TEMARIO DE AUDITORIA INFORMATICA Unidad 1 Introduccin a la auditoria informtica 1.

1 Conceptos Auditoria y Auditoria Informatica AUDITORIA: La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas independientes del sistema auditado. AUDITORIA INFORMATICA: La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. AUDITAR: Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los objetivos de la auditora Informtica son: * El control de la funcin informtica * El anlisis de la eficiencia de los Sistemas Informticos * La verificacin del cumplimiento de la Normativa en este mbito * La revisin de la eficaz gestin de los recursos informticos. La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad

1.2 Tipos de Auditoria AUDITORIA OPERACIONAL: Es la valoracion independiente de todas las operaciones de una empresa, en forma anlitica objetiva y sistematica, para determinar si se lleva a cabo politicas y procedimientos aceptables

AUDITORIA ADMINISTRATIVA: es un examen completo y constructivo de la estructura organizativa de la empresa, institucion o departemento gubernamental o de cualquier otra entidad y de sus metodos de control, medios de operacin y empleo que de a sus recursos humanos y materiales. AUDITORIA INTEGRAL: Es la evaluacion multidisciplinaria, independiente y con enfoque de sistemas del grado y forma de cumplimientos de los objetivos de una organizacin. AUDITORIA FINANCIERA: Consiste en una revisin exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador publico AUDITORIA DE OPERACIONES: Se define como una tcnica para evaluar sistemticamente de una funcion o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el area de estudio, con el objeto de asegurar a la administracin, que sus objetivos se cumplan, y determinar que condiciones pueden mejorarse. AUDITORIA FISCAL: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales AUDITORIA DE RESULTADOS DE PROGRAMAS: Esta auditoria la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas establecidas, en relacion con el avance del ejercicio presupuestal. AUDITORIA DE LEGALIDAD: Este tipo de auditoria tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades, ha observado el cumplimiento de disposiciones legales que sean aplicables

1.2.1 Auditoria Interna y Externa AUDITORIA EXTERNA: es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma. La Auditora Externa o Independiente tiene por objeto averiguar

la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. AUDITORIA INTERNA: Es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica. Diferencias entre auditoria interna y externa: Existen diferencias substanciales entre la Auditora Interna y la Auditora Externa, algunas de las cuales se pueden detallar as: En la Auditora Interna existe un vnculo laboral entre el auditor y la empresa, mientras que en la Auditora Externa la relacin es de tipo civil. En la Auditora Interna el diagnstico del auditor, esta destinado para la empresa; en el caso de la Auditora Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa. La Auditora Interna est inhabilitada para dar Fe Pblica, debido a su vinculacin contractual laboral, mientras la Auditora Externa tiene la facultad legal de dar Fe Pblica. 1.2 Campo de Auditoria Informatica INVESTIGACION CIENTIFICA Y HUMANISTICA: Se usan la las computadoras para la resolucin de de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones: Resolucin de ecuaciones. Anlisis de datos de medidas experimentales, encuestas etc. Anlisis automticos de textos

APLICACIONES TECNICAS: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones: Anlisis y diseo de circuitos de computadora. Clculo de estructuras en obras de ingeniera. Minera. Cartografa. DOCUMENTACION E INFORMACION: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Ejemplos de este campo de aplicacin son: Documentacin cientfica y tcnica. Archivos automatizados de bibliotecas. Bases de datos jurdicas. GESTION ADMINISTRATIVA: Automatiza las funciones de gestin tpicas de una empresa. Existen programas que realizan las siguientes actividades: Contabilidad. Facturacin. Control de existencias. Nminas. INTELIGENCIA ARTIFICIAL: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Aplicaciones como: Reconocimiento del lenguaje natural.

Programas de juego complejos (ajedrez). 1.3 Control Interno El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados. En el ambiente informtico, el control interno se materializa fundamentalmente en controles de dos tipos: CONTROLES MANUALES: aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin de herramientas computacionales. CONTROLES AUTOMATICOS: son generalmente los incorporados en el software, llmense estos de operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc. Los controles segn su finalidad se clasifican en: CONTROLES PREVENTIVOS: para tratar de evitar la produccin de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. CONTROLES DETECTIVOS: trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. CONTROLES CORRECTIVOS: tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. Objetivos principales: Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas

 Colaborar y apoyar el trabajo de Auditora Informtica interna/externa CONTROL INTERNO INFORMATICO: es una funcin del departamento de Informtica de una organizacin, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de informacin automatizados se realicen cumpliendo las normas, estndares, procedimientos y disposiciones legales establecidas interna y externamente. Entre sus funciones especficas estn: Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al personal de programadores, tcnicos y operadores. Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en los siguientes aspectos: Desarrollo y mantenimiento del software de aplicacin. Explotacin de servidores principales Software de Base Redes de Computacin Seguridad Informtica 1.4 Modelos Control Utilizados en Auditoria Informatica La auditoria informtica se crea con el fin de encontrar fallos en las estructurales y vulnerabilidad en el area de informatica 1.5 Principio Aplicados Auditores Informaticos PRINCIPIO DE BENEFICIADO DE AUDITADO: El auditor deber ver como se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico de esta ltima

PRINCIPIO DE CALIDAD: En el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en el que la precariedad de medios puestos a su disposicin impidan o dificulten seriamente la realizacin de la auditora, deber segarse a realizarla hasta que se garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes. PRINCIPIO DE CAPACIDAD: l auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditora evitando que una sobreestimacin personal pudiera provocar el incumplimiento parcial o total de la misma. Conviene indicar que en los casos de producirse, por el contrario, una subestimacin de su capacidad de su capacidad profesional, esta circunstancia podra afectar negativamente en la confianza del auditado sobre el resultado final de la auditora. PRINCIPIO DE COMPORTAMIENTO PROFESIONAL: El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. Para ello deber cuidar la moderacin en la exposicin de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisin y exactitud en sus comentarios. El comportamiento profesional exige del auditor una seguridad en sus conocimientos tcnicos y una clara percepcin de sus carencias, debiendo eludir las injerencias no solicitadas por l, de profesionales de otras reas, en temas relacionadas o que puedan incidir en el resultado da la auditora. PRINCIPIO DE CONCENTRACION EN EL TRABAJO: En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est

debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad.

PRINCIPIO DE CONFIANZA: El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. Este principio requiere mismismo, por parte del auditor, el mantener una confianza en las indicaciones del auditado aceptndolas sin reservas como vlidas. PRINCIPIO DE CRITERIO PROPIO: El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. Este principio exige asimismo del auditor una actitud cuasibeligerante en los casos en que llegue al convencimiento de que la actividad que se solicita, presuntamente para evaluar y mejorar un sistema informtico, tiene otra finalidad ajena a la auditora.
PRINCIPIO DE DISCRECIN El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria PRINCIPIO DE ECONOMA El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. PRINCIPIO DE FORMACIN CONTINUADA Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias.

PRINCIPIO DE INDEPENDENCIA Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender. PRINCIPIO DE INFORMACIN SUFICIENTE Este principio obliga al auditor a ser plenamente consciente de su obligacin de aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algn inters para el, como sobre las conclusiones a las que a llegado. PRINCIPIO DE INTEGRIDAD MORAL Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y a evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupcin personal o de terceras personas. PRINCIPIO DE LEGALIDAD La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo. PRINCIPIO DE LIBRE COMPETENCIA La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legitima competencia de otros profesionales y las prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones predominantes. PRINCIPIO DE NO DISCRIMINACIN El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia, su actuacin deber mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse.

PRINCIPIO DE NO INJERENCIA El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificacin profesional. PRINCIPIO DE PRECISIN Este principio estrechamente relacionado con el principio de calidad exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas , debiendo ampliar sus estudios de ser necesario. PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promocin de los servicios de auditoria debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la tica profesional la difusin de publicidad falsa o engaosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios. PRINCIPIO DE RESPONSABILIDAD El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. Si bien este principio aparentemente puede resultar gravoso en auditorias de gran complejidad es preciso tenerlo presente a fin de poder garantizar su responsabilidad en los casos en que, debido a errores humanos durante la ejecucin de la auditoria, se produzcan daos a su cliente que le pudieran ser imputados. PRINCIPIO DE SECRETO PROFESIONAL La confidencia y confianza con caractersticas esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin. PRINCIPIO DE SERVICIO PUBLICO La aplicacin de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales. PRINCIPIO DE VERACIDAD El Auditor en sus comunicaciones con el auditado debera tener siempre presente la obligacion de asegurar la veracidad

de sus manifestaciones con los limites impuestos por los deberes de respeto, correccion, y secreto profesional.

1.6 Responsabilidades De Administradores Y Auditor

Unidad 2 Planeacin de la auditoria Informtica 2.1 Fases Auditoria Informatica 2.1.1 Planeacion Auditoria Informatica 2.1.2 Revision Preliminar Auditoria Informatica 2.1.3 Revision Detallada Auditoria Informatica 2.1.4 Examen Evaluacion Informacion 2.1.5 Pruebas Controles de Usuario 2.1.6 Pruebas Sustantivas 2.2 Evaluacion Sistemas de Acuerdo al Riesgo 2.3 Investigacion Preliminar Auditoria Informatica 2.4 Personal Participante Auditoria Informatica Unidad 3 Auditoria de la funcin informtica 3.1 Recopilacion Informacion Organizacional 3.2 Evaluacion Recursos Humanos 3.3 Entrevistas con Personal Informatica

3.4 Situacion Presupuestal y Financiera Auditoria Informatica 3.4.1 Presupuestos Auditoria Informatica 3.4.2 Recursos Financieros y Materiales Auditoria Informatica Unidad 4 Evaluacin de la seguridad 4.1 Generalidades de Seguridad Area Fisica 4.2 Seguridad Logica y Confidencial 4.3 Seguridad Personal 4.4 Clasificacion Controles de Seguridad 4.5 Seguridad de Datos y Software de Aplicacion 4.6 Controles para Evaluar Software de Aplicacion 4.7 Controles Para Prevenir Crmenes Y Fraudes Informaticos 4.8 Plan de Contingencia Seguros procedimientos de recuperacion de desastres 4.9 Tecnicas Herramientas Relacionadas con Seguridad Fisica y del personal 4.10 Tacnicas y Herramientas Relacionadas con Seguridad de Datos y software de aplicacion Unidad 5 Auditoria de la seguridad en la teleinformtica 5.1 Generalidades Seguridad Area Teleinformatica 5.2 Objetivos Criterios de Auditoria Area Teleinformtica 5.3 Sintomas de Riesgo Teleinformatica

5.4 Tecnicas y Herramientas Auditoria Relacionadas con Seguridad Teleinformtica Unidad 6 Informe de la auditoria informtica 6.1 Generalidades de Seguridad Area Fisica 6.2 Caracteristicas del informe 6.3 Estructura del informe 6.4 Formato para el informe