Actividad del Foro Grupal

 Presenta:

 Nefer Adriana Rodríguez ID 597206

Ximena Aroca Rivera ID 631012

     Katherine Medina Mora ID 479895 

Edith Rocío Rojas Galindo ID 644003

Docente: 

Lina Yineth Yara Triana

NRC 25574

Asignatura

Auditoria de Sistemas

Ibagué Tolima                                                                                     15 de febrero de 2021

 • ¿QUÉ ES LA AUDITORIA DE SISTEMAS DE INFORMACIÓN?

La naturaleza especializada de la auditoria de los sistemas de información y las habilidades

necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la

promulgación de Normas Generales para la auditoria de los Sistemas de Información.

La auditoría de los sistemas de información se define como cualquier auditoria que abarca

la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los

sistemas automáticos de procesamiento de la información, incluidos los procedimientos no

automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie

de pasos previos que permitirán dimensionar el tamaño y características de área dentro del

organismo a auditar, sus sistemas, organización y equipo.

A continuación, la descripción de los dos principales objetivos de una auditoria de sistemas,

que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con

controles, tipos y seguridad.

• ¿CONSIDERA QUE UN C.P. PUEDE SER AUDITOR DE SISTEMAS?

Esta formación personal, académica y profesional que el contador público obtiene,

proporciona el perfil necesario para afrontar con capacidad, niveles de dirección en las

organizaciones, obtenida principalmente por su entrenamiento en auditoría, que lo hacen

despertar hacia un entorno con mayor visión y de manera integral, propia de la gestión

gerencial.

Por lo tanto, la cultura contable, pero más aún la cultura de auditoría, identifica plenamente

el proceso de actuación, en donde la planeación, la organización, la dirección y el control,

desempeñan un papel predominante, que hace del contador y el auditor, profesionales

ordenados, sistemáticos y minuciosos sobre sus labores y de acuerdo a las funciones.

• ¿CUÁL ES EL PERFIL DE UN AUDITOR DE SISTEMAS?

Lógicamente, los conocimientos y habilidades que debe poseer un auditor que desarrolla su

actividad en el siglo XXI deben ser superiores y diferentes a los que poseían aquellos cuya

labor transcurría a mediados del siglo XX. En el primer caso los conocimientos de

informática desempeñan un papel cada vez más importante, comparado prácticamente con

el de la contabilidad, las finanzas o la legislación relacionada con la actividad empresarial,

comercial, entre otras. A continuación, se expondrá un conjunto de aspectos que un auditor

contemporáneo debe dominar para poder realizar las funciones anteriormente descritas.

 INFORMÁTICA BÁSICA:

- Sistemas operativos de las máquinas utilizadas en la entidad que debe auditar.

Conocimientos generales sobre hardware de las máquinas existentes en la entidad.

- Programas utilitarios del sistema operativo.

- Procesadores de textos, hojas electrónicas, gestores de bases de da- tos, grafica dores para

exposiciones, etc.

- Conocimientos básicos generales sobre la teoría básica de la computación: arquitectura de

las computadoras, estructura y formatos de los archivos, etc.

- Aspectos culturales generales sobre informática y redes de comunicación basadas en

computadoras.
  PROGRAMACIÓN DE COMPUTADORAS:

- Técnicas de programación básicas (paradigmas básicos: estructurados y orientación a

objetos).

-Lenguajes más conocidos y utilizados en la entidad.

 BASES DE DATOS:

-Conceptos y definiciones básicas sobre bases de datos.

-Modelos fundamentales en la actualidad: relacional, orientados a objetos e hipertextos.

- Características de los gestores de bases de datos empleados en la entidad.

- Administración de bases de datos: funciones, responsabilidades.

- Protección y seguridad de la información en las bases de datos.

 REDES DE COMPUTADORAS:

- Conceptos y definiciones generales.

- Arquitecturas básicas y sus características.

-Sistemas operativos de redes empleados en la entidad.

-Protección y seguridad de la información en la red.

 TECNOLOGÍA DE DISEÑO Y ELABORACIÓN DE SISTEMAS:

- Concepto de sistemas de información y otras definiciones.

- Diseño de entradas y salidas de información (sobre papel o sobre pantalla).

- Diseño de procesos automatizados. + Diseño de procedimientos manuales.

- Elaboración de manuales de operación.

-Metodología de trabajo utilizada (Paradigmas básicos: estructurados u orientados a

objeto). Normas de trabajo.

-Diseño de controles informáticos.

 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN EN AMBIENTES

INFORMATIZADOS:

- Seguridad y protección física, organizativo-administrativa, por soft- ware, por instalación

de equipos y dispositivos, por construcción y remodelación de locales, mediante medidas

educativas y culturales, legales, entre otros.

- Actuación contra virus informáticos y otros ataques.

- Elaboración de planes de seguridad y protección y de contingencias ante catástrofes.

 TÉCNICAS CRIPTOGRÁFICAS:

-Conceptos básicos: encriptación y des encriptación.

-Métodos generales.

- Software especializado.

 INTERNET Y REDES GLOBALES DE COMUNICACIÓN:

- Internet y sus servicios.

- Navegadores, portales y otros softwares especializados.

 TÉCNICAS DE AUDITORÍA ASISTIDA POR COMPUTADORA:

- Métodos existentes y sus características.

- Software general y específico.

 COMERCIO ELECTRÓNICO:

- Definiciones generales. Modalidades.

- Problemas de seguridad y protección de la documentación electrónica en el ciberespacio.

- Firmas electrónicas.

- Organizaciones normativas.

Blanco Encinosa, L. J. (2008). Auditoría y sistemas informáticos. La Habana, Cuba:

Editorial Félix Varela. Recuperado de https://elibro.net/en/ereader/uniminuto/71229?

page=42.

• ¿PORQUE EL C.P. DEBE CONOCER SOBRE SISTEMAS DE

INFORMACIÓN Y TENER LA CAPACIDAD DE AUDITARLO?

El componente de la tecnología de la información que debe integrarse en los contenidos de

los programas de formación profesional en Contaduría debe incluir un conocimiento

general y de control de las tecnologías de la información y desarrollarse competencias en el

control y uso de dichas tecnologías. Además, también se debe incluir una mezcla de las

competencias correspondientes a las funciones gerenciales, de evaluación y de diseño de

los sistemas de información.

¿Porque?:

Elaborar reportes financieros, administración y management, tributación, aseguramiento y

auditoría, gobierno corporativo, gestión de riesgos, control interno, normatividad y

regulaciones, economía, estrategias de negocios y tecnologías de información.

• ¿CUÁL ES LA IMPORTANCIA DE LA AUDITORIA DE SISTEMAS EN EL

ÁMBITO EMPRESARIAL O CORPORATIVO?

Contar con una auditoría de sistemas, es esencial en estos tiempos para cualquier empresa,

tanto si tiene centrada su actividad principal en la red, o si ofrece sus servicios en un ámbito

local. Cualquier estructura empresarial, por muy simple que parezca, precisa de un plan de

acción que una auditoría de sistemas, puede ofrecer. Recurrir a ellas, puede evitar muchos

problemas que pueden dañar enormemente la reputación de esta entre sus clientes.

• ¿QUÉ TIPOS DE AUDITORIA DE S.I. EXISTEN?

•  Al ciclo de vida de sistemas

•  A un sistema en operación

•  A controles generales del computador

•  A la administración de la función informática

•  Auditoría a las microcomputadoras aisladas

•  Auditoría de redes

• ¿Quiénes deben conformar el equipo de auditoria de sistemas?

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar

con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a

auditar, sería casi imposible obtener información en el momento y con las características

deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento

que se solicite información o bien se efectúe alguna entrevista de comprobación de

hipótesis, nos proporcionen aquello que se está solicitando, y complementen el grupo

multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de

informática, sino también el del usuario del sistema.

• Experiencia en el área de informática.

• Experiencia en operación y análisis de sistemas.

• Conocimientos de los sistemas más importantes.

• En caso de sistemas complejos se deberá contar con personal con conocimientos y

experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no

significa que una sola persona tenga los conocimientos y experiencias señaladas,

pero si deben intervenir una o varias personas con las características apuntadas.

• ¿QUÉ ES UN SGSI?

SGSI es el diseño, implantación y mantenimiento de un conjunto de procesos para gestionar

eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad,

integridad y disponibilidad de los activos de información minimizando a la vez los riesgos

de seguridad de la información.

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de

políticas de administración de la información. El término se denomina en inglés

 “Information Security Management System” (ISMS). El término SGSI es utilizado

principalmente por la ISO/IEC 27001, que es un estándar internacional aprobado en

octubre de 2005 por la International Organization for Standardization y por la comisión

International Electrotechnical Commission.

• ¿CUÁL ES EL OBJETIVO DE LA IMPLEMENTACIÓN DE UN SGSI?

La seguridad de la información en la Coordinación General de Tecnologías de Información

(CGTI) tiene como objetivo establecer y mantener un ambiente razonablemente seguro

alineado a su misión, de manera tal que permita proteger sus activos de información, así

como el adecuado uso de los recursos y de la gestión del riesgo, con el fin de asegurar la

disponibilidad, integridad y confidencialidad de la información que administra, así como la

continuidad de los servicios tecnológicos que brindan a la institución.

• ¿CUÁLES SON LOS PILARES DE UN SGSI?

El SGSI se basa en tres pilares fundamentales:

 Confidencialidad: es la garantía de acceso a la información de los usuarios que se

encuentran autorizados para tal fin.

 Integridad: es la preservación de la información completa y exacta.

 Disponibilidad: es la garantía de que el usuario accede a la información que necesita en

ese preciso momento.

• ¿QUE ASPECTOS ABORDA UN SGSI?

La gestión de la seguridad de la información debe realizarse mediante un proceso

sistemático, documentado y conocido por toda la organización. Este proceso es el que

constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida

como ISO 9001, como el sistema de calidad para la seguridad de la información.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de

disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad

de la información es, por tanto, garantizar que los riesgos de la seguridad de la información

sean conocidos, asumidos, gestionados y minimizados por la organización de una forma

documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se

produzcan en los riesgos, el entorno y las tecnologías

• ¿CUALES SON LOS DELITOS INFORMÁTICOS MÁS COMUNES?

Estafa

Este tipo de delito se comete a través del robo de identidad. Los criminales utilizan

técnicas como el spam, webs falsas o softwares ilegales para engañar a las víctimas y

robarles las contraseñas o claves personales. De esta manera, acceden a información

confidencial. Un ejemplo de ello es el acceso a datos bancarios.

Hackeo

Este delito se considera muy grave, ya que el hacker intenta obtener acceso a cuentas

personales con la ayuda de un ordenador. Con ello consigue robar información

confidencial y puede llegar afectar a los negocios de una empresa.

Acoso
Mucha actividad en internet es anónima y uno de los delitos más comunes es el acoso,

afectando sobre todo a los adolescentes. Por ejemplo, se recomienda que no acepten a

personas desconocidas en sus redes sociales. Si el acoso se vuelve una amenaza, se

pueden tomar acciones legales.

Este tipo de delito se comete a través del robo de identidad. Los criminales utilizan

técnicas como el spam, webs falsas o softwares ilegales para engañar a las víctimas y

robarles las contraseñas o claves personales. De esta manera, acceden a información

confidencial. Un ejemplo de ello es el acceso a datos bancarios.

Suplantación de identidad

Relacionado con lo anterior, la suplantación de identidad sucede cuando la estafa tiene

éxito y el criminal obtiene acceso a la información personal. Una vez obtenida, el

criminal puede realizar compras, llegando a arruinar a la víctima, o hacerse pasar por la

persona a quien ha robado los datos.

Extorsión

Este delito sucede cuando alguien utiliza internet para extorsionar dinero a una persona o

empresa. La extorsión se comete de distintas formas. Por ejemplo, el criminal puede

tener acceso a información personal y amenazar con exponerla a menos que pague cierta

cantidad de dinero a cambio. Los delincuentes también pueden llevar a cabo algún tipo

de ataque cibernético para luego exigir un pago para detenerlo. Por este motivo, es muy

importante tener un antivirus y proteger las cuentas bancarias y personales con

contraseñas de alta dificultad.

 • EN CASOS DE FRAUDES CORPORATIVOS… ¿QUÉ FALLÓ? ¿QUÉ
CONTROLES IMPLEMENTARÍAN A FUTURO?

Los diez casos más importantes de fraude financiero, el importe, la fecha, lugar y el sector:

Según se observa en el gráfico superior, asciende a 176.000 millones de euros los 10

fraudes fiscales:

1. Los balances falsificados de la empresa energética Enron, ascendían a casi 56.000

millones de euros. Es considerado como el mayor fraude corporativo en la historia

de los Estados Unidos.

2. Uno de los acreedores de Enron en 2001, fue Lehman Brothers. El banco recibió

una compensación de 195 millones de euros antes de que quebrara en 2008.

3. Como resultado de la crisis financiera, el FBI descubrió el fraude sistemático de

Bernard Madoff, presidente de la bolsa de valores automatizada y electrónica

NASDAQ. Durante más de 50 años administró un fondo de inversión basado en un

sistema Ponzi ilegal, una forma de fraude que atrae a los inversores a pagar

beneficios a los inversores anteriores con fondos de inversiones más recientes.

Consiguió malversar más de 44.000 millones de euros. La corte suiza estima que en

2009 alrededor de 3 millones de personas en todo el mundo se vieron directa o

indirectamente afectadas por el fraude de Madoff.

4. La empresa financiera MF Global se declaró en quiebra en 2011 tras salir a la luz

que habían estado mezclando fondos propios y de sus clientes para realizar

transferencias y préstamos ilícitos. El importe defraudado alcanzó los 36.000

millones de euros.

5. El escándalo financiero de la empresa de servicios s Cendant, se convirtió en el

mayor fraude de los años 90, con casi 17.000 millones de euros.

6. El empleado del banco francés Société Générale, Jérome Kerviel, causó una pérdida

de 6.170 millones de euros en transacciones especulativas. Kerviel había estado

negociando de forma ilícita anticipándose a la caída de los precios del mercado.

7. Los cargos contra el ex Director General de WorldCom, Bernard Ebbes, fueron un

fraude de valores, conspiración y siete informes falsos ante los reguladores. En

2005, fue condenado a 25 años de prisión.

8. En la década de 1990, Yasuo Hamanaka manipuló el mercado del cobre con

compras ficticias para ocultar las pérdidas de su departamento en Sumitomo, una

empresa de cableado eléctrico y fabricación de fibra óptica. Cuando se descubrió el

caso en 1996, las pérdidas ascendían a 2.290 millones de euros.

9. El fundador de la empresa alemana Flowtex, Manfred Schmider, vendió unos 3.000

instrumentos de perforación especiales que sólo existían sobre papel. La pérdida

ascendió a 1.990 millones de euros. Fue condenado a 14 meses de prisión en Suiza.

10. El banco Credit Suisse había gestionado préstamos y ventas de bonos para

Mozambique que ascendían a 1.760 millones de euros. El 1 de marzo de 2019, el

Fiscal General de Mozambique presentó una demanda contra Credit Suisse ante un

tribunal de Londres.
 BIBLIOGRAFIA WEB

http://www.ebooks7-24.com.ezproxy.uniminuto.edu/stage.aspx?il=5032&pg=&ed=

http://posgrado.pbworks.com/f/Auditor%C3%ADas.pdf

https://www.auditool.org/blog/auditoria-externa/4251-la-auditoria-y-el-contador-publico

https://actualicese.com/tecnologias-de-la-informacion-que-debe-dominar-el-contador-publico/

https://www.isotools.org/2016/02/16/descubre-que-es-un-sgsi-y-cuales-son-sus-elementos-

esenciales/#:~:text=Un%20SGSI%20se%20enfoca%20sobre,%2C%20por%20tanto%2C

%20soluciones%20distintas.