Presentación

Alejandra Arcentales Arias es una estudiante de la Universidad Técnica de Machala, específicamente estudia  la carrera de Contabilidad y Auditoria. Desea  terminar sus estudios con éxito e incorporarse como ingeniera Comercial en Contabilidad y Auditoria y obtener una buena plaza de trabajo para sacar adelante a su familia y crecer personal y profesionalmente. Además se proyecta en un futuro tener su casa propia y emprender un negocio.

Intraclase #8

Tema: Las metodologías de la auditoria informática.
Objetivo: Caracterizar lo que son las metodologías e identificar las principales que se utilizan, mediante la revisión bibliográfica para determinar lo que mejor se aplica al contexto.

CONCEPTOS

Método

Es el modo de decir o hacer con orden una cosa

Metodología

Conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal

FACTORES QUE COMPONEN UNA COMTRAMEDIDA

- La Normativa

- La Organización

- Las Metodologías

- Los Objetivos de control

- Los Procedimientos de control

- Tecnología de seguridad

- Las Herramientas de control

DEFINICIONES A CONSIDERAR

- Amenaza

una duración e intensidad determinadas. Cuando el Agente de riesgo selecciona una víctima contra la cual pretende cometer un acto delictivo, automáticamente se convierte en una amenaza para ella. Se puede considerar que es la materialización del riesgo.

- Vulnerabilidad

Está íntimamente relacionado con el riesgo y la amenaza y se puede definir como la debilidad o grado de exposición de un sujeto, objeto o sistema. También son aquellas fallas, omisiones o deficiencias de seguridad que puedan ser aprovechadas por los delincuentes.

- Riesgo

Es la probabilidad latente de que ocurra un hecho que produzca ciertos efectos, la combinación de la probabilidad de la ocurrencia de un evento y la magnitud del impacto que puede causar, así mismo es la incertidumbre frente a la ocurrencia de eventos y situaciones que afecten los beneficios de una actividad

Factores Generadores De Riesgo

Son aquellas situaciones que contribuyen a crear, mantener e incrementar el ambiente de violencia como:La impunidad, Situación carcelaria, La corrupción, Disminución de la moral ciudadana y del civismo, El desempleo, y desplazamiento.

Agentes Generadores De Riesgo

Son aquellos individuos, grupos u organizaciones que con su actuar materializan la violencia. Como:Delincuentes comunes y bandas organizadas, Narcotraficantes y grupos subversivos.

- Exposición o impacto

El riesgo es una condición del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de perdidas.

LOS RIESGOS EN LA AUDITORÍA INFORMÁTICA SE PUEDEN:

- Evitarlos

- Transferirlos

- Reducirlos

- Asumirlos

TIPOS DE METODOLOGÍA

Cuantitativas

Cualitativas

Firmas

https://drive.google.com/file/d/181aEy3kyAGbxOm7gTbWIGFow5Jhnv2dM/view?usp=sharing

Trabajo Intraclase

Tarea Extraclase #4

DIAGRAMA DE FLUJO

https://drive.google.com/file/d/1pDGBwfkGuBrnf5qEExpMCP9bX-wgfKqx/view?usp=sharing

Tarea Extraclase #3

CLOUD COMPUTER

https://drive.google.com/file/d/1g4nDXuLIcOMEvhH-XI4CkX15oreCM401/view?usp=sharing

Intraclase #6

Tema: Funciones de la Auditoria Informática.

Objetivo: Analizar las funciones para el control interno mediante un análisis de las consideraciones pertinentes.

Evaluación durante la operación del sistema de cómputo.

El ingeniero en informática debe asegurarse que durante la operación del sistema de cómputo:

Cumpla con los requerimientos del usuario.

Se sigan las normas, políticas y procedimientos de seguridad.

Se mantenga actualizado tecnológicamente.

Se efectúen auditorias informáticas programadas y eventuales.

Auditoría en Informática

-Su función es descubrir fraudes , robo electrónico, alteración o modificación de programas.

-El objetivo de la auditoría es asegurar que la información que producen los sistemas sean confiable, útil u oportuna entre otras.

OBJETIVOS PARTICULARES

-Personal

-Personal de la institución

-Grupo de emergencia ante contingencias

-Grupo de instrucción detención (Tiger Teams)

-Administradores (Firewalls)

Funciones generales del Auditor

Funciones generales:

*Diseñar, establecer y verificar que se lleve a cabo métodos de respaldo y control que garanticen la continuidad de los servicios a los usuarios.

*Elaborar y verificar que sea adecuado el plan de contingencia de todo el procesamiento electrónico de datos.

*Establecer los controles adecuados que garanticen la completa protección de todos los recursos de cómputo.

*Investigar , estudiar y  proponer la adquisición y utilización de nuevos equipos  de cómputo.

*Mantener y actualizar la configuración de los equipos electrónicos y redes de comunicación para satisfacer las necesidades de crecimiento, implantación de nuevas aplicaciones y niveles de servicio ofrecidos a los usuarios.  

OBJETIVOS PARTICULARES

Software

Verificar que se este a la vanguardia en tecnología de software:

• Sistema operativo

  -  Utilería

  -  Métodos de acceso

  -  Lenguajes

• Software de comunicaciones

• Software de base de datos

Servicio a usuarios.- Mejorar y mantener los niveles de servicio al usuario  en sus necesidades.

• Consultas

• Capacitación

• Documentación

• Implementación

Red de comunicaciones

Mejorar y mantener una red de comunicaciones que integre todos los niveles de procesamiento, cubriendo las siguientes características:

• Confiable

• Segura

• Estándar

• Flexible

• Integrada

Equipo

Contar con la tecnología más avanzada en materia de equipo de computo para:

• Centros de cómputo

• red de comunicaciones

• Terminales

• Captura de datos

• Microcomputadoras

TIPOS DE CONTROLES

Preventivos  Evitan que ocurran errores o irregularidades

Detectivos  Emiten una señal (sonido, mensaje, etc.) cuando un error o irregularidad ha ocurrido

Correctivos  Contribuyen a la corrección cuando un error o irregularidad ha ocurrido.  

La auditoria   se apoya más de los controles detectivos y correctivos

Intraclase#5

Tema: Auditoría informática
Objetivo: Incidir en sus comportamientos profesionales estimulando que estos se ajusten a determinados principios morales que deben servirles de guía.

PRINCIPIOS DEONTOLÓGICOS

PRINCIPIOS DE BENEFICIO DEL AUDITADO

- La actividad del auditor debe estar en todo momento orientada a orientar el máximo provecho de su cliente.

- Cualquier actitud que anteponga intereses personales del auditor al auditado deberá considerarse como no ética.

- El auditor deberá evitar estar ligado en cualquier forma a intereses de determinadas marcas, productos o equipos del auditado con los de otros fabricantes.

- El auditor deberá abstenerse de recomendar actuaciones innecesarias o que generen riesgos injustificados para el auditado.

PRINCIPIO DE CALIDAD

- En caso de que los medios impidan o dificulten la realización de la auditoria deberá negarse a realizarla hasta que se garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios

PRINCIPIO DE CAUTELA

-Sus recomendaciones deben estar basadas en la experiencia.

- Deben estar al corriente del desarrollo de las tecnologías de la información e informar al auditado de su evolución.

- Debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL

- El auditor deberá actuar conforme a las normas implícitas o explícitas de dignidad a la profesión

- Debe cuidar la moderación de la exposición de sus juicios evitando caer en exageraciones o atemorizaciones.

- Debe transmitir una imagen de precisión y exactitud en sus comentarios.

- El comportamiento profesional exige del auditor una seguridad de sus conocimientos técnicos.

- El auditor debe guardar respecto por la política empresarial del auditado.

PRINCIPIO DE CONCENTRACIÓN EN EL TRABAJO

- El auditor deberá evitar que el exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas.

- Deberá calcular las posibles consecuencias de la acumulación de trabajos.

- Evitar la práctica de ahorros de esfuerzos basadas en la reproducción de partes significativas de conclusiones obtenidas de trabajos anteriores.

PRINCIPIO DE CONFIANZA

- El auditor deberá facilitar e incrementar la confianza del auditado en base de una actuación de transparencia de actividad profesional.

- Para que haya confianza se requiere una disposición de dialogo que permite aclarar las dudas por las dos partes.

- Debe adecuar su lenguaje a nivel de comprensión del auditado, si es necesario detallar su explicación.

PRINCIPIO DE CRITERIO PROPIO

- Este  principio esta relacionado con el principio de independencia.

- El auditor deberá actuar con criterio propio y no permitir que este dependa de otros profesionales aún de reconocido prestigio.

- En caso de que aprecie diferencias de criterio con otros profesionales deberá reflejar dichas diferencias dejando de manifiesto su criterio.

PRINCIPIO DE ECONOMÍA

- El auditor deberá proteger los derechos económicos del auditado evitando generar gastos innecesarios.
- Debe procurar evitar retrasos innecesarios en la realización de la auditoría.
- Tener en cuenta la economía de medios materiales o humanos.
- Debe delimitar de forma concretar el alcance y límites de la auditoría.
- Deberá rechazar las ampliaciones de trabajo que no estén directamente relacionados con la auditoría aún a petición del auditado.

PRINCIPIO DE INTEGRIDAD MORAL

- Obliga al auditor

PRINCIPIO DE LEGALIDAD

- El auditor deberá evitar utilizar sus conocimientos para facilitar a los auditados o terceras personas la desobediencia de la legalidad vigente.

PRINCIPIO DE PRECISIÓN

- Relacionado con el principio de calidad

Intraclase #7

Tema: Control Interno

Objetivo: Conocer los tipos de controles informáticos que se deben implementar en una organización, con la finalidad de mantener integridad, confidencialidad y confiabilidad de los datos.

ANTECEDENTES

- La reestructuración de los procesos empresariales

- La gestión de la calidad total

- El rendimiento 

SISTEMA DE CONTROL INTERNO INFORMÁTICO

Controla diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales.

OBJETIVOS PRINCIPALES

- Asesorar sobre el conocimiento de las normas

- Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al grupo

- Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del servicio informático

CLASIFICACIÓN DE LOS OBJETIVOS DEL CONTROL INFORMÁTICO

Controles preventivos:

Un software de seguridad que impida los accesos no autorizados al sistemas.

Ejemplo: Antivirus, Firewall, revisión de los manuales, Acceso físico a las computadoras.

Controles detectivos:

Por ejemplo el registro de intentos no autorizados.
Ejemplo: Un programa de auditoría, para descubrir a posterior errores o fraudes que no haya sido posible evitarlos con controles preventivos.
Controles correctivos:
Facilita la vuelta a la normalidad cuando ha ocurrido un incidente.
Ejemplo: Asesorar sobre el conocimiento de las normas.

ÁREAS Y CONTROLES DE LA AUDITORIA INFORMÁTICA
Controles generales organizativos
Controles de desarrollo, adquisición y mantenimiento de sistemas de información
Controles de explotación de sistemas de información
Controles en aplicaciones
Controles específicos de ciertas tecnologías

ALGUNOS CONTROLES INTERNOS
1.Controles generales organizativos

_Plan Informático
_Plan general de Seguridad
_Plan de contingencia ante desastres
2. Controles de desarrollo y mantenimiento de sistemas de información

Permite alcanzar la eficacia y eficiencia de los datos

3. Controles de explotación de sistemas de información

Tienen que ver con la gestión de los recursos tanto a nivel de planificación

4. Controles en aplicaciones

Toda aplicación debe llevar controles integrados para garantizar la entrada de los datos

Implantación de un Sistema de Control Interno Informático 

´La evaluación de controles de tecnología de la Información exige analizar diversos elementos interdependientes. Por ello es importante conocer bien la configuración del sistema, para poder identificar los elementos, productos, herramientas que existen para saber donde pueden implantarse los controles, así como para identificar los posibles riesgos.

Implantación de un Sistema de Control Interno Informático
Conocer la Configuración del Sistema 

´Entorno de Red.- esquema de la red, descripción de la configuración de hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan las aplicaciones críticas y consideraciones relativas a la seguridad de la red.

´Configuración del Ordenador Base.- Configuración del soporte físico, entorno del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y conjunto datos.

´Entorno de Aplicaciones.- Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.  Productos y Herramientas.- Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.

´Seguridad del Ordenador Base.- Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

Tarea Extraclase #2

MANUAL DEL USUARIO
http://ftp.tekwind.co.jp/pub/asustw/nb/Z93E/s2162_z93_hw.pdf

MANUAL DEL PROGRAMADOR
http://isa.uniovi.es/docencia/TiempoReal/trenes_wq/trenes_files/manual_programador.pdf

MANUAL DE PROCEDIMIENTOS
http://www.utntyh.com/wp-content/uploads/2011/05/ejemplo_manual_procedimientos.pdf

Intraclase #4

Tema: Organización de sistema y auditoria de sistemas.

Objetivo: Analizar la función de la auditoria informática y su estructura organizacional mediante la revisión bibliográfica.

MANUAL DEL USUARIO

Un manual de usuario es un documento de comunicación técnica que busca brindar asistencia a los sujetos que usan un sistema. 

MANUAL DEL PROGRAMADOR

EL manual del programador, también conocido como Manual Técnico o del analista, juega un papel importante dentro del sistema debido a que luego de instalar el sistema y ponerlo en producción, se tiene la ardua tarea de darle mantenimiento para que el sistema continúe siendo operacional.

Tomando en cuenta que las personas que dan mantenimiento al sistema no necesariamente son las mismas personas que lo desarrollaron, es necesario contar con una herramienta o el manual técnico que me permita aprender fácilmente como está integrado el sistema desde el punto de vista técnico, presentando claramente cada uno de los procesos del sistemas y su interrelación para formar el sistema completo. Además de indicar cada uno de los datos o información que se almacena en la base de datos del sistema, sus relaciones y las transformaciones que sufren los datos para convertirse en información.

¿COMO SABER SI ES ÍNTEGRA LA INFORMACIÓN?

Analizar los manuales y realizar un proceso ficticio para comprobar la programación.

El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones debe contar con un perfil que le permita desempeñar su trabajo con la calidad y efectividad esperada.

SOFTWARE LIBRE Y SOFTWARE PRIVATIVO

¿QUE ES?

Un programa informático es software libre si otorga a los usuarios de manera adecuada las denominadas cuatro libertades (libertad de usar, estudiar, distribuir y mejorar). De lo contrario no se trata de software libre.

Se denomina con software propietario​ o privativo​ al software del cual no existe una forma libre de acceso a su código fuente, el cual solo se encuentra a disposición de su desarrollador y no se permite su libre modificación, adaptación o incluso lectura por parte de terceros.

DIFERENCIAS 

1. El software libre es aquel que puede ser distribuido, modificado, copiado y usado;mientras que el software privado se refiere a cualquier programa informático en el que los usuarios tienen limitadas las posibilidades de usarlo, modificarlo o redistribuirlo.
2. El software libre debe venir acompañado del código fuente para hacer efectivas las libertades que lo caracterizan, mientras que el software privativo su código fuente no está disponible o el acceso a éste se encuentra restringido.
3. El software libre esta disponible sin costo mientras que el software privativo es costoso.

SOFTWARE LIBRE

Ventajas

– Existen aplicaciones para todas las plataformas (Linux, Windows, Mac Os ).

– El precio de las aplicaciones es mucho menor, la mayoría de las veces son gratuitas.

– Libertad de copia.

– Libertad de modificación y mejora.

– Libertad de uso con cualquier fin.

– Libertad de redistribución.

– Facilidad a la hora de traducir una aplicación en varios idiomas.

– Mayor seguridad y fiabilidad.

– El usuario no depende del autor del software.

Inconvenientes

– Algunas aplicaciones ( bajo Linux ) pueden llegar a ser algo complicadas de instalar.

– Inexistencia de garantía por parte del autor.

– Interfaces gráficas menos amigables.

– Poca estabilidad y flexibilidad en el campo de multimedia y juegos.

– Menor compatibilidad con el hardware.

SOFTWARE PROPIETARIO

Ventajas

– Facilidad de adquisición ( puede venir preinstalado con la compra del pc, o encontrarlo fácilmente en las tiendas ).

– Existencia de programas diseñados específicamente para desarrollar una tarea.

– Las empresas que desarrollan este tipo de software son por lo general grandes y pueden dedicar muchos recursos, sobretodo económicos, en el desarrollo e investigación.

– Interfaces gráficas mejor diseñadas.

– Más compatibilidad en el terreno de multimedia y juegos.

– Mayor compatibilidad con el hardware.

Inconvenientes

– No existen aplicaciones para todas las plataformas ( Windows y Mac OS ).

– Imposibilidad de copia.

– Imposibilidad de modificación.

– Restricciones en el uso ( marcadas por la licencia).

– Imposibilidad de redistribución.

– Por lo general suelen ser menos seguras.

– El coste de las aplicaciones es mayor.

– El soporte de la aplicación es exclusivo del propietario.

– El usuario que adquiere software propietario depende al 100% de la empresa propietaria.

DEONTOLOGÍA DEL AUDITOR INFORMÁTICO

Rol social

El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas detectados en el sistema informático de esta última.

Código Deontológico

Es el conjunto de preceptos que establecen los derechos exigibles a aquellos profesionales que ejerciten una determinada actividad.

PRINCIPIOS DEONTOLÓGICOS APLICACABLES A LOS AUDITORES INFORMÁTICOS:

PRINCIPIO DE BENEFICIO DEL AUDITADO

—La actividad del auditor debe estar en todo momento orientada a orientar el máximo provecho de su cliente.

PRINCIPIO DE CALIDAD

_En caso de que los medios impidan o dificulten la realización de la auditoria deberá negarse a  realizarla hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios.

PRINCIPIO DE CAPACIDAD

—El auditor debe estar plenamente capacitado para la realización de la auditoria.

PRINCIPIO DE CAUTELA

_Sus recomendaciones deben estar basadas en la experiencia.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL

—El auditor deberá actuar conforme a las normas implícitas o explicitas de dignidad de la profesión.

PRINCIPIO DE CONCENTRACIÓN EN EL TRABAJO

_El auditor deberá evitar que el exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas.

PRINCIPIO DE CONFIANZA

_El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia en su actividad profesional.

PRINCIPIO DE CRITERIO PROPIO

_El auditor deberá actuar con criterio propio y no permitir que este dependa de otros profesionales aún de reconocido prestigio.

PRINCIPIO DE ECONOMÍA

—El auditor deberá proteger los derechos económicos del auditado evitando generar  gastos innecesarios.

FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN

_Deberá cuidar del reconocimiento del valor de su trabajo.

PRINCIPIO DE INTEGRIDAD MORAL

_Obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión.

PRINCIPIO DE LEGALIDAD

_El auditor deberá evitar utilizar sus conocimientos  para facilitar a los auditados o terceras personas  la desobediencia de la legalidad vigente.

PRINCIPIO DE PRECISIÓN

_Relacionado con el principio de calidad exige al auditor la no conclusión de su trabajo hasta estar convencido.

PRINCIPIO DE RESPONSABILIDAD

_El auditor debe responsabilizarse de lo que haga, diga o aconseje.

PRINCIPIO DE SECRETO PROFESIONAL

PRINCIPIO DE VERACIDAD

Intraclase# 3

Tema: La Auditoría Informática y su entorno

Objetivo: Identificar los requerimientos y caracterización de un auditor informático mediante la definición de sus características.

Características del auditor informático

1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. En el área informática, se debe tener conocimientos básicos de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones, Administración de Bases de Datos, Redes locales, Seguridad física, Administración de Datos, Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc.

2) Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial.

3) Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.

4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.

Requerimientos de un auditor informático

Entendimiento global e integral del negocio, de sus puntos clave y áreas críticas.

Entendimiento del efecto de los sistemas en la organización.

Entendimiento de los objetivos de la auditoría.

Conocimiento de los recursos de computación de la empresa.

Conocimiento de los proyectos de sistemas.

Responsabilidades de un auditor informático

–Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.

–Análisis de la administración de Sistemas de Información, desde un punto de vista de

riesgo de seguridad, efectividad de la administración.

–Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de

aplicaciones.

Cuidados que se deben tener en un centro de cómputo o laboratorio de computación.

1.  No está permitido beber o comer mientras está trabajando, ya que los residuos pueden caer y estropear el hardware.

2. Está prohibido realizar cambios de hardware (mouse, teclados, monitores, etc) entre los equipos del laboratorio.

3. No borrar la información del equipo sin autorización.

4. No apagar los equipos de forma abrupta o desenchufar algunas partes del mismo sin autorización, ya que se pueden dañar.

5.No instalar software sin previa autorización.

6. No manipular los cables sin previa autorización.