TALLER

AUDITORIA
COMPUTACIONAL
(TEMAS: Los Enfoques de Auditora, Riesgo Informtico,
Tipos de Fraudes, Controles y sus Tipos)

Nombre de Alumnos: Patricia Martnez

Veronica Ulloa
Carrera: Auditoria
Sede: Puerto Montt
Profesor del Modulo: Juan Hernndez

Puerto Montt, 29 de agosto 2015

INDICE

Introduccin..3.Enfoques dentro de la Auditoria Informtica4.Auditoria Alrededor de la Computadora..4.Auditoria a travs de la computadora..4, 5.Auditoria con la Computadora...5.Riesgo Informticos.6.Tipos de Riesgos Informticos..7, 8,9.Tipos de Fraudes y Robo9, 10.Conceptos de Corrupcin y fraudes..10, 11.Prevencin Corrupcin y Fraude...11, 12, 13.Control y sus Tipos..14, 15, 16.Control Interno Informtico... 17,18.-

INTRODUCCION

Los avances que han tenido los sistemas en los ltimos aos, ha surgido una
necesidad de evaluacin para los auditores, quienes requieren una
especializacin cada vez ms profunda en sistemas computacionales para
dedicarse a este tipo de auditoras.
Por ello naci la necesidad de evaluar no slo los sistemas, sino tambin la
informacin, sus componentes y todo lo que est relacionado con dichos
sistemas.
Es por eso que naci este tipo de auditora unas de las cuales son alrededor
del computador, a travs del computador y con el computador.
A si como tambin existen los riesgos de seguridad de informacin deben ser
considerados en el contexto del negocio, y las interrelaciones con otras
funciones de una empresa, tales como recursos humanos, desarrollo,
produccin, operaciones, administracin, finanzas, etctera
La funcin principal de la administracin del riesgo informtico debera ser
proteger a la organizacin y su habilidad de manejar su misin, no solamente
la proteccin de los elementos informticos. Adems, el proceso no solo debe
de ser tratado como una funcin tcnica generada por los expertos en
tecnologa que operan y administran los sistemas, sino como una funcin
esencial de administracin por parte de toda la organizacin.
Es importante recordar en el caso de algn fraude seria un impacto negativo
para vulnerabilidad de una empresa, considerando la probabilidad y la
importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la
administracin de riesgos es el proceso de identificacin, evaluacin y toma de
decisiones para reducir el riesgo a un nivel aceptable.
La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo los eficazmente los fines de la
organizacin y utiliza eficiente mente los recursos.

ENFOQUES DENTRO DE LA AUDITORIA INFORMATICA

AUDITORA ALREDEDOR DE LA COMPUTADORA

En este enfoque de auditora, los programas y los archivos de datos no se auditan.
La auditora alrededor del computador concentra sus esfuerzos en la entrada de
datos y en la salida de informacin. Es el ms cmodo para los auditores de
sistemas, por cuanto nicamente se verifica la efectividad del sistema de control
interno en el ambiente externo de la mquina. Naturalmente que se examinan los
controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo
que atente contra la integridad, completitud, exactitud y legalidad.
1. Su objetivo es verificar la existencia de una adecuada segregacin
funcional. Comprobar la eficiencia de los controles sobre seguridades
fsicas y lgicas de los datos.
2. Asegurarse de la existencia de controles dirigidos a que todos los datos
enviados a proceso estn autorizados.
3. Comprobar la existencia de controles para asegurar que todos los datos
enviados sean procesados.
4. Cerciorarse que los procesos se hacen con exactitud.
5. Comprobar que los datos sean sometidos a validacin antes de ordenar su
proceso.
6. Verificar la validez del procedimiento utilizado para corregir inconsistencias
y la posterior realimentacin de los datos corregidos al proceso.
7. Examinar los controles de salida de la informacin para asegurar que se
eviten los riesgos entre sistemas y el usuario.
8. Verificar la satisfaccin del usuario. En materia de los informes recibidos.
9. Comprobar la existencia y efectividad de un plan de contingencias, para
asegurar la continuidad de los procesos y la recuperacin de los datos en
caso de desastres.

AUDITORA A TRAVS DE LA COMPUTADORA

Este enfoque est orientado a examinar y evaluar los recursos del software, y
surge como complemento del enfoque de auditora alrededor del computador, en
el sentido de que su accin va dirigida a evaluar el sistema de controles diseados
para minimizar los fraudes y los errores que normalmente tienen origen en los
programas.

1. Su objetivo es asegurar que los programas procesan los datos, de acuerdo

con las necesidades del usuario o dentro de los parmetros de precisin
previstos.
2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los
programas.
3. Verificar que los programadores modifiquen los programas solamente en los
aspectos autorizados.
4. Comprobar que los programas utilizados en produccin son los
debidamente autorizados por el administrador.
5. Verificar la existencia de controles eficientes para evitar que los programas
sean modificados con fines ilcitos o que se utilicen programas no
autorizados para los procesos corrientes.
6. Cerciorarse que todos los datos son sometidos a validacin antes de
ordenar su proceso correspondiente.

AUDITORA CON LA COMPUTADORA

Este enfoque va dirigido especialmente, al examen y evaluacin de los archivos de
datos en medios magnticos, con el auxilio del computador y de software de
auditora generalizado y /o a la medida. Este enfoque es relativamente completo
para verificar la existencia, la integridad y la exactitud de los datos, engrandes
volmenes de transacciones.

RIESGOS INFORMATICOS

Es importante en toda organizacin contar con una herramienta, que garantice la

correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y
actividades que participan en el rea informtica; y por medio de procedimientos
de control que puedan evaluar el desempeo del entorno informtico.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y
teniendo en cuenta que, una de las principales causas de los problemas dentro del
entorno informtico, es la inadecuada administracin de riesgos informticos, esta
informacin sirve de apoyo para una adecuada gestin de la administracin de
riesgos

El riesgo es una condicin del mundo real, en el cual hay una exposicin a la
adversidad conformada por una combinacin de circunstancias del entorno donde
hay posibilidad de prdidas. Los riesgos informticos son exposiciones tales como
atentados y amenazas a los sistemas de informacin.

ELEMENTOS A TENER EN CUENTA PARA LA CORRECTA DEFINICIN DE

RIESGOS

Administracin de Riesgos
Valoracin de Riesgos

SISTEMA DE CALIFICACIONES
Prioriza las revisiones con base en una evaluacin de los factores de riesgo que
consideran variables como: Complejidad tcnica, extensin del sistema, el cambio
en el proceso y la materializacin. Estas variables pueden estar ponderadas.
Con base en juicios: Se toma decisin independiente con base en:

Directivas del mximo nivel ejecutivo

Perspectivas histricas
Ambiente del negocio

Sistema de Calificaciones
Priorizacin de las revisiones con base en una evaluacin de factores de riesgo
que tienen en cuenta variables (ponderadas o no) como: complejidad tcnica, la
extensin del sistema, el cambio en el proceso y la materializacin.
Estas revisiones se programan de acuerdo con el plan de auditora anual de
auditora de sistemas.

TIPOS DE RIESGOS
Riesgo de Integridad

Interface del Usuario

Procesamientos de errores interfaces
Administracin de cambios
Informacin

Riesgo de Relacin
Los riesgos de relacin se refieren al uso oportuno de la informacin creada por
una aplicacin. Estos riesgos se relacionan directamente a la informacin de toma
de decisiones.
Riesgo de Acceso

De negociacin
Aplicacin
Administracin de la informacin
Entorno de procesamiento
Redes
Nivel Fsico

Riesgo de Utilidad

Los riesgos pueden ser enfrentados por el direccionamiento de sistemas

antes de que los problemas ocurran.
Tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de
los sistemas.

Riesgo en la Infraestructura

Planeacin organizacional
Definicin de la aplicaciones
Administracin de seguridad
Operaciones de red y computacional
Administracin de sistemas de bases de datos Informacin y Negocio

Riesgo de Seguridad General

Riesgo de Choques elctricos

Riesgo de incendios
Riesgos de niveles inadecuados de energa elctrica
Riesgo de radiaciones
Riesgos mecnicos

Concentracin de Procesamiento de Aplicaciones ms Grandes y de Mayor

Complejidad
Una de las causas ms importantes del incremento en los riesgos informticos
probablemente sea el aumento en la cantidad de aplicaciones o usos que se le da
a las computadoras y la consecuente concentracin de informacin y tecnologa
de software para el procesamiento de datos.

Dependencia en el Personal Clave

La dependencia en individuos clave, algunos de los cuales poseen un alto nivel de
desempeo tcnico, con frecuencia pone a la compaa en manos de
relativamente pocas personas, siendo que stas por lo general son externas a la
organizacin.

Desaparicin de los Controles Tradicionales

Las aplicaciones contienen verificadores automticos que aseguran la integridad
de la informacin que se procesa. Este gran cambio en el criterio sobre el control
de los empleados y las brechas respecto a la comunicacin, crean situaciones de
seguridad totalmente diferentes.

Huelgas, Terrorismo e Inestabilidad Social

El nivel actual de riesgo en computacin se debe revisar tambin dentro del

contexto de inestabilidad social en muchas partes del mundo. Ha habido ataques

fsicos a diversas instalaciones, sin embargo algunas veces se trata de la incursin
de personal interno y no de agitador.
Mayor Conciencia de los Proveedores
Hasta hace pocos aos este tema no constitua motivo de gran preocupacin para
los proveedores, pero la conciencia acerca de la exposicin a los riesgos los ha
obligado a destinar presupuestos considerables para la investigacin acerca de la
seguridad.

TIPOS DE FRAUDES Y ROBOS

Hacking/ hacker
Es un individuo que penetra un sistema solo por gusto o para probar sus
habilidades. Usualmente no tiene fines delictivos graves este tipo de instruccin
Cracking/cracker
Persona que penetra un sistema informtico con el fin de robar o destruir
informacin valiosa, realizar transacciones ilcitas, o impedir el buen
funcionamiento de redes informticos o computadoras.
Phreaking
Penetrar ilcitamente sistemas telefnicos o de telecomunicaciones con el fin de
obtener beneficios o causar perjuicios a terceros.
Warez
Grupo de personas amantes de la piratera de software. Su meta es violar cdigos
de seguridad ( cracking) o generar, obtener o compartir nmeros de registros de
programas de cmputo, para luego subirlos a internet y compartirlos con el mundo
usualmente son delitos o ilcitos contra propiedad intelectual o derechos del autor.

Hacktivismo
Son grupos ambientalistas, anti- nuclear, anti- guerras, etc., pueden usar la red
para promover ciber-desobediencia civil.
Ciber terrorismo
Aprovechamiento delas redes informticas (internet para obtener informacin,
fomentar o comentar actos de terrorismo.
Ciber pandillerismo
Grupo de hackers o extremistas se renen para cometer o planear delitos, o para
expresar ideas racistas, discriminatorias o xenofbicas.
Ingeniera social
Muchos delincuentes, en lugar de aprovechar las debilidades de los sistemas
informticos, se aprovechan de las debilidades mentales de empleados de
empresas o personas que pueden brindarle informacin que les ayude a penetrar
a sistemas informticos
Robo de identidad
Aprovechamiento de datos personales para hacerse pasar por otra persona, con el
objeto de obtener beneficios econmicos o cometer delitos informticos.
CONCEPTO CORRUPCION INFORMATICA
En informtica, se sabe que el almacenamiento de los datos no es un acto
infalible, y si los bits alteran la presentacin de los datos (cosa que puede suceder
por ataque de virus, por mal funcionamiento del sistema operativo, o simplemente
por una mala transmisin de datos), se considera que es un archivo corrupto.
CONCEPTO DE FRAUDE INFORMATICO

Este trmino se refiere sencillamente a un acceso indebido a la informacin,

muchas veces no para apoderarse de ella, sino solo con la intencin de modificar
datos.
Tambin es conocido como Un delito informtico o ciberdelito es toda aquella
accin antijurdica y culpable, que se da por vas informticas o que tiene como
objetivo destruir y daar ordenadores, medios electrnicos y redes de Internet.
Debido a que la informtica se mueve ms rpido que la legislacin, existen
conductas criminales por vas informticas que no pueden considerarse como
delito, segn la "Teora del delito", por lo cual se definen como abusos informticos
(los tipos penales tradicionales resultan en muchos pases inadecuados para
encuadrar las nuevas formas delictivas), y parte de la criminalidad informtica. La
criminalidad informtica consiste en la realizacin de un tipo de actividades que,
reuniendo los requisitos que delimitan el concepto de delito, sean llevados acabo
utilizando un elemento informtico.

Los delitos informticos son aquellas actividades ilcitas que:

1. Se cometen mediante el uso de computadoras, sistemas informticos u
otros dispositivos de comunicacin (la informtica es el medio o instrumento
para realizar un delito).
2. Tienen por objeto causar daos, provocar prdidas o impedir el uso de
sistemas informticos (delitos informticos).

PREVENCION CONTRA CORRUPCION Y FRAUDE INFORMATICO

Organizacin

El departamento de sistemas debe estar organizado

Debe existir segregacin de funciones entre sistemas y
departamentos
Supervisin competente y completa, revisin de tareas por gerencia
Deben existir procedimientos administrativos y de operacin
Objetividad e independencia de los usuarios

Seguridad

otros

Proteccin de equipo, software, documentacin

Hardware

Mantenimiento del equipo en buen funcionamiento

Acceso

Restringido a personal autorizado (Hard, documentos, archivos)

Procesamientos

Procesamiento rpido y exacto de la informacin

Controles internos en la operacin
Instrucciones de operacin
Programas de ejecucin (schedule)
Lista de mensajes y paradas programadas (acciones ligadas)
Procedimientos de recupero y reinicio
Tiempos estndar/estimados

Comunicaciones:
Control y supervisin de las operaciones y los dispositivos de comunicacin En
cada uno de los componentes de un SI deben existir controles internos. Como
objetivo principal de todo control interno, lo primordial es tratar de disminuir
riesgos. En las comunicaciones de un SI deben establecerse controles en:
Hardware: debe haber controles que impidan el fcil acceso fsico a las terminales
y al equipamiento de la red (instalaciones, mdems, hubs, cables, etc.)
Software: deben utilizarse protocolos para controlar la calidad de los mensajes y la
no presencia de errores en cualquier transmisin de informacin. Deben
controlarse el acceso a las aplicaciones y datos que residan en el/los servidores
de la organizacin
Datos: deben utilizarse tcnicas de encriptacin (procedimiento generalmente
pblico que logra convertir un texto claro en un texto confuso o desordenado slo
descifrable con una clave, un mtodo criptoanaltico o a fuerza bruta). Ej de

algoritmos de encriptacin: DES, 3DES, RSA, IDEA (se diferencian segn la

cantidad de bytes de las claves de encriptacin y los algoritmos utilizados).

POLITICAS:
Control externo que asegure el seguimiento de polticas y procedimientos
Fijados.

En Chile el 28 de mayo de 1993, se promulg la ley 19.223 pero no fue hasta la

fecha 07 de Junio de 1993 que sta se public. Esta ley, tipifica y sanciona los
denominados Delitos Informticos.
Los delitos tipificados en la Ley 19.223 consideran como un bien jurdico la
calidad, la pureza e idoneidad de la informacin que esta contenida en cualquier
sistema automatizado de tratamiento de la informacin. Adems, no solo se
protege el bien mencionado anteriormente si no que tambin los siguientes:

El patrimonio, en el caso de los fraudes informticos.

La privacidad, intimidad y confidencialidad de los datos, en el caso de

espionaje informtico.

La seguridad y fiabilidad del trfico jurdico y probatorio, en el caso de

falsificaciones de datos probatorios mediante algn sistema o medio
informtico.

El derecho de propiedad sobre la informacin y sobre los elementos fsicos

y materiales de un sistema de informacin, en el caso de los delitos de daos.

CONTROL Y SUS TIPOS

El Control Interno Informtico puede definirse como el sistema integrado al
proceso administrativo, en la planeacin, organizacin, direccin y control de las
operaciones con el objeto de asegurar la proteccin de todos los recursos
informticos y mejorar los ndices de economa, eficiencia y efectividad de los
procesos operativos automatizados.
El Informe COSO define el Control Interno como Las normas, los procedimientos,
las prcticas y las estructuras organizativas diseadas para proporcionar
seguridad razonable de que los objetivos de la empresa se alcanzarn y que los
eventos no deseados se prevern, se detectarn y se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o accin
realizada manual y/o automticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para
conseguir sus objetivos. (Auditora Informtica Un Enfoque Prctico Mario G.
Plattini) Tipos
En el ambiente informtico, el control interno se define en controles de dos tipos:
Controles manuales; aquellos que son ejecutados por el personal del rea
usuaria o de informtica sin la utilizacin de herramientas computacionales.
Controles Automticos; son generalmente los incorporados en el software,
llmense estos de operacin, de comunicacin, de gestin de base de datos,
programas de aplicacin, etc.
Los controles segn su finalidad se clasifican en:

Controles Preventivos
Para tratar de evitar la produccin de errores o hechos fraudulentos, como por
ejemplo el software de seguridad que evita el acceso a personal no autorizado.
Controles Detectivos
Trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos
con controles preventivos.
Controles Correctivos
Tratan de asegurar que se subsanen todos los errores identificados mediante los
controles detectivos.
Objetivos principales:

Controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditora Informtica interna/externa
Definir, implantar y ejecutar mecanismos y controles para comprobar el
grado ce cumplimiento de los servicios informticos.
Realizar en los diferentes sistemas y entornos informticos el control de las
diferentes actividades que se realizan.

Control interno informtico (funcin)

El Control Interno Informtico es una funcin del departamento de Informtica de
una organizacin, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de informacin automatizados se realicen cumpliendo
las normas, estndares, procedimientos y disposiciones legales establecidas
interna y externamente.
Entre sus funciones especficas estn:

Difundir y controlar el cumplimiento de las normas, estndares y

procedimientos al personal de programadores, tcnicos y operadores.

Disear la estructura del Sistema de Control Interno de la Direccin de

Informtica en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicacin.
Explotacin de servidores principales
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
Relaciones contractuales con terceros
Cultura de riesgo informtico en la organizacin

Control Interno Informtico (reas de aplicacin)

1. controles generales organizativos
Son la base para la planificacin, control y evaluacin por la Direccin General de
las actividades del Departamento de Informtica, y debe contener la siguiente
planificacin:

Plan Estratgico de Informacin realizado por el Comit de Informtica.

Plan Informtico, realizado por el Departamento de Informtica.
Plan General de Seguridad (fsica y lgica).
Plan de Contingencia ante desastres.

2. Controles de desarrollo y mantenimiento de sistemas de informacin

Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de
datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a travs
de metodologas como la del Ciclo de Vida de Desarrollo de aplicaciones.
3. Controles de explotacin de sistemas de informacin
Tienen que ver con la gestin de los recursos tanto a nivel de planificacin,
adquisicin y uso del hardware as como los procedimientos de, instalacin y
ejecucin del software.
4. Controles en aplicaciones

Toda aplicacin debe llevar controles incorporados para garantizar la entrada,

actualizacin, salida, validez y mantenimiento completos y exactos de los datos.
5. Controles en sistemas de gestin de base de datos
Tienen que ver con la administracin de los datos para asegurar su integridad,
disponibilidad y seguridad.

6. Controles informticos sobre redes

Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y
funcionamiento de las redes instaladas en una organizacin sean estas centrales
y/o distribuidos.
7. Controles sobre computadores y redes de rea local
Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto del
hardware como del software de usuario, as como la seguridad de los datos que
en ellos se procesan.
Funcin de Control
En la auditoria Informtica
Esta tiene funcin de vigilancia y evaluacin mediante dictmenes, los auditores
de tienen diferentes objetivos de los de cuentas, ellos evalan eficiencia, costos y
la seguridad con mayor visin, y realizan evaluaciones de tipo cualitativo.
Control interno informtico
Cumplen funciones de control dual en los diferentes departamentos, que puede
ser normativa, marco jurdico, la funciones del control interno es la siguientes
determinar los propietarios y los perfiles segn la clase de informacin, permitir a
dos personas intervenir como medida de control, realizar planes de contingencias,
dictar normas de seguridad informtica, controla la calidad de software, los costos,
los responsables de cada departamento, control de licencias, manejo de claves de

cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta

medida permite la seguridad informtica.
Metodologas de clasificacin
procedimientos de control

de

informacin

de

obtencin

de

Es establecer cules son las entidades de informacin a proteger, dependiendo

del grado de importancia de la informacin para el establecimiento de
contramedidas.

Herramientas de control
Las herramientas de control, son de dos tipos lgicos y fsicos , des del punto
lgico son programas que brindar seguridad, las principales herramientas son las
siguientes; seguridad lgica del sistema, seguridad lgica complementaria del
sistema, seguridad lgica en entornos distribuidos, control de acceso fsico, control
de copias, gestin de soporte magnticos, gestin de control de impresin y envo
de listados por red, control de proyectos y versiones , gestin de independencia y
control de cambios. Y fisiocs los cifradores.

CONTROL INTERNO INFORMATICO

El control interno informtico controla diariamente que todas las actividades de
sistemas de informacin sean realizadas cumpliendo los procedimientos,
estndares y normas fijados por la direccin de la organizacin y/o la direccin
informtica, as como los requerimientos legales.
La funcin del control interno informtico es asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean correctas
y vlidas.
Control interno informtico suele ser un rgano staff de la direccin del
departamento de informtica y est dotado de las personas y medios materiales
proporcionados a los cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realicen cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informtica, as como de las
auditoras externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los graso adecuados del servicio informtico, lo cual no debe
considerarse como que la implantacin de los mecanismos de medida y
responsabilidad del logro de esos niveles se ubique exclusivamente en la
funcin de control interno, si no que cada responsable de objetivos y recursos
es responsable de esos niveles, as como de la implantacin de los medios de
medida adecuados.