Documente Academic
Documente Profesional
Documente Cultură
COMPUTADOR
Curso:
AUDITORIA DE SISTEMAS
TEMA:
Auditora de sistemas a travs del computador
CDIGO:
090327E
090353F
090312h
NDICE
CAPITULO 1. CONCEPTO DE AUDITORIA DE SISTEMAS
1.1. CONCEPTO DE AUDITORIA DE SISTEMAS
13
19
22
24
25
27
27
34
35
36
38
CONCLUSIONES Y RECOMENDACIONES
GLOSARIO
45
46
43
13
Contable
Planeacin
Capitalista
Operacin
Educativo
Financiero
De Informacin, Etc.
1.2.
QUE ES AUDITORIA?
1.3.
1.4.
ASESOR GERENCIAL
Los profesionales responsables del auditaje en ambientes computarizados, deben poseer
una slida formacin en Administracin, Control interno, Informtica y Auditora.
En Administracin deben manejar con habilidad y destreza las funciones bsicas del
proceso administrativo, tales como: planeacin, organizacin, direccin y control, con una
mentalidad de hombre de negocios y dentro de las modernas teoras de la Planeacin
Estratgica, y la calidad total.
En la era de la informtica, el auditor debe entender que su papel profesional debe ser el
de Asesor Gerencial para asegurar el xito de la funcin y, en consecuencia, debe
visualizar
la
empresa
su
futuro
en
forma
sistmico-estructural,
articulando
ordenadamente los objetivos del rea informtica con la misin y los objetivos de la
organizacin, en su conjunto.
En materia de Control Interno, el auditor informtico, debe estar en capacidad de
diagnosticar su validez tcnica, desde un punto de vista sistmico total. Esto quiere decir
que deber entender el control interno como sistema y no como un conjunto de controles
distribuidos de cualquier manera en las organizaciones.
UNIVERSIDAD NACIONAL DEL CALLAOPgina 8
1.5.
3.
los datos.
Asegurarse de la existencia de controles dirigidos a que todos los datos
4.
5.
6.
7.
proceso.
Verificar la validez del procedimiento utilizado para corregir inconsistencias y la
8.
9.
10.
Metodologa de la auditora.
Objetivos de la auditora.
Evaluacin del sistema de control interno.
Procedimientos de auditora.
Papeles de trabajo.
Deficiencias de control interno.
Informe de auditora.
Asegurar que los programas procesan los datos, de acuerdo con las
2.
3.
programas.
Verificar que los programadores modifiquen los programas solamente en los
4.
aspectos autorizados.
Comprobar que los programas utilizados en produccin son los debidamente
5.
6.
2.
3.
4.
Informe de Auditora: Este informe deber versar sobre la confiabilidad del sistema de
control interno para proteger los datos sometidos a proceso y la informacin contenida en
los archivos maestros.
Los tres (3) enfoque de auditora vistos, son complementarios, pues ninguno de los tres,
es suficiente para auditar aplicaciones en funcionamiento.
CAPTULO
2.
CONOCIMIENTOS
GENERALES
PRINCIPIANTE
2.1.
DEL
CONTADOR
Trmino en ingls que significa ferretera, se emplea con una fina y poco disimulada
irona, para referirse a los elementos tangibles del equipo, como la tarjeta madre, la
memoria, el disco duro y otros dispositivos de almacenamiento.
SOFTWARE.
Conjunto de instrucciones que ponen en comunicacin los diferentes dispositivos del PC y
le permiten realizar cualquier tarea. Ej. El sistema operativo, los programas, los archivos
de configuracin, etc.
COMPOSICIN
DE
UN
DEPARTAMENTO
DE
PROCESAMIENTO
DESCRIPCIN
sistemas.
Revisin de los proyectos de organizacin y control del PED.
Revisin del rendimiento.
DESCRIPCIN
especficos para cada programa descrito en las instrucciones del funcionamiento del PC.
Operador de Textos Prepara informacin para su proceso en el PC, tecleando en un
dispositivo que lo traduce a lenguaje de mquina.
TCNICAS DE AUDITORA ASISTIDAS POR COMPUTADOR - TAAC.
2.3.
a.
OPERACIONES
EN
PARALELO:
Confrontacin
de
resultados,
que
sustituye
uno
ya
auditado.
Los
programas
d.
e.
aplicacin real.
REVISIONES DE ACCESO: Consiste en conservar un registro
computarizado de todos los accesos a determinados archivos
f.
g.
- Software de Auditora.
TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en
obtener totales de datos en alguna parte del sistema, para verificar su
h.
3.
4.
5.
anteriormente.
Participacin del Auditor en el desarrollo de sistemas.
En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los
sistemas y sus actividades principales sern:
a.
b.
sistemas.
Revisar las transacciones realizadas para asegurarse de que los
c.
d.
e.
en la planeacin.
Revisar todos los cambios hechos a los programas y sistemas para
verificar la integridad de las aplicaciones.
SISTEMAS EN LNEA
Las operaciones son procesadas al momento de registrarlas, en vez de acumularla en
lotes. Los datos pueden ser registrados en una terminal remota de entrada conectada a la
unidad central de proceso por lneas de comunicacin. Se refiere a un sistema operativo
con terminales, sin implicar su modo de operacin. Un sistema en lnea acepta y
almacena datos desde varias terminales, pero no necesariamente implica la actualizacin
de archivo maestro.
SISTEMA EN TIEMPO REAL
Se refiere al tiempo requerido para que una accin, actividad o decisin tenga lugar. El
trmino se usa para referirse a sistemas de respuestas rpidas en los cuales los archivos
son actualizados tan pronto como las operaciones son registradas y en los cuales los
datos de salida son proporcionados inmediatamente al ser solicitados. Los sistemas en
tiempo real, son siempre en lnea.
Un sistema de tiempo real es aquel en el que para que las operaciones computacionales
estn correctas no depende solo de que la lgica e implementacin de los programas
computacionales sea correcto, sino tambin en el tiempo en el que dicha operacin
entreg su resultado. Si las restricciones de tiempo no son respetadas el sistema se dice
que ha fallado; Por lo tanto, es esencial que las restricciones de tiempo en los sistemas
sean cumplidas. El garantizar el comportamiento en el tiempo requerido necesita que el
sistema sea predecible.
SISTEMAS INTEGRADOS
Diseados para minimizar las operaciones y los registros duplicados. El sistema se disea
de tal manera, que los registros para las funciones diferentes con informacin similar,
sean combinados en un solo registro que los incluya a todos. Algunas caractersticas son:
2.
MATRIZ DE PLANEACIN
Es un documento que sirve de gua para seguir una secuencia lgica en la realizacin de
la auditora. En este documento, se informa el personal a cargo de cada labor de
auditora, las pruebas a realizar, los procedimientos a seguir, el tiempo estimado e
invertido, el riesgo y la referencia a papeles de trabajo con el fin de permitir el seguimiento
y control del desarrollo de la auditora. (Ver modelo propuesto).
2.6.
Fecha:
Deficiencia:
Sustentacin:
*Relevante - Lgica
*Fiable - Vlida, Objetiva
*Suficiente - Cuantitativa
*Adecuada - Cualitativa
Recomendacin:
Beneficio:
Compromiso:
operacin?
El centro de cmputo puede ser el activo + valioso y al tambin el +
vulnerable.
El 95% de los delitos por computadora han sido descubiertos por
casualidad y no se divulgan para no dar ideas a personas mal
intencionadas.
Los fraudes, falsificaciones y venta de informacin hechos a la
sistemas de seguridad.
Los procedimientos de Auditora y seguridad son responsabilidad del
Usuario y del Depto. De Auditora Interna.
Al auditar los sistemas, se debe tener en cuenta que no se tengan copias piratas y que al
conectarnos en RED no exista posibilidad de transmisin de VIRUS.
Beneficio Personal
Beneficios para la organizacin
Sndrome de Robin Hood (Para beneficiar a otras personas)
Jugando a jugar
Fcil desfalcar
El Depto. Es deshonesto
Odio a la organizacin (Revancha)
El individuo tiene problemas financieros
La computadora no tiene sentimientos ni delata
Equivocacin de ego (Deseo de sobresalir en alguna forma)
Mentalidad turbada
Estos factores son el objetivo del centro de cmputo, pero tambin constituye un
incremento del riesgo del delito.
El uso inadecuado del computador empieza con la utilizacin del tiempo de mquina para
usos ajenos al de la organizacin, la copia de programas para fines comerciales, el
acceso va telefnica para copiar o modificar datos con fines fraudulentos.
daada?
Una Ca. De venta puerta a puerta, le sustrajeron la lista de clientes, la cual fue
vendida a la competencia; la Ca. Estim la perdida en ventas en $ 7.062.00.
Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y definicin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremoto, etc.)
Prcticas de seguridad del personal
Plizas de seguros
Elementos tcnicos y procedimientos
Sistemas de seguridad de equipos y de sistemas, incluyendo redes y
9.
10.
11.
terminales
Aplicacin de los sistemas de seguridad incluyendo datos y archivos
El papel de los Auditores tanto interno como externo
Planeacin de programas de desastre y su prueba. Los accidentes pueden
surgir por mal manejo de la Admn., por negligencia o por ataques
intencionales hechos por ladrones, fraudes, sabotajes o por situaciones propias
de la Ca. Ej. huelgas
El poder trabajar con la posibilidad de un desastre debe ser algo comn, debe planearse
como evitarlo y qu hacer cuando ocurra.
Se debe evaluar el riesgo que pueda tener el dao en las instalaciones y/o en las
aplicaciones, con gran impacto en la Ca. y/o en la comunidad si el servicio se interrumpe
por cierto perodo; otras pueden fcilmente continuar sin afectar fuertemente la Ca. Por
ejemplo por medio de mtodos manuales.
Para establecer la relacin costo/beneficio entre el costo por prdida de informacin y el
costo de un sistema de seguridad debemos tener en cuenta algunos puntos como:
UNIVERSIDAD NACIONAL DEL CALLAOPgina 31
2.
3.
4.
despachos de vuelos.
Qu se ha hecho para un caso de emergencia? Sistemas paralelos, sistemas
duplicados en reas crticas (aires acondicionados, discos, etc.), sistemas de
energa no interrumpible. Ej. Elaborar la NOMINA en forma manual o pagarla
con la de la quincena anterior.
Una vez definido el grado de riesgo (alto, medio, bajo), se debe elaborar una lista de
medidas preventivas a tomar y las correctivas en caso de desastre sealando prioridades.
Hay que tener mucho cuidado con la informacin que sale de la oficina, con su utilizacin
y que sea borrada al momento de dejar la instalacin de respaldo.
LOS PLANES DE SEGURIDAD DEBEN ASEGURAR:
1.
4.
5.
6.
2.
3.
4.
5.
decisiones
Determinar la informacin que tenga una gran prdida en la Ca. Y
posiblemente pueda ocasionar que no pueda sobrevivir sin esa informacin.
Ejemplo:
ALTO RIESGO: Informacin sobre el mercado y publicidad de una Ca.
MEDIO RIESGO: La nmina, que puede ser hecha a mano, utilizar
procedimientos alternos (pagar con la nmina anterior) o un adecuado
c.
sistema de respaldo.
BAJO RIESGO: Los estado financieros, los que se pueden reestructurar
con cierta facilidad, salvo la presentacin con fines fiscales.
4.
librera y de operacin
Los operadores no deben ser los nicos que tengan el control sobre los
trabajos procesados y no deben hacer las correcciones a los errores
5.
detectados
Evaluar y revisar en forma visual el orden y limpieza de la sala de cmputo y
las oficinas, ya que una inadecuada limpieza en el trabajo refleja problemas de
disciplina y crea posibilidades de fallas en la seguridad, adems de perjudicar
el desarrollo normal del trabajo
Los sistemas de seguridad pueden reducir flexibilidad en el trabajo, pero no deben reducir
la eficiencia (IMPORTANTE.)
3.2.
SEGURIDAD EN EL PERSONAL
6.
7.
8.
eliminarlos.
Adecuada poltica motivacional con el fin de fortalecer la lealtad
Fomentar la cultura de seguridad en los programas para protegerlos de
posibles fraudes.
SEGURIDAD FSICA
Incendio
Inundacin
Huelgas
Disturbios
Sabotaje
Material de la construccin (no inflamable, no txicos, sin polvo)
Temperatura de la sala de computo
Ductos, del aire acondicionado, limpios
Detectores de humo
Equipos de fuente no interrumpible en instalaciones de alto riesgo en la
11.
12.
13.
14.
la carga
Entrenamiento del personal en el uso de los equipos contra incendio
Suficientes salidas de emergencia debidamente controladas
Almacenamiento adecuado de cintas que produce gases txicos y papel
altamente inflamable
Fue costumbre exhibir la sala de cmputo en grandes ventanales al pblico como smbolo
de orgullo de la organizacin, y con gran cantidad de invitados visitndola. Eso cambi
radicalmente para prevenir el riesgo de terrorismo y sabotaje.
3.4.
SEGUROS
El valor del seguro debe estar a precio de COMPRA del mercado y no al precio al
momento de la compra de SEGURO.
3.5.
3.
5.
6.
7.
8.
9.
terminales.
La informacin confidencial debe usar formas codificadas o encriptadas.
Revisin peridica fsica del uso de terminales y de los reportes obtenidos.
Auditoria peridica sobre el rea de operacin y utilizacin de terminales.
Asegurar el proceso completo de los datos.
Debe existir registros de transferencia de informacin ente las funciones de un
10.
11.
sistema.
Debe controlarse la distribucin de las salidas (reportes, cintas, etc.)
Guardar copia de archivos fuera del Dpto., de PED y en instalaciones de alta
12.
seguridad (Bancos)
Control estricto en el transporte de cintas y discos del PED al local de
13.
14.
almacenaje distante.
Identificar y controlar perfectamente los archivos.
Estricto control en el acceso fsico a los archivos.
c.
Debe elaborarse en cada Depto. De PED un plan de emergencia, el cual debe ser
aprobado por el Depto. De Informtica y definir los procedimientos e informacin para
ayudar a la recuperacin de informacin en caso de interrupciones en la operacin del
sistema de cmputo.
El plan de emergencia debe ser probado y utilizado en condiciones anormales para en
caso de usarse en condiciones de emergencia se tenga la seguridad de que funcione. Se
debe considerar:
d.
e.
f.
a-
CONDICIONES,
PROCEDIMIENTOS
CONTROLES
PARA
OTORGAR
prediseados
CONTROLES DETECTIVOS: con el fin de descubrir errores que no hayan
3.
Los controles anteriores pueden ser utilizados en las transacciones de recogida o toma de
datos, en los procesos de informacin de la aplicacin y en la generacin de informes y
resultados de salida.
4.1.
otros.
Describir los requisitos claves de entrada de datos.
Precisar las correcciones que en nombre de los usuarios pueden hacer
el personal de sistemas.
FORMULARIOS PREIMPRESOS: Guan el registro inicial de las transacciones en
un formato uniforme. El diseo de formularios es un eficiente control preventivo
para los sistemas en funcionamiento, en la etapa de entrada de datos. Un buen
diseo de formularios permite que los datos sean completos y precisos, evitando
de esta forma errores y omisiones, logrando un sistema correcto de autorizaciones
y apoyando la objetividad de la contabilidad o de otras aplicaciones, de las
organizaciones. Los formularios diseados a la medida del sistema facilitan el
registro de transacciones y el establecimiento de controles a travs de:
Bloques de autorizacin
Totales de control
Totalizaciones verticales u horizontales
Fechas de retencin de datos
Los documentos fuente pre-impresos permiten la serializacin de los mismos, esto
es, verificar la secuencia del procedimiento de entrada de datos. La identificacin y
serializacin de los documento fuente facilitan el rastreo de las transacciones hacia
delante y hacia atrs, cuando se hace el trabajo de auditora.
transaccin.
REFERENCIA CRUZADA: En el computador, las transacciones incluyen
generalmente un campo, que tiene por objeto identificar el documento fuente. Si
este nmero hace parte de la identificacin de la transaccin, entonces se
convertir en una referencia cruzada que sirve para rastrear la informacin hacia
delante y hacia atrs. En el registro de CxC, existe un campo para el nmero de la
factura; esta referencia puede utilizarse para recuperar los documentos fuente
de auditora.
ACCESO RESTRINGIDO A LOS FORMULARIOS EN BLANCO: Los documentos
y formularios en blanco deben estar adecuadamente controlados para evitar uso
fraudulento, en la entrada de datos. Esta restriccin incluye los documentos
negociables.
CUSTODIA DOBLE DE FORMULARIOS: Se acostumbra bsicamente para
controlar formularios contables de alto nivel de criticidad. Se requiere que un
miembro del Depto. De usuario y otro del Depto. De PED autoricen conjuntamente
la entrega de formularios pre numerados. El control exige hacer seguimiento
riguroso a los formularios en blanco para que sean devueltos y archivados
oportunamente.
se
conforman
obteniendo
informacin
complejos,
de evaluacin de eficacia y
deben
de
eficiencia.
someterse
Hoy
en
a
da,
un
control
la
estricto
mayora
de
UNIDAD DE CD-ROM.
Disco de metal recubierto por una capa plstica para almacenar datos. Su sistema de
lectura es por lser: un haz de luz recorre la superficie del disco, mientras que otro
dispositivo se encarga de analizar el reflejo del lser sobre el soporte. Los computadores
multimedia (que pueden manejar video, sonido y animaciones) usan esta unidad para leer
CD-ROM. 650-700 MB (486 disquetes), que pueden almacenar video, sonido, animacin,
texto, grfica, etc. Actualmente se consiguen unidades de grabacin de CD.
DVD (Digital Video Disc).
Supera con creces la capacidad y rapidez del CD-ROM. Actualmente superan los 4 GB de
capacidad (7 CD) y usados en cinematografa por su calidad de imagen, sonido digital de
ltima generacin y dilogos locutados en diferentes idiomas.
SISTEMAS DE COMPRESIN.
Apoyados por estudiadas rutinas, logran reducir el espacio de memoria necesario para
almacenar un documento. Existen dos tipos de compresores: destructivo y no destructivo.
La diferencia principal entre ambos sistemas hace referencia a la prdida de calidad en el
archivo resultante, despus de la compresin.
CHIP
Pieza de silicio que contiene millones de componentes electrnicos (transistores y
resistores).
SILICIO (SILICON)
Material que se encuentra en estado natural en la arena y en las rocas.
TRANSISTOR
Dispositivo semiconductor que funciona como una especie de PUERTA que se abre o
cierra al paso de impulsos elctricos. Un CHIP como el Pentium, agrupa + 3.3 millones de
transistores en una superficie de menos de 2 Cm cuadrados.
BYTE
Es una medida de la capacidad de almacenamiento de datos del PC. 1 byte equivale a un
carcter. Los textos, dibujos y sonidos estn representados por Bytes.
MEGABYTE (MB) = a 1.000.000 de bytes.
GIGABYTE (GB) = A 1.000 MB.
TERABYTE (TB) = A 1.000 GB.
EXABYTE (EB)=A 5.000.000 TB.
HERTZ (Hz) medida de cuantas vibraciones elctricas (ciclos) se producen en 1 segundo.
1 Hz = a un ciclo por segundo.
MEGAHERTZ (MHz) = a 1.000.000 de Hz son la unidad de medida del procesador.
PC COMPUTADOR PERSONAL.
Son el tipo de computadores ms difundidos. Por unidades vendidas representan + del
90% del mercado.
PERIFRICOS
Son todos los dispositivos que se conectan al computador: Ratn, Teclado, Impresora,
Monitor, Audfonos, MODEM, Unidad de CD, etc.