadas

Planificación Personal del estudio (fecha)

¿Requiero Tutorial?

Anotaciones

Controles Generales

Describe los Controles Generales que se aplican a los procesos de la organización, entre ellos tenemos:

1. Organización y Procedimientos del Departamento de Informática.

2. Desarrollo y Mantenimiento de Aplicaciones

3. Seguridad de Acceso (Lógico)

4. Continuidad de operaciones

Seleccione un determinado proceso de una organización y para el mismo identifique los riesgos y controles existentes para cada una de las áreas mencionadas.

Controles de Aplicación

Explica los controles diseñados para aplicaciones en funcionamiento, entre ellos:

1. Ingreso de datos

2. Procesamiento

3. Salida de datos

Seleccione un determinado proceso de una organización y para el mismo identifique los riesgos y controles existentes para cada una de las áreas mencionadas

[editar] Capitulo 5: METODOLOGÍA DE AUDITORÍA INFORMÁTICA PARA UNA APLICACIÓN EN FUNCIONAMIENTO

[editar] Datos Generales:

Texto Base	PIATINNI Mario G. y DEL PESO Emilio, Auditoría Informática, un enfoque práctico.
Capítulo	Capítulo 17: Auditoría de la Seguridad
Referencia Adicional	Anexo 3: Metodología de Auditoría Informática para una aplicación en funcionamiento, disponible en UTPLONLINE
Páginas	393-411
Horas de estudio empleadas para el desarrollo del contenido	15 horas

[editar] Propositos:

El propósito de este capítulo es dar a conocer las fases principales de una metodología de auditoría informática y que se puede aplicar a una aplicación en funcionamiento, así como también aprender a elaborar documentación importante y necesaria.

[editar] Conceptos Claves:

Alcance de Auditoría

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

Misión de la Empresa

Es la razón de ser de la empresa, lo que debe hacer para que se convierta en realidad la visión.

Visión de la Empresa

Es lo que podría ser la empresa, lo que se espera en un cierto plazo, lo que se quisiera que fuera la organización en un futuro definido. La visión debe ser un sueño compartido por todos los integrantes de la organización.

Objetivos estratégicos

Es lo que la organización quiere alcanzar en un plazo determinado (mediano y largo) con el cumplimiento de la Misión y la concreción de la Visión.

Pruebas de cumplimiento

Son aquellas que sirven para probar que los controles que se reportan que existen, se encuentren funcionando adecuadamente.

Pruebas sustantivas

Consisten en la realización de procedimientos de auditoría que nos permitan probar la ocurrencia del riesgo.

[editar] Esquema de Estudio:

Tema a revisar	Descripción del Contenido a revisar	Actividades Recomendadas
Diagnóstico Preliminar	Describe la primera fase de la auditoría que principalmente consiste en obtener un conocimiento general de la empresa, y en base a ello definir el alcance y objetivos de la auditoría. En esta fase también es importante el conocimiento General de las aplicaciones a auditar.	Considere una empresa de cualquier tipo a la que tenga acceso y seleccione una aplicación crítica que esté en funcionamiento: En esta primera fase genere la plantilla para los datos generales de la Aplicación.
Planificación Específica	Explica como se evalúa y califica los riesgos a los que están expuestas las aplicaciones, con la finalidad de priorizar aquellas que se identifiquen como las de mayor criticidad para la organización.	Para la aplicación seleccionada, elabore la plantilla de Evaluación del Nivel de Riesgo de Aplicaciones. De igual manera elabore la Matriz de Calificación de Riesgos
Ejecución de la Auditoría	Explica como hacer el levantamiento detallado de toda la información de la aplicación con el propósito de conocer al detalle los procedimientos de entrada, proceso y salida, así como también las transacciones de la aplicación y sus efectos.	Identifique todos los riesgos y controles que pueda para la aplicación que está auditando. Y con ellos elabore la Matriz de Riesgos y Controles.
Comunicación	Explica como deben documentarse todos los hallazgos identificados, y como deben ser presentados al auditado, incluso definir la forma de entrega del informe final.	Prepare un borrador del Informe de auditoría con toda la información de los puntos anteriores.

[editar] Capitulo 6: EL INFORME DE AUDITORÍA

[editar] Datos Generales:

Referencia base	Anexo 4: El Informe de Auditoría, disponible al final de la guía.
Capítulo
Páginas
Horas de estudio empleadas para el desarrollo del contenido	5 horas

[editar] Propositos:

El propósito de esta unidad es revisar a detalle la estructura del Informe de Auditoría Informática resultado y objetivo final de la ejecución de la misma.

[editar] Conceptos Claves:

Observación

Constatación de hechos, realizada en el marco del proceso de auditoría y justificada por evidencias objetiva. Es una conclusión de una auditoría que identifica un punto débil de un sistema de calidad, bien en la definición o en la puesto en práctica.

Hallazgo

Conclusión de una auditoría que identifica una condición que tiene un efecto adverso significativo sobre la calidad de los bienes o servicios producidos; va acompañado normalmente de varios ejemplos concretos de la condición observada

Condición

Es la condición de la situación evaluada, tal y como se la encontró. Demuestra un grado de conformidad con las directrices definidas en el estándar adoptado.

Criterio

Constituye la descripción de las exigencias que hace la norma o estándar con respecto a la situación evaluada.

Causa

En caso de que entre la condición y el criterio, existan no conformidades significativas, es fundamental determinar la olas causas. De estas se diseñarán los correctivos pertinentes.

Efecto

Es el impacto negativo para la empresa. Sirve para persuadir a la administración en la adopción de las accione correctivas.

Recomendación

Constituyen el elemento más importante del informe de auditoría informática, está orientada a solucionar las causas que originaron los hechos deficientes. Una recomendación es una sugerencia sobre alternativas de solución a las novedades planteadas.

[editar] Esquema de Estudio:

Tema a revisar	Descripción del Contenido a revisar	Actividades Recomendadas	Planificación Personal del estudio (fecha)	¿Requiero Tutorial?	Anotaciones
Carta de presentación	Explica como la carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrató a auditoría.	Elabore una carta de presentación para la empresa que auditó la aplicación en el capítulo anterior.
Informe Final	Explica los elementos principales que constituyen el informe final	Elabore un informe de auditoría con los principales elementos estudiados.

[editar] Capitulo 7: COBIT (Objetivos de Control para Tecnologías de Información)

[editar] Datos Generales:

Referencia Base	Anexo 5: COBIT Resumen Ejecutivo, disponible en UTPLONLINE
Capítulo
Páginas
Horas de estudio empleadas para el desarrollo del contenido	10 horas

[editar] Propositos:

El propósito de este capítulo es analizar la necesidad de contar con una metodología para organizar las actividades de la Auditoría de Sistemas de Información, la cual contribuya a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos técnicos; que sea aplicable a todos los tamaños y tipos de organización, y que esté dirigida no sólo a auditores de sistemas, sino también a la administración y a los usuarios; que permita además, determinar el alcance de la tarea de auditoría e identificar los controles mínimos, y que pueda utilizarse como una herramienta de autoevaluación del área de tecnología informática.

[editar] Conceptos Claves:

COBIT

COBIT ha sido desarrollado como un estándar generalmente aplicable y aceptado para la práctica del control de Tecnología Informática.

COBIT está basado en los Objetivos de Control existentes de la Information Systems Audit an Control Foundation (ISACF) mejorados con los estándares internacionales existentes técnicos, profesionales, regulatorios y específicos de la industria. Los Objetivos de Control resultantes, aplicables y aceptados en forma generalizada, han sido desarrollados para ser aplicados a los sistemas de información de toda la empres

Objetivo de Control

Es una definición del resultado o propósito que se desea alcanzar implementando procedimientos de control específicos dentro de una actividad de tecnología informática y sistemas de información.

Marco Referencial COBIT

Se refiere a que el enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la Tecnología de Información que deben ser administrados por procesos de TI.

Resumen Ejecutivo de COBIT

El Resumen Ejecutivo se basa en una visión ejecutiva, la cual provee a la administración un entendimiento de los principios y conceptos claves de COBIT, así como el marco que provee a la administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total.

Guías de Auditoría

Las Guías de Auditoría, son aquellas que contienen pasos de auditoría sugeridos, correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y recomendar sus mejoras.

[editar] Esquema de Estudio:

Tema a revisar	Descripción del Contenido a revisar	Actividades Recomendadas	Planificación Personal del estudio (fecha)	¿Requiero Tutorial?	Anotaciones
Introducción	Explica la necesidad de utilizar una metodología para auditoría informática.	Defina los objetivos que persigue COBIT.
Marco referencial de COBIT	Expresa que la orientación hacia los negocios es el tema principal de COBIT, su estructura es en respuesta a la necesidad de un sistema de control interno en Tecnología Informática. Además explica que COBIT está diseñado no sólo para ser empleado por los usuarios y los auditores, sino también, y más importante, como un amplio “checklist” para los propietarios del proceso del negocio. Cada vez más, la práctica de los negocios, involucra una completa facultad en los propietarios de los procesos del negocio, de forma tal, que tienen responsabilidad total sobre todos los aspectos del proceso del negocio. En particular, esto incluye la provisión de controles adecuados.	Elabore un cuadro sinóptico de los dominios de la metodología de COBIT y esquematice los componentes del producto COBIT.

[editar] Capitulo 8 : DELITOS INFORMÁTICOS

[editar] Datos Generales:

Texto Base	Capítulo 6: El Marco Jurídico de la Auditoría Informática
Referencia base	Anexo 5: Delitos Informáticos, disponible en UTPLONLINE
Páginas	131-149
Horas de estudio empleadas para el desarrollo del contenido	10 horas

[editar] Propositos:

El propósito de este capítulo es conocer que con el avance del Internet en el complejo universo de las nuevas tecnologías, también se configuró como un nuevo instrumento y un medio para la realización de delitos, singularmente estafas y defraudaciones. Igualmente trajo consigo la vulneración de los sistemas de seguridad y la invasión en la intimidad de las organizaciones y personas como acceso a bases de datos, intromisiones en las cuentas de correo electrónico, entre otras.

[editar] Conceptos Claves:

Delito Informático

Delito Informático es “cualquier comportamiento criminógeno en el cual la computadora ha estado involucrada como material o como objeto de la acción criminógena, como mero símbolo” según Carlos Sarzana.

Delito informático en forma típica y atípica, entendiendo por la primera a “las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin” y por las segundas “actitudes ilícitas en que se tienen a las computadoras como instrumento o fin” según Julio Téllez Valdés.

Delito Informático es toda acción típica, antijurídica y culpable que recae sobre la información atentando contra su integridad, confidencialidad o disponibilidad en Sistemas

Informáticos de cualquier índole, siendo el ser humano el único responsable de realizar estas acciones ilícitas, utilizando como medio o instrumento a la computadora.

Delincuente informático

El delincuente informático también se denomina sujeto activo ya que el es el que comete los delitos informáticos mientras, que a la persona que es victima del delito es denominada como sujeto pasivo.

Piratas informáticos

Son personas que hacen uso del software creado por terceros, través de copias obtenidas ilegalmente, son permiso o licencia del autor. Al software o original se le denomina “copia pirata”, pero debería denominársele como software robado.

Hackers

Son aquellos intrusos que acceden a los equipos de los usuarios con la intención de demostrar sus habilidades; su objetivo no es dañar los sistemas informáticos de los usuarios, sino simplemente burlar los sistemas de seguridad de los mismos.

Crackers

Son aquellas personas que se introducen de forma ilegítima a los equipos con el fin de acceder a la información que estos poseen y también con la intención de destruirla o alterarla.

Preakers

Son aquellas personas que se introducen de forma ilegítima a los equipos con el fin de acceder a la información que estos poseen y también con la intención de destruirla o alterarla.

Sabotaje informático

Es la acción de borrar, suprimir o modificar sin autorización funciones o datos de un sistema informático con la intención de obstaculizar su funcionamiento.

Estafas electrónicas o phishing

Phishing es la capacidad de duplicar una página Web para hacer creer al visitante que está en la página original. Beneficiándose cuando los remitentes son engañados ara proporcionar información personal y financiera. El objetivo de estos intentos maliciosos es recopilar información de los clientes, con el propósito de cometer fraudes que se conoce como estafa electrónica o “phishing”.

Pesca u olfateo de contraseñas

Es el acto de adquirir, de forma fraudulenta, a través de engaño la información personal como claves de cuentas de correo electrónico, contraseña para entrar al sistema, claves de acceso a algún sitio, claves de productos entre otras, mediante el uso de programas o métodos que puedan descifrar, averiguar o buscar claves.

Espionaje informático o sniffing

Se realiza cuando una persona con conocimientos técnicos accede sin autorización y captura paquetes de información que circulan a través de la red, averiguando así contraseñas e información confidencial de la organización, a esto también se lo conoce como sniffing

[editar] Esquema de Estudio:

Tema a revisar	Descripción del Contenido a revisar	Actividades Recomendadas
Definición	Expone los conceptos principales y fundamentales, relacionados con los temas de delitos informáticos.	Elabore un índice, con los principales términos relacionados con delitos informáticos.
Clasificación de los delitos informáticos	Explica la principal clasificación de los delitos informáticos, definiendo y resumiendo en qué consiste cada tipo.	Elabore un cuadro sinóptico de los diferentes tipos de delitos informáticos, proponga un ejemplo en cada caso.
Legislación sobre delitos informáticos en Ecuador	Da a conocer el marco regulador de nuestro país en los temas de Delitos Informáticos, cuáles son las restricciones y sanciones por incumplimiento.	Esquematice las restricciones y sanciones que aplica la ley en nuestro país para Delitos informáticos.

[editar] ANEXOS

[editar] Anexo 1 : NORMA ISO 17799

Título	Norma ISO 17799
Autor	UTPL- (Ing. Henri Cueva, Ing. Andrea Cabrera)
Descripción	El artículo presenta los conceptos y contenido de la Norma ISO 17799. El contenido de éste material, ha sido tomado íntegramente de la fuente descrita en esta sección.

SEGURIDAD DE LA NORMA ISO SEGÚN ISO 17799

La seguridad de la información es un concepto actual y de interés para las compañías debido a que se preocupa de la protección de los datos generados dentro de ella, de aquí que también es importante para la Auditoría Informática. El objetivo de incluir esta temática como parte del estudio de la asignatura, es adquirir un conocimiento general de la norma ISO 17799, la cual reúne las mejores prácticas en seguridad de la información aceptadas mundialmente. Se recomienda que en la lectura de esta Unidad, se vayan identificando las áreas de los sistemas informáticos que están involucrados y los riesgos que deben controlarse en cada uno, temas que son de fundamental interés desde el punto de vista de la Auditoría Informática.

Introducción a la norma

Podemos encontrar numerosas normas internacionalmente aceptadas, pero aquellas que tienen gran aceptación en la comunidad de negocio son las relacionadas con Gestión, entre las que encontramos:

ISO 9001 – Gestión de Calidad
ISO 14001 – Gestión Ambiental
ISO 17799 – Gestión de la Seguridad de la Información

La principal norma internacional de Evaluación, Implementación y Certificación de medidas de Seguridad en Tecnologías de la Información es la Norma ISO 17799. Está basada en una normativa inglesa: el British Standard 7799 que le dio origen y que consta de dos partes:

PARTE 1: NORMALIZACIÓN (Desarrollo de las mejores prácticas), convertida luego en Norma ISO/IEC17799:2000

PARTE 2: CERTIFICACIÓN (Proceso de Auditoría para la Implementación, próximamente convertida en norma ISO también)

A finales del año 2005 se publicó una versión actualizada de la norma, ISO/IEC17799:2005, en adelante el estudio se referirá a esta versión. Hoy en día la mayoría de las organizaciones en el mundo que están utilizando ISO17799 están en la primera etapa de normalización, alineándose con los requerimientos a través de la implementación del ISMS (Information Security Management System).

¿Qué es ISO17799?

Es un código de práctica para la administración de la seguridad de la información. El alcance preciso de la norma es brindar una serie de recomendaciones para la gestión de la seguridad de la información, y servir de base común para el desarrollo de estándares de seguridad, y poder implementar un conjunto adecuado de controles: políticas, prácticas, procedimientos, estructuras organizaciones, funciones del software. Este código de práctica es un punto de partida para el desarrollo de lineamientos específicos, aplicables a cada organización, considerando que no todos los lineamientos y controles definidos resultan aplicables y que además probablemente deban agregarse controles que no están incluidos en esta normativa.

La norma se basa en los siguientes criterios respecto de la información:

VALOR

La información es un bien como el resto de los importantes activos comerciales de una organización.

MEDIO

La información puede existir en:

Formato electrónico/magnético/óptico
Formato impreso
Conocimiento de las personas

RIESGOS

La información está expuesta a un sinnúmero de riesgos que la amenazan.

La norma recomienda que los principales factores de éxito para implementarla en una organización sean:

Política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa.
Una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional.
Apoyo y compromiso manifiestos por parte de la gerencia.
Un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos.
Comunicación eficaz de los temas de seguridad a todos los gerentes y empleados.
Distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas.
Instrucción y entrenamiento adecuados.
Un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de seguridad de la información y para brindar sugerencias tendientes a mejorarlo.

El contenido temático de la Norma está disponible en UTPLONLINE, por favor descargar y analizar el documento, para apoyar el contenido de este capítulo.

[editar] Anexo 2 : CONTROL INTERNO Y AUDITORÍA INFORMÁTICA

Título	Guía Didáctica Auditoría Informática año 2006-2
Autor	Ing. Deisy Mosquera
Descripción	El artículo presenta los conceptos de Control Interno y como se evalúa en las Tecnologías de Información. El contenido de éste material, ha sido tomado íntegramente de la fuente descrita en esta sección.

CONTROL INTERNO Y AUDITORÍA INFORMÁTICA INTRODUCCIÓN

Tradicionalmente en materia de control interno se adoptaba un enfoque bastante restringido limitado a los controles contables internos. En tanto se relacionaba con la información financiera, el control interno era un tema que interesaba principalmente al personal financiero de la organización y, por supuesto, al auditor externo. El concepto de control interno de mucha gente no incluía muchas de las actividades operativas claves destinadas a prevenir los riesgos efectivos y potenciales a los que se enfrentan las organizaciones. Al producirse la quiebra de numerosas entidades bancarias y otras organizaciones, resultó evidente que no había suficiente conciencia de la necesidad de controles para evitar que los problemas surgieran y crecieran. En la actualidad el concepto de Control Interno es de vital importancia para las empresas, los niveles directivos hacen fuertes exigencias para mejorar el control de las empresas que dirigen. Los controles internos promueven la eficiencia, reducen los riesgos de pérdida de activos, y ayudan a asegurar la confiabilidad de los estados financieros y el cumplimiento de leyes y regulaciones.

DEFINICIÓN DE CONTROL INTERNO

Efectividad y eficiencia de las operaciones.
Confiabilidad de la información financiera.
Cumplimiento de leyes y regulaciones aplicables.

CONTROL INTERNO EN LAS TECNOLOGÍAS DE LA INFORMACIÓN (IT)

Dada la extendida confianza que las compañías tienen en las tecnologías de información, así como su creciente complejidad, es ineludible la necesidad de implementación de controles sobre la totalidad de estos sistemas que dan soporte a la organización en diversos aspectos: financieros, operacionales, de cumplimiento. La alta dirección de cualquier organización necesita poder comprender y contar con un conocimiento básico de los riesgos que introduce la incorporación y utilización de la tecnología informática, para así proveer una dirección eficaz y poner en práctica todos los mecanismos necesarios para la puesta en marcha de los controles adecuados. Tiene que decidir cuál es el grado de inversión razonable en seguridad y control, y cómo alcanzar un balance razonable entre el nivel de riesgo y la inversión en los controles. De aquí que si revisamos las definiciones de Auditoría Informática en la Unidad 1 encontraremos que una de ellas se refiere a la verificación de los controles en los recursos de informática De otro lado, si bien la responsabilidad directa del Control Interno la tiene la alta dirección de la organización, la función de auditoría sea Interna o Externa pueden evaluar el Control Interno de la organización; lo que conlleva la participación de auditores informáticos si existe por ejemplo: un grado importante de sistematización de las aplicaciones, cambios en los sistemas de aplicación, entre otros. Una vez que hemos establecido la relación entre Control Interno y Auditoría Informática, considero importante incluir algunas definiciones con el objeto de aclarar premisas fundamentales relacionadas con el control interno:

Riesgo: cualquier amenaza a la que está expuesta una organización y que impide o va en contra del logro de los objetivos propuestos
Control: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables o riesgos serán prevenidos o detectados y corregidos
Toda, absolutamente, toda actividad genera riesgos. Se sostiene que el no tener riesgos, implica no ejecutar la actividad.
Los riesgos pueden evitarse por medio de prácticas de control para cada actividad; sin embargo, las prácticas de control varían ampliamente en su efectividad y eficiencia, de tal manera que deben evaluarse individualmente para cada riego y actividad.
Los riesgos no surgen de la falta de controles, sino que tienen sus causas, las cuales se denominan causas de riesgos. Un riesgo es siempre el efecto de una o más causas. Los riesgos existían, por supuesto, antes de la informática y con su introducción no cambian los riesgos sino sus causas, las cuales en general han aumentado en número y frecuencia de ocurrencia.

Por tanto, hay que proponer nuevos controles o controles adecuados a la informática, ya que en cada situación concreta, los riesgos tienen diferentes probabilidades de ocurrir.

Un aspecto importante que ha de tenerse en cuenta es lo señalado en la página No. 30 del texto guía, en el que se indica que: “ Los controles cuando se diseñen, desarrollen o implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables. Respecto a esto último habrá que analizar el coste-riesgo de su implementación o dicho de *tro modo hay que mantener una adecuada relación de costo beneficio para su implementación.
Recuerde siempre que una operación no es mejor mientras más controles tenga, sino que tenga los adecuados y efectivos. Con mucha razón suele decirse que el exceso de controles entorpece la ejecución de un proceso.

OBJETIVOS

Partiendo de la definición de control interno en un ambiente automatizado como el conjunto de métodos y procedimientos destinados a asegurar que sólo los datos correctos sean aceptados y procesados completa y exactamente y que provea la información y los registros necesarios; se persiguen los siguientes objetivos:

Validar la información que ingresa al computador, para que represente fielmente el hecho ocurrido.
Asegurar el proceso completo y exacto de todos los datos una vez que son aceptados, que no se pierdan, se dupliquen, o se alteren en el proceso interno.
Que la información procesada sea de la calidad deseada por los usuarios y utilizada para los fines previstos.
Que se mantengan los archivos magnéticos en condiciones que garanticen la integridad y confiabilidad de la información.
Garantizar el adecuado uso de los recursos informáticos, equipo de computación, software, recursos humanos, materiales y financieros.
Minimizar las posibilidades de fraudes.

Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día a medida que los sistemas informáticos se vuelven complejos. Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de información.

CONCLUSIONES

Los cambios en la tecnología influyen en qué auditar y en cómo auditar, por lo que inevitablemente, la auditoría ha cambiado de manera drástica en los últimos años con el gran impacto que han generado las técnicas informáticas en la forma de procesarla. Los procesos de negocios, que se llevan a cabo dentro de las unidades de una organización, se coordinan en función de los procesos de gestión básicos de planificación, ejecución y supervisión. El control que provee la auditoria es parte de dichos procesos y está integrado en ellos, permitiendo su funcionamiento adecuado y supervisando su comportamiento y aplicabilidad en cada momento, con lo que, constituye una herramienta útil para la gestión, pero no un sustituto de ésta. Esta conceptuación del control se aleja de la antigua perspectiva, que veía el control como un elemento inmerso en las actividades de una entidad o como una carga inevitable, impuesta por los organismos reguladores o por los dictados de burócratas excesivamente celosos. Los controles impuestos por la auditoria, deben ser incorporados a toda la infraestructura de una entidad, no deben ser añadidos, de manera que no deben entorpecer, sino favorecer la consecución de los objetivos de la entidad.

[editar] Anexo 3 : METODOLOGÍA DE AUDITORÍA INFORMÁTICA PARA UNA APLICACIÓN EN FUNCIONAMIENTO

Texto Base	Guía Didáctica Auditoría Informática año 2006-2
Capítulo	Ing. Deisy Mosquera
Páginas	El artículo presenta las principales fases de la Auditoría informática, describiendo la documentación necesaria que se debe generar para cada una de ellas.
	El contenido de éste material, ha sido tomado íntegramente de la fuente descrita en esta sección.

METODOLOGÍA DE AUDITORÍA INFORMÁTICA PARA UNA APLICACIÓN EN FUNCIONAMIENTO

DIAGNÓSTICO PRELIMINAR Definición de los Objetivos y Alcance de la Auditoría Objetivos

Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Los objetivos nos permiten determinar qué es lo que se quiere conseguir con la auditoría, por ejemplo:

Determinar el nivel de satisfacción de los usuarios
Verificar el cumplimiento de las políticas
Verificar la efectividad de los controles
Identificar debilidades
Conocer el estado general del área de sistemas

Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática.

Alcance

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas.

Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.

El alcance puede incluir el período de la auditoría, una aplicación en particular, un área específica.

Conocimiento General de la Empresa

Consiste en obtener un conocimiento general de la empresa, a través de la comprensión de los siguientes elementos:

Misión: es la razón de ser de la empresa, lo que debe hacer para que se convierta en realidad la visión.

La misión incluye los elementos más relevantes de la organización, entre los cuales están:

Definir el negocio, es decir, los servicios que suministra o produce la organización.
Precisar el mercado al cual se dirige su actividad.
Explicar la calidad y el valor que se otorga al cliente o usuario, definido en las características del producto.

Visión: es lo que podría ser la empresa, lo que se espera en un cierto plazo, lo que se quisiera que fuera la organización en un futuro definido.

La visión debe ser un sueño compartido por todos los integrantes de la organización.

Objetivos Estratégicos: lo que la organización quiere alcanzar en un plazo determinado (mediano y largo) con el cumplimiento de la Misión y la concreción de la Visión.

La obtención de esta información se realiza en una visita inicial a la empresa en la que se mantiene una reunión con una autoridad de la empresa y con el responsable del área de sistemas.

La importancia de esta fase radica en el conocimiento que el auditor debe tener acerca de la empresa para luego verificar en qué grado los sistemas informáticos son un soporte efectivo en la consecución de los objetivos y metas de la misma.

Conocimiento General del Área de Sistemas

El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse, por lo que debe obtener información sobre lo siguiente:

Organización

Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental, para esto debe solicitar el organigrama del área.

Planes y Objetivos

El propósito es saber hacia dónde van los sistemas de información de la compañía, los planes a corto y mediano plazo, las estrategias que se adoptarán para conseguir los objetivos.

Cómo aportan los sistemas informáticos en la consecución de los objetivos de la entidad.

Conocimiento General de las Aplicaciones

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente respecto de las aplicaciones en funcionamiento:

Naturaleza.
Antigüedad: tiempo de funcionamiento.
Tipo de desarrollo:

Desarrollo Interno: la aplicación fue desarrollada internamente por personal de la misma empresa, es un desarrollo a la medida.

* Desarrollo Externo: la aplicación es un desarrollo a la medida pero fue desarrollada por personal externo a la organización, por ejemplo, se contrató a una empresa de desarrollo de software.

Desarrollo de Terceros: la aplicación fue comprada como un paquete desarrollado por otra empresa.

Arquitectura de la aplicación, por ejemplo, cliente/servidor, tres capas.

Lenguaje de programación y almacenamiento de datos (bdd, archivos).

El conocimiento general de la aplicación deberá documentarse en la plantilla que se presenta a continuación:

DATOS GENERALES DE LA APLICACIÓN

Preparador por

Fecha

Nombre de la Aplicación

A. ASPECTOS GENERALES

Breve descripción de la aplicación:

Funciones generales:

Módulos (Opcional):

Número promedio de usuarios que utilizan la aplicación:

B. CARACTERÍSTICAS DE DISEÑO

Arquitectura:

Tiempo en producción:

Lenguaje de desarrollo:

Base de datos que utiliza:

Desarrollo:

Interno

Producto o paquete de terceros

Externo

Mixto

C. CARACTERÍSTICAS DE DOCUMENTACIÓN

DOCUMENTACION	DISPONIBLE	NO DISPONIBLE	ACTUALIZADA
Manual de Usuario
Manual de Instalacion
Diccionario de Datos

D. HISTORIA DE ERRORES

PLANIFICACIÓN ESPECÍFICA

Evaluación del Nivel de Riesgo de las Aplicaciones

Una vez que se ha obtenido un conocimiento general de todas las aplicaciones en funcionamiento que posee la compañía, el siguiente paso es realizar una evaluación y calificación de riesgo de cada una, esto con el objetivo de priorizar aquellas que se identifiquen como las de mayor criticidad para la organización.

Como resultado de este proceso el alcance podría ser ajustado.

La evaluación de riesgo de las aplicaciones se realizará en base a los siguientes aspectos:

Importancia de la aplicación para la compañía

Características de la aplicación

Desarrollo y mantenimiento de la aplicación

Extensión y complejidad de la aplicación

Cada uno de estos aspectos se ha dividido en una serie de factores de riesgo, que analizados individualmente permiten establecer un puntaje o calificación por cada uno. La suma de todos los puntajes será la calificación de riesgo de la aplicación.

Así, asumamos la siguiente calificación para ejemplo:

1. IMPORTANCIA DE LA APLICACIÓN

a. Relación de la aplicación con los objetivos de la empresa

1. No hay relación

2. Baja relación

3 Media relación – quiere decir que el puntaje obtenido es 3

4. Alta relación

b. Impacto a los usuarios frente a eventuales caídas de la aplicación

1. No pasa nada

2. Opera con varios problemas – el puntaje obtenido es 2

3. Casi se paraliza

Cada factor tiene un peso establecido inicialmente que puede variar en una situación dada dependiendo de los objetivos de auditoría. Por ejemplo, si el auditor está especialmente preocupado por los riesgos de fraude puede aumentar la ponderación de los factores seleccionados con ese objetivo. Se debe tener especial cuidado de que todas las aplicaciones se evalúen con igual criterio y con igual ponderación para que el procedimiento resulte válido.

Para llevar a cabo esta evaluación, utilice la plantilla que se presenta a continuación:

EVALUACIÓN DEL NIVEL DE RIESGO DE APLICACIONES

Preparador por Fecha Nombre de la Aplicación

E. IMPORTANCIA DE LA APLICACIÓN

a. Relación de la aplicación con los objetivos de la empresa

1. No hay relación.

2. Baja relación.

3. Media relación.

4. Alta relación.

b. Impacto a los usuarios frente a eventuales caídas de la aplicación

1. No pasa nada.

2. Opera con varios problemas.

3. Casi se paraliza.

c. Fraudes históricos

1. No se han presentado fraudes.

2. Un fraude.

3. Dos fraudes.

4. Más de dos fraudes.

1. CARACTERÍSTICAS DE LA APLICACIÓN

1.1. Edad de la aplicación

1. Aplicación instalada menos de 3 meses.

2. Aplicación instalada menos de 1 año.

3. Aplicación instalada entre 1 y 2 años.

4. Aplicación instalada entre 3 y 5 años.

5. Aplicación instalada hace más de 5 años.

1.2. Interfases con otras aplicaciones

1. No tiene interfases.

2. Interfases con un sistema.

3. Interfases con dos o tres sistemas.

4. Interfaces con más de tres sistemas.

1.3. Percepción del usuario sobre la aplicación

1. Muy Buena.

2. Buena.

3. Regular.

4. Mala.

1.4. Documentación de la aplicación

1. Disponible, adecuada y actualizada.

2. Disponible, adecuada y actualizada.

3. No adecuada.

4. No disponible.

2. DESARROLLO Y MANTENIMIENTO DE LA APLICACIÓN

Si la aplicación es un desarrollo interno o externo:

2.1. Participación en el desarrollo

1. Usuarios, control de calidad, sistemas.

2. Únicamente usuarios y sistemas.

3. Sólo sistemas.

2.2. Metodología de desarrollo

1. Existe una metodología de desarrollo formal.

2. Existe una metodología de desarrollo pero no está escrita.

3. No existe una metodología de desarrollo.

2.3. Número de cambios críticos (por errores) Anual

1. 0 cambios.

2. De 1 a 3 cambios.

3. De 4 a 10 cambios.

4. De 10 a 20 cambios.

5. Más de 20 cambios.

Si la aplicación es un desarrollo de terceros:

2.4. Entrega/recepción de la aplicación

1. Fue un proceso formal

2. Se realizó informalmente

3. No se ha completado

2.5. Contrato de mantenimiento de la aplicación.

1. Existe un contrato formal para el mantenimiento de la aplicación y se cumple a cabalidad.

2. Existe un contrato pero no se cumple.

3. No existe un contrato pero se realiza mantenimiento según se presente el requerimiento.

4. No existe.

2.6. Número de cambios críticos (por errores) Anual.

1. 0 cambios.

2. De 1 a 3 cambios.

3. De 4 a 10 cambios.

4. De 10 a 20 cambios.

5. Más de 20 cambios.

3. EXTENSIÓN Y COMPLEJIDAD DE LA APLICACIÓN

3.1. Empleados que usan la aplicación frente al total de empleados.

1. Hasta un 30%.

2. Hasta un 60%.

3. Más del 60%.

3.2. Volumen de transacciones procesadas en la aplicación frente al total de transacciones de la empresa.

1. Hasta un 30%.

2. Hasta un 60%.

3. Más del 60%.

3.3. Comunicación con sucursales, puntos de venta, clientes o proveedores.

1. Sin conexión

2. Computador y/o controlador remoto conectado al equipo principal con hasta de 12 terminales

3. Conexión con las sucursales, clientes y/o proveedores con más de 12 terminales

3.4. Complejidad de los procesos y cálculos de la aplicación

1. Procesos y cálculos sencillos

2. Procesos y cálculos complejos

Calificación del Nivel de Riesgo de la Aplicación

Después de evaluar individualmente cada aplicación el auditor debe clasificarlas de acuerdo al puntaje, para establecer una secuencia de revisión de aplicaciones según el riesgo total y su importancia. La calificación total por cada factor, obtenida en la hoja individual de evaluación por aplicación, debe pasarse a la Matriz de Calificación de Riesgos que permite comparar y clasificar en orden descendente de puntaje. Las aplicaciones de alto riesgo se auditan primero. Las de bajo riesgo pueden examinarse por muestreo y con base en la disponibilidad de tiempo existente. De esta manera se asegura a la administración de la empresa que todas las áreas de alto riesgo se auditan prioritariamente. Este sistema de clasificación también permite que las aplicaciones de alto riesgo se auditen totalmente, es decir con un alcance amplio y que las de riesgo bajo se auditen con un alcance menor o parcialmente. Para esta actividad igualmente usted puede formular un papel de trabajo con el objetivo de poder comparar las puntuaciones que cada una de las aplicaciones que están en funcionamiento tiene. El papel de trabajo, sin ser estándar puede expresárselo de la siguiente manera:

Para elaborar esta matriz de comparación, en la columna de ítems de valuación se consignan todos los ítems que fueron evaluados en la matriz anterior, con la correspondiente calificación. Luego de haber consignado la información sume las calificaciones y conforme se indicó anteriormente, las aplicaciones más importantes o críticas serán aquellas que tengan mayor puntaje y serán las que se auditen primero.

Selección de Áreas de control

A través de la actividad anterior priorizamos la auditoría en función de la(s) aplicaciones más críticas, sin embargo, con el objetivo de organizar el desarrollo de las siguientes fases de la auditoría y obtener mejores resultados, se propone esta fase que consiste en seleccionar para las aplicaciones a ser auditadas las áreas de control que serán revisadas

Las áreas de control son las siguientes:

Controles Generales

Organización y Procedimientos del Área de Sistemas.
Mantenimiento de Aplicaciones ó Cambios a programas (no se considera el desarrollo porque estamos revisando una metodología para aplicaciones en funcionamiento).
Seguridad Lógica.
Continuidad de Operaciones.

A estas áreas estudiadas en el capítulo anterior se suman:

Nivel de Satisfacción del Usuario.
Redes y Comunicaciones.
Seguridad Física (Revisar autoevaluación de la unidad anterior).

Controles de Aplicación

Ingreso de Datos
Procesamiento
Salida de Datos

Es conveniente pero no mandatorio incluir todas las áreas en la revisión de auditoría, no obstante esto depende los objetivos planteados inicialmente en la auditoría, de la necesidad planteada por el cliente, de los recursos disponibles para la auditoría, entre otros.

Por favor poner atención en lo siguiente:

Es posible ajustar el alcance inicial de la auditoría en función de las aplicaciones que se auditarán y de las áreas de control seleccionadas.

Elaboración del Plan de Auditoría

Si bien en las actividades hasta aquí desarrolladas se requiere de una planificación, es en las fases y actividades que ocurren en adelante en las que se hace crucial contar un planificación que guíe y permita dar seguimiento al trabajo de auditoría. Con la información definida en cuanto a las aplicaciones que serán auditadas y las áreas de control que serán cubiertas, se procede a la elaboración del plan de auditoría, que consiste en la estimación de plazos, actividades y recursos humanos requeridos para ejecutar el trabajo. El plan puede tener el nivel de detalle que se considere, sin embargo, se sugiere colocarlo a nivel de aplicaciones a auditar, áreas de control y actividades en las fases siguientes, es decir ejecución y comunicación, el plan debe finalizar con el hito correspondiente a la entrega del informe de auditoría.

Reunión con los directivos del Departamento de Informática

El grupo de auditores de sistemas que va a realizar el auditaje de la aplicación se reúne con el responsable del departamento de Informática para hacerle conocer sobre el trabajo de auditoría que se planea hacer.

Los propósitos de esta reunión son:

Explicar al auditado los objetivos y alcance del auditaje, en términos generales
Presentar y revisar el plan de auditoría
Elaborar una lista del personal clave que se debe contactar, tanto en el Departamento de Procesamiento como en el área usuaria y determinar la disponibilidad del mismo durante el período del auditaje. De ser posible se deberán fijar fechas de entrevistas
Tratar de identificar conjuntamente con el auditado los aspectos más importantes de la aplicación
Resolver las inquietudes que pueda tener el auditado y entender sus problemas.
Identificar los reportes y/o información que requiere el auditor
Lograr el compromiso del auditado para aumentar la probabilidad de éxito del auditaje

Hay que darle la importancia que esta reunión tiene, pues de ella dependerá el éxito o el fracaso del trabajo de auditoría ya que si no contamos con el comprometimiento de los directivos de la empresa no podremos desarrollar de buena manera nuestras actividades.

Ejecución de la Auditoría

Consecución de la información detallada de la aplicación

En esta etapa el grupo de auditores de sistemas debe hacer un levantamiento detallado de toda la información de la aplicación con el propósito de:

Conocer las características de la aplicación.
Conocer las funciones de entrada, proceso y salida.
Conocer como está representada la información de entrada ( reportes, formularios, diseño de pantallas, etc.), de salida (listados, diseños de pantalla) y en los diferentes archivos magnéticos.
Conocer al detalle los procedimientos de entrada, proceso y salida.
Conocer las diferentes transacciones de la aplicación y estudiar sus efectos.

Para realizar esta consecución de información se deben cumplir las siguientes actividades:

Lectura y análisis de la documentación relacionada.
Entrevistas con el personal involucrado.
Observación directa de los procedimientos.
Conocimiento de los programas.

En el cumplimiento de estas actividades el auditor puede observar posibles riesgos y posibles deficiencias de control, se recomienda tomar nota de esta información que posteriormente será de mucha utilidad.

Lectura y análisis de la documentación relacionada

Comprende todas las actividades que se deben realizar para localizar, conseguir, leer y analizar la documentación relacionada con la aplicación, y la operación u operaciones que maneja la aplicación.

Comprende documentos tales como:

Libros, manuales, instructivos, donde se encuentren las políticas, reglamentos y procedimientos de la operación u operaciones que maneja la aplicación.

El «archivo permanente de la aplicación» existente en Auditoría, si la aplicación fue auditada con anterioridad, así como papeles de trabajo y el informe de auditoría.

Las políticas, procedimientos y estándares del Departamento de Sistemas.

Los manuales técnicos de la aplicación, existentes en el Departamento de Sistemas, tales como: documentación del sistema, documentación de los programas, documentación de operación, documentación del usuario.

Documentos de control diligenciados en el proceso de la información, tales como hojas de ruta, planillas de grabación, planillas de control, solicitudes de cambios a programas, planillas de control de distribución de listados, planillas de control de archivos magnéticos, etc.

Datos estadísticos de la aplicación como: volúmenes de entrada, volúmenes de salida, cantidad de registros en archivos magnéticos, tiempos de proceso, etc.

Copias de todos los reportes de entrada y de los diferentes listados producidos por la aplicación.

Entrevistas con el personal involucrado

El grupo procede a entrevistar al personal de Sistemas y de las áreas usuarias que considere necesario, en especialmente se verán involucrados los siguientes roles: Analista(s) o Programador(es) que más conocen de la aplicación, por haberla diseñado y programado o por estar encargados de su mantenimiento; El Operador del computador que normalmente la procesa; Revisores de procesamiento de datos encargados de su control y personal de las áreas usuarias, tanto el que reporta la información como quien la recibe y la utiliza; administrador de seguridad, administrador del sistema, entre otros. Los auditores de sistemas deben usar el conducto regular para la ejecución de estas entrevistas, es decir, deben hablar primero con los responsables de cada una de las áreas. Para aprovechar eficientemente el tiempo del auditado, el auditor debe elaborar un plan de entrevistas previamente, que contiene todos los aspectos que se abordarán y un estimado del tiempo que tomará cada una. Mantenga la buena costumbre de trabajar con agenda, no improvise.

Observación directa de los procedimientos

Un método que ayuda mucho al auditor a clarificar los conocimientos que está adquiriendo sobre la aplicación, es la observación física de los procedimientos. Para esto el auditor debe hacer un seguimiento paso a paso de la información desde el área usuaria, pasando por el ciclo de entrada, llegando al salón del computador y observar la etapa de proceso y regresando nuevamente al usuario en la etapa de salida.

El procedimiento total debe documentarlo en uno o varios flujogramas.

Conocimiento de los programas

El objetivo es estudiar y conocer detalladamente los programas más importantes de la aplicación.

Como resultado de esta etapa el auditor puede generar papeles de trabajo que consisten en un resumen o explicación de las funciones de cada programa.

Identificación de riesgos

En esta etapa el grupo de auditores que está auditando la aplicación, elabora una lista de todos los riesgos probables que se presentan en las diferentes etapas de la aplicación y que los fue identificando en las actividades de conocimiento detallado de la aplicación. Para orientar esta actividad se proponen los siguiente elementos, que ayudan a identificar los principios más importantes que se buscan en cada área de control:

Organización y Procedimientos del Área de Sistemas

Asegurar que se ha definido y aprobado un Plan Estratégico y Operativo para los sistemas de información de la entidad, así mismo es importante verificar que el mismo se esté llevando a cabo de acuerdo a lo previsto.

Verificar que se realice una adecuada segregación de funciones

Mantenimiento a las Aplicaciones

Asegurar que únicamente se hacen modificaciones, revisiones o cambios autorizados a la aplicación y programas y que se realizan en un ambiente controlado y seguro.

El punto importante es determinar si hay procedimientos de controles claros y adecuados y si se cumplen durante las modificaciones o cambios a los programas. El auditor necesita seleccionar algunos cambios críticos o mayores a programas que se han presentado en la aplicación auditada, para determinar el cumplimiento de los procedimientos de control establecidos.

Asegurar la disponibilidad de una adecuada documentación (sistema, programa, operaciones y usuario), para ayudar al personal de sistemas en las actividades de rediseño, modificación y análisis de programas, además para facilitar las revisiones de auditores.

El punto importante es verificar si la documentación es exacta, adecuada y actualizada.

Redes y Comunicaciones

Asegurar que se han establecido controles en la transmisión y recepción de los datos de un punto a otro. Asegurar que existen controles y seguridades de acceso en las terminales del computador.

Es importante determinar la existencia y funcionamiento de los controles necesarios para proteger la privacidad e integridad de la información durante su transmisión.

Seguridad Lógica

Asegurar que existen controles y seguridades adecuadas para el acceso a la información a través de la aplicación. Reducir o eliminar los riesgos potenciales de fraude mediante manipulación de los archivos.

El punto más importante es determinar si el acceso del usuario y del personal de sistemas a la aplicación se basa estrictamente en sus áreas de responsabilidad y está controlado mediante el uso de un login y password, además que los password cumplan con las mejores prácticas para asegurar su efectividad.

Un proceso crítico que debe ser conocido a detalle por el auditor es la gestión de usuarios para el acceso a la aplicación: creación, mantenimiento, eliminación.

Seguridad física

Asegurar que existen controles y seguridades adecuadas para el acceso físico a las instalaciones del Centro de Cómputo.

Asegurar que existen los controles y seguridades adecuadas para prevenir riesgos ambientales.

Continuidad de operaciones

Determinar si hay un plan de contingencia documentado y probado que permita la continuidad de operaciones de la aplicación, en casos de desastres menores y mayores.

Satisfacción del Usuario

El punto importante es verificar si el usuario está satisfecho con los resultados y comportamiento de la aplicación y si la aplicación ha cumplido con los objetivos propuestos para los cuales se desarrolló e implementó.

Entrada de datos

Asegurar que se han establecido controles adecuados (manuales y automatizados), para prevenir, detectar y corregir errores, irregularidades u omisiones que pueden ocurrir en las actividades de entrada de datos.

Un aspecto clave es verificar si los datos entran al sistema de acuerdo al diseño mismo y a las especificaciones de control de los programas.

Procesamiento

Asegurar que se han establecido controles automáticos adecuados para prevenir o detectar irregularidades u omisiones que pueden ocurrir durante el procesamiento de los datos; la actualización de los archivos y para corregir los errores detectados, así como también reducir o eliminar los riesgos de fraude.

Un punto importante es determinar si los datos se procesan y actualizan de acuerdo al diseño del sistema y a las especificaciones de control interno en los programas.

Salidas de información

Asegurar que se han establecido controles adecuados (manuales y automáticos), para prevenir, detectar y corregir errores, irregularidades u omisiones que pueden ocurrir durante las actividades de salida de la información.

Un aspecto importante es evaluar si realmente se necesita la salida, si se valida y si el usuario autorizado la recibe oportunamente.

Metodología para la identificación de riesgos

Una metodología sugerida para la fase de identificación de riesgos consiste en que el grupo de auditores, usando la técnica de «Tormenta de Ideas» identifique todos los riesgos que pueda para cada una de las áreas en que se dividió la aplicación. En esta etapa del trabajo será muy útil invitar a un representante del área de informática (por ejemplo un analista) y a un representante del usuario, para que participen en la identificación de los riesgos.

La experiencia de estas personas enriquece mucho el resultado del trabajo y lo hace más real.

Una vez identificados todos los riesgos, se puede hacer un ordenamiento de los mismos, agrupando todas las causas y todos los efectos de un mismo riesgo e indicando únicamente el riesgo. Esto reduce mucho la lista de riesgos, que puede ser muy extensa.

El papel de trabajo resultante de esta etapa es la lista de riesgos para cada área de la aplicación.

Selección de riesgos críticos

Una vez identificados los riesgos, el auditor debe seleccionar aquellos que realmente sean más importantes por su significación en la aplicación, tanto por su probabilidad de ocurrencia como por sus efectos negativos(impacto).

Una manera de llevar a la práctica esta actividad es utilizar dos escalas para la evaluación:

Probabilidad Impacto

Alta Alto

Media Medio

Baja Bajo

Cada riesgo obtendrá una calificación de probabilidad e impacto basada en estas escalas, finalmente la calificación final será el producto de impacto x probabilidad. Los riesgos deberán ser ordenados descendentemente en función de su calificación final, lógicamente los primeros de valor más alto serán los más críticos. El proceso de selección es una de las etapas más importantes dentro del auditaje a la aplicación, pues permite que el auditor concentre su esfuerzo en los riesgos críticos, aumentando de esta manera su efectividad y productividad.

Este proceso de asignación de una probabilidad e impacto es subjetivo y requiere de experiencia y buen juicio por parte del auditor.

El papel de trabajo, producto de esta etapa es la lista de riesgos importantes de la aplicación para cada una de las áreas en que se dividió la aplicación con su respectiva calificación final de riesgo.

Identificación de controles existentes en la aplicación

En esta etapa el auditor busca e identifica los controtes existentes en la aplicación para los riesgos seleccionados en el punto anterior. La búsqueda se debe realizar área por área.

Es importante insistir en lo siguiente:

SE DEBEN CONSIGNAR LOS CONTROLES QUE TIENE LA APLICACIÓN NO LOS QUE DEBERÍA TENER.

Normalmente se encuentra evidencia de la existencia de los controles especialmente en los siguientes puntos:

Documentos fuente y formas de entrada
Procesos de autorización y aprobación manuales y automáticos
Informes de salida, como listados de validación, listados de saldos, etc.
Documentos de control tales como: guías, hojas de ruta, planillas de actividades, registros de errores, listados de las rutinas de contabilidad del sistema, solicitudes de cambio de programas, solicitud de creación de usuarios,etc. .

Las técnicas más recomendables para la identificación de los controles son:

Para controles manuales: análisis de los flujogramas, consulta de cuestionarios, observación física de los procedimientos.
Para controles en los programas: datos de prueba, análisis de entrada y salida del proceso real.

El papel de trabajo producto de esta actividad es una matriz para cada una de las áreas en que se dividió la aplicación; que tiene como columnas los riesgos seleccionados y como filas los controles identificados.

Imagen:MATRIZ_DE_RIESGOS_Y_CONTROLES.JPG

Evidenciación de controles importantes de la aplicación

En la matriz de riesgos y controles el auditor estableció una relación que permitió identificar la existencia de controles que mitiguen los riesgos, no obstante, en esta actividad sólo se consideró la existencia del control pero no fue evaluado su funcionamiento y efectividad. En la práctica un control muy efectivo puede ver reducida su efectividad cuando se ejecuta mal parcialmente, o aún no tener ninguna efectividad cuando no se está ejecutando. Por esta razón el auditor debe cerciorarse; es decir, evidenciar si el control que se identificó realmente existe en la aplicación y funciona bien. Para esto debe diseñar y ejecutar las pruebas de cumplimiento para los controles. Realizar estas pruebas para todos los controles probablemente requiere demasiado esfuerzo del auditor y además no se justifica por el bajo impacto que pueden tener algunos de ellos sobre los riesgos, aún suponiendo que funcionasen bien. De tal manera que, para aumentar la eficiencia y calidad del trabajo del auditor, se recomienda realizar las pruebas de cumplimiento únicamente para aquellos controles calificados como realmente importantes en la matriz, por su impacto significativo sobre uno o varios riesgos. Es importante aclarar que muchas de estas pruebas no se requieren si el auditor ha conseguido plena evidencia del funcionamiento del control en las etapas previas a este punto de su auditaje.

Ajustes a las matrices de riesgos y controles

Con base en los resultados de las pruebas de cumplimiento realizadas a los controles más importantes de las matrices, el auditor procede a actualizar la misma, eliminando aquellos controles que no sean efectivos o no se estén utilizando y dejando únicamente aquellos que efectivamente mitiguen la ocurrencia del riesgo.

Considerar que con la existencia de los controles, muchos riesgos pueden disminuir su nivel de criticidad.

La matriz final por cada área, con el reporte de cada riesgo, es el punto de partida sobre el que se realizará el informe, que como veremos contendrá un detalle más específico del riesgo, su origen, causa, efectos, entre otros.

Comunicación

Preparación del informe de auditoría (borrador)

En esta fase deben documentarse todos los hallazgos identificados, la principal guía en esta fase es la matriz de riesgos y controles. Las observaciones deben redactarse de acuerdo al contenido que se detalla en el capítulo siguiente el cual está dedicado por completo al informe de auditoría.

Revisión del informe con el auditado

Una vez documentadas todas las deficiencias de control, el grupo de trabajo de auditoría mantiene una reunión con el auditado para presentar sus hallazgos y recomendaciones. Es esta reunión el auditado puede apreciar el punto de vista del auditor en relación con los hallazgos y las recomendaciones, además tiene la oportunidad de refutar, comentar o estar de acuerdo con ellos, por ello, es primordial que el auditor asista a esta revisión con la evidencia soporte para todos los puntos reportados, de tal forma que en caso de requerirlo por parte del cliente, la observación pueda ser justificada adecuadamente. El auditor no necesita tener la aceptación total del auditado sobre los hallazgos y recomendaciones pero debe conocer el pensamiento y sentir del auditado sobre ello. Aún cuando el auditado objete fuertemente una recomendación, el auditor no necesita cambiarla. Sin embargo, el auditor y el auditado deben estar de acuerdo en los hechos. Si hay una diferencia substancial sobre los hechos entonces tanto el auditor como el auditado los deben investigar más exhaustivamente, para llegar a la realidad y obtener así el acuerdo. Aunque la interpretación y análisis de los hechos difieran, debe existir un acuerdo básico entre los hechos reales. Recuerde la objetividad de la auditoría.

Entrega del informe final

Si fuera el caso luego de la revisión con el auditado, deben realizarse los ajustes necesarios al informe, para la posterior impresión del reporte final de auditoría. Con este paso concluye el trabajo de auditoría informática de una aplicación en funcionamiento, espero que esta metodología pueda ser llevada a la práctica por ustedes con facilidad.

[editar] Anexo 4 :EL INFORMAE DE AUDITORÍA

Título	Guía Didáctica Auditoría Informática año 2006-2
Autor	Ing. Deisy Mosquera
Pescripción	El artículo presenta los componentes principales que debe contener la redacción del Informe final de auditoría. El contenido de éste material, ha sido tomado íntegramente de la fuente descrita en esta sección

EL INFORME DE AUDITORIA

El propósito de esta unidad es revisar a detalle la estructura del Informe de Auditoría Informática resultado y objetivo final de la ejecución de la misma.

Carta de Presentación o Resumen

La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrató a auditoría.

La carta de introducción poseerá los siguientes atributos:

• Tendrá como máximo 4 hojas.

• Incluirá fecha, naturaleza, objetivos y alcance de la auditoría.

• Cuantificará la importancia de las áreas analizadas.

• Proporcionará una conclusión general, concretando las áreas de gran debilidad.

• Presentará un resumen de las observaciones más críticas en orden de importancia y gravedad.

• En la carta de Introducción no se escribirán nunca recomendaciones.

Informe Final

Aspectos Generales o Introductorios

Deben incluirse los siguientes aspectos:

• Objetivos de la auditoría informática.

• Alcance de la auditoría informática.

• Limitaciones (insertar nota al pie: aspectos que incidieron negativamente e el desarrollo de la actuación).

• Fecha de inicio de la auditoría.

• Nombres del equipo auditor y su rol

Cuerpo del Informe

Se refiere a la enumeración de los comentarios relevantes producto de la Auditoría Informática. Los comentarios deben presentarse divididos en dos partes: Observación y Recomendación

Observación

Cada uno de las observaciones debe seguir el siguiente orden a saber:

• Antecedentes(opcional)

Incluye la descripción de acontecimientos históricos que tienen relevancia para la observación planteada

• Situ