La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORÍA DE SISTEMAS. CAPÍTULO 1 INTRODUCCIÓN CONCEPTO DE AUDITORÍA EN EL COMÚN DE LAS PERSONAS EXISTE UNA GRAN DISTORSIÓN SOBRE LA CONCEPTUALIZACIÓN.

Publicada porElisa Quiroga Montoya Modificado hace 8 años

Presentaciones similares

Presentación del tema: "AUDITORÍA DE SISTEMAS. CAPÍTULO 1 INTRODUCCIÓN CONCEPTO DE AUDITORÍA EN EL COMÚN DE LAS PERSONAS EXISTE UNA GRAN DISTORSIÓN SOBRE LA CONCEPTUALIZACIÓN."— Transcripción de la presentación:

1 AUDITORÍA DE SISTEMAS

2 CAPÍTULO 1 INTRODUCCIÓN

3 CONCEPTO DE AUDITORÍA EN EL COMÚN DE LAS PERSONAS EXISTE UNA GRAN DISTORSIÓN SOBRE LA CONCEPTUALIZACIÓN DE LA AUDITORÍA, EN RAZÓN DE QUE MUCHAS VECES EL EJERCICIO DE LA MISMA SE HA CEÑIDO AL MODELO TRADICIONAL, A CONTINUACIÓN SE ANALIZAN ALGUNAS DE LAS DEFINICIONES DE LOS DIFERENTES TRATADISTAS DE AUDITORÍA QUE SE ENCUENTRAN EN LA LITERATURA PROFESIONAL CONTABLE. WILLIAM THOMAS PORTER Y JOHN C. BURTON DEFINEN LA AUDITORÍA COMO EL EXAMEN DE LA INFORMACIÓN POR UNA TERCERA PERSONA DISTINTA DE QUIEN LA PREPARÓ Y DEL USUARIO, CON LA INTENCIÓN DE ESTABLECER SU VERACIDAD; Y EL DAR A CONOCER LOS RESULTADOS DE ESTE EXAMEN, CON LA FINALIDAD DE AUMENTAR LA UTILIDAD DE TAL INFORMACIÓN PARA EL USUARIO.. [PORTER,1983] EL INSTITUTO NORTEAMERICANO DE CONTADORES PÚBLICOS (AICPA), TIENE COMO DEFINICIÓN DE AUDITORÍA LA SIGUIENTE: UN EXAMEN QUE PRETENDE SERVIR DE BASE PARA EXPRESAR UNA OPINIÓN SOBRE LA RAZONABILIDAD, CONSISTENCIA Y APEGO A LOS PRINCIPIOS DE CONTABILIDAD GENERALMENTE ACEPTADOS, DE ESTADOS FINANCIEROS PREPARADOS POR UNA EMPRESA O POR OTRA ENTIDAD PARA SU PRESENTACIÓN AL PÚBLICO O A OTRAS PARTES INTERESADAS. [AICPA,1983]

4 LA ANTERIOR DEFINICIÓN AUNQUE ES DE LAS MÁS UTILIZADAS, PUEDE SER CONSIDERADA COMO MUY SECTORIZADA, PUES NO COMPRENDE EN MANERA ALGUNA TODA LA GAMA DE AUDITORÍAS EXISTENTES Y LAS QUE SE DESARROLLARÁN EN EL FUTURO Y SE QUEDA LIMITADA SOLAMENTE A LA AUDITORÍA DE LOS ESTADOS FINANCIEROS. LA "AMERICAN ACCOUNTING ASSOCIATION" [AAS, 1972] CON UN CRITERIO MÁS AMPLIO Y MODERNO DEFINE EN FORMA GENERAL LA AUDITORÍA IDENTIFICÁNDOLA COMO UN PROCESO DE LA SIGUIENTE MANERA: LA AUDITORÍA ES UN PROCESO SISTEMÁTICO PARA OBTENER Y EVALUAR DE MANERA OBJETIVA LAS EVIDENCIAS RELACIONADAS CON INFORMES SOBRE ACTIVIDADES ECONÓMICAS Y OTROS ACONTECIMIENTOS RELACIONADOS. EL FIN DEL PROCESO CONSISTE EN DETERMINAR EL GRADO DE CORRESPONDENCIA DEL CONTENIDO INFORMATIVO CON LAS EVIDENCIAS QUE LE DIERON ORIGEN, ASÍ COMO DETERMINAR SI DICHOS INFORMES SE HAN ELABORADO OBSERVANDO PRINCIPIOS ESTABLECIDOS PARA EL CASO.

5 LA GUÍA INTERNACIONAL DE AUDITORÍA NO. 3 [IFAC,1983] PRINCIPIOS BÁSICOS QUE RIGEN UNA AUDITORÍA, ESTABLECE (PÁRRAFOS 2 4): UNA AUDITORÍA ES EL EXAMEN INDEPENDIENTE DE LA INFORMACIÓN DE CUALQUIER ENTIDAD, YA SEA LUCRATIVA O NO, NO IMPORTANDO SU TAMAÑO O FORMA LEGAL, CUANDO TAL EXAMEN SE LLEVA A CABO CON OBJETO DE EXPRESAR UNA OPINIÓN SOBRE DICHA INFORMACIÓN. EL CUMPLIMIENTO DE LOS PRINCIPIOS BÁSICOS REQUIERE LA APLICACIÓN DE PROCEDIMIENTOS DE AUDITORÍA Y PRONUNCIAMIENTOS SOBRE DICTAMEN, ADECUADOS A LAS CIRCUNSTANCIAS PARTICULARES. UTILIZANDO LAS ANTERIORES DEFINICIONES, LA AUDITORÍA PUEDE CONCEPTUALIZARSE ENTONCES COMO EL PROCESO QUE CONSISTE EN EL EXAMEN CRÍTICO, SISTEMÁTICO Y REPRESENTATIVO DEL SISTEMA DE INFORMACIÓN DE UNA EMPRESA O PARTE DE ELLA, REALIZADO POR UN EXPERTO CON INDEPENDENCIA Y UTILIZANDO TÉCNICAS DETERMINADAS, CON EL PROPÓSITO DE EMITIR UNA OPINIÓN PROFESIONAL SOBRE LA MISMA, QUE PERMITAN LA ADECUADA TOMA DE DECISIONES Y BRINDAR RECOMENDACIONES QUE MEJOREN EL SISTEMA EXAMINADO

6 TIPOS DE AUDITORÍA DE ACUERDO A LA CONCEPTUALIZACIÓN MODERNA, SE PUEDE LLEGAR A AFIRMAR QUE LA AUDITORÍA ES UNA SOLA Y QUE ESTA PUEDE CLASIFICARSE TENIENDO COMO REFERENCIA LA MANERA DE EJERCERLA Y EL ÁREA O SISTEMA DE INFORMACIÓN SUJETA A EXAMEN. CLASIFICACIÓN POR EL MODO DE EJERCER LA AUDITORIA SI TENEMOS EN CUENTA LA MANERA COMO SE EJERCE LA AUDITORÍA, ESTA PUEDE CLASIFICARSE EN EXTERNA E INTERNA. AUDITORÍA EXTERNA APLICANDO EL CONCEPTO GENERAL, SE PUEDE DECIR QUE LA AUDITORÍA EXTERNA O INDEPENDIENTE ES EL EXAMEN CRÍTICO, SISTEMÁTICO Y DETALLADO DE UN SISTEMA DE INFORMACIÓN DE UNA UNIDAD ECONÓMICA, REALIZADO POR UN CONTADOR PÚBLICO SIN VÍNCULOS LABORALES CON LA MISMA, UTILIZANDO TÉCNICAS DETERMINADAS Y CON EL OBJETO DE EMITIR UNA OPINIÓN INDEPENDIENTE SOBRE LA FORMA COMO OPERA EL SISTEMA, EL CONTROL INTERNO DEL MISMO Y FORMULAR SUGERENCIAS PARA SU MEJORAMIENTO. EL DICTAMEN U OPINIÓN INDEPENDIENTE TIENE TRASCENDENCIA A LOS TERCEROS, PUES DA PLENA VALIDEZ A LA INFORMACIÓN GENERADA POR EL SISTEMA YA QUE SE PRODUCE BAJO LA FIGURA DE LA FE PÚBLICA, QUE OBLIGA A LOS MISMOS A TENER PLENA CREDIBILIDAD EN LA INFORMACIÓN EXAMINADA.

7 AUDITORÍA INTERNA LA AUDITORÍA INTERNA ES EL EXAMEN CRÍTICO Y SISTEMÁTICO DE LOS SISTEMAS DE CONTROL DE UNA UNIDAD ECONÓMICA, REALIZADO POR UN PROFESIONAL CON VÍNCULOS LABORALES CON LA MISMA, UTILIZANDO TÉCNICAS DETERMINADAS Y CON EL OBJETO DE EMITIR INFORMES Y FORMULAR SUGERENCIAS PARA EL MEJORAMIENTO DE LOS MISMOS. ESTOS INFORMES SON DE CIRCULACIÓN INTERNA Y NO TIENEN TRASCENDENCIA A LOS TERCEROS PUES NO SE PRODUCEN BAJO LA FIGURA DE LA FE PÚBLICA. CUANDO LA AUDITORÍA ESTÁ DIRIGIDA POR CONTADORES PÚBLICOS PROFESIONALES INDEPENDIENTES, LA OPINIÓN DE UN EXPERTO DESINTERESADO E IMPARCIAL CONSTITUYE UNA VENTAJA DEFINIDA PARA LA EMPRESA Y UNA GARANTÍA DE PROTECCIÓN PARA LOS INTERESES DE LOS ACCIONISTAS, LOS ACREEDORES Y EL PÚBLICO. LA IMPARCIALIDAD E INDEPENDENCIA ABSOLUTAS NO SON POSIBLES EN EL CASO DEL AUDITOR INTERNO, PUESTO QUE NO PUEDE DIVORCIARSE COMPLETAMENTE DE LA INFLUENCIA DE LA ALTA ADMINISTRACIÓN, Y AUNQUE MANTENGA UNA ACTITUD INDEPENDIENTE COMO DEBE SER, ESTA PUEDE SER CUESTIONADA ANTE LOS OJOS DE LOS TERCEROS.

8 LA AUDITORÍA INTERNA ES UN SERVICIO QUE REPORTA AL MÁS ALTO NIVEL DE LA DIRECCIÓN DE LA ORGANIZACIÓN Y TIENE CARACTERÍSTICAS DE FUNCIÓN ASESORA DE CONTROL, POR TANTO NO PUEDE NI DEBE TENER AUTORIDAD DE LÍNEA SOBRE NINGÚN FUNCIONARIO DE LA EMPRESA, A EXCEPCIÓN DE LOS QUE FORMAN PARTE DE LA PLANTA DE LA OFICINA DE AUDITORÍA INTERNA, NI DEBE EN MODO ALGUNO INVOLUCRARSE O COMPROMETERSE CON LAS OPERACIONES DE LOS SISTEMAS DE LA EMPRESA, PUES SU FUNCIÓN ES EVALUAR Y OPINAR SOBRE LOS MISMOS, PARA QUE LA ALTA DIRECCIÓN TOMA LAS MEDIDAS NECESARIAS PARA SU MEJOR FUNCIONAMIENTO. EXISTEN DIFERENCIAS SUBSTANCIALES ENTRE LA AUDITORÍA INTERNA Y LA AUDITORÍA EXTERNA, ALGUNAS DE LAS CUALES SE PUEDEN DETALLAR ASÍ: 1- EN LA AUDITORÍA INTERNA EXISTE UN VÍNCULO LABORAL ENTRE EL AUDITOR Y LA EMPRESA, MIENTRAS QUE EN LA AUDITORÍA EXTERNA LA RELACIÓN ES DE TIPO CIVIL. 2- EN LA AUDITORÍA INTERNA EL DIAGNÓSTICO DEL AUDITOR, ESTA DESTINADO PARA LA EMPRESA; EN EL CASO DE LA AUDITORÍA EXTERNA ESTE DICTAMEN SE DESTINA GENERALMENTE PARA TERCERAS PERSONAS AJENAS A LA EMPRESA.

9 3- LA AUDITORÍA INTERNA ESTÁ INHABILITADA PARA DAR FE PÚBLICA, DEBIDO A SU VINCULACIÓN CONTRACTUAL LABORAL, MIENTRAS LA AUDITORÍA EXTERNA TIENE LA FACULTAD LEGAL DE DAR FE PÚBLICA. 4- LA AUDITORÍA INTERNA ES EL CONTROL DE CONTROLES EVALUANDO PERMANENTEMENTE EL CONTROL INTERNO, LA AUDITORÍA EXTERNA EVALÚA EL CONTROL INTERNO EN FORMA RECURRENTE. 5- AUNQUE EL AUDITOR INTERNO POSEE INDEPENDENCIA, ESTA ES LIMITADA FRENTE A TERCEROS POR SU VÍNCULO LABORAL. EN LA AUDITORÍA EXTERNA LA INDEPENDENCIA ES ABSOLUTA. 6- MIENTRAS EL EXAMEN DEL AUDITOR INTERNO ES IPSO FACTO, EN EL MOMENTO, EL EXAMEN DEL AUDITOR EXTERNO ES DESPUÉS DE SUCEDIDO LOS HECHOS.

10 CLASIFICACIÓN POR EL ÁREA OBJETO DE EXAMEN DE ACUERDO AL ÁREA O SISTEMA DE INFORMACIÓN OBJETO DEL EXAMEN DE AUDITORÍA, ESTA SE PUEDE CLASIFICAR TOMANDO EL NOMBRE DEL ÁREA ESPECÍFICA O SISTEMA DE INFORMACIÓN EXAMINADO. ES ASÍ COMO SE TIENEN AUDITORÍA FINANCIERA, AUDITORÍA ADMINISTRATIVA, AUDITORÍA OPERACIONAL, AUDITORÍA INFORMÁTICA, AUDITORÍA GUBERNAMENTAL, AUDITORÍA FINANCIERA LA AUDITORÍA FINANCIERA ES LA MÁS CONOCIDA DE TODAS, PUES ES LA REQUERIDA POR LAS EMPRESAS Y ES LA QUE HA PRESENTADO EL MÁXIMO DESARROLLO. ES AQUELLA QUE EMITE UN DICTAMEN U OPINIÓN PROFESIONAL EN RELACIÓN CON LOS ESTADOS FINANCIEROS DE UNA UNIDAD ECONÓMICA EN UNA FECHA DETERMINADA Y SOBRE EL RESULTADO DE LAS OPERACIONES Y LOS CAMBIOS EN LA POSICIÓN FINANCIERA CUBIERTOS POR EL EXAMEN LA CONDICIÓN INDISPENSABLE QUE ESTA OPINIÓN SEA EXPRESADA POR UN CONTADOR PÚBLICO DEBIDAMENTE AUTORIZADO PARA TAL FIN.

11 AUDITORÍA DE GESTIÓN LA AUDITORÍA DE GESTIÓN AUNQUE NO TAN DESARROLLADA COMO LA FINANCIERA, ES SI SE QUIERE DE IGUAL O MAYOR IMPORTANCIA QUE ESTA ÚLTIMA, PUES SUS EFECTOS TIENEN CONSECUENCIAS QUE MEJORAN EN FORMA APRECIABLE EL DESEMPEÑO DE LA ORGANIZACIÓN. LA DENOMINACIÓN AUDITORÍA DE GESTIÓN FUNDE EN UNA, DOS CLASIFICACIONES QUE TRADICIONALMENTE SE TENÍAN: AUDITORÍA ADMINISTRATIVA Y AUDITORÍA OPERACIONAL. WIILLIAM P. LEONARD PRESENTA LA SIGUIENTE DEFINICIÓN DE AUDITORÍA ADMINISTRATIVA: LA AUDITORÍA ADMINISTRATIVA PUEDE DEFINIRSE COMO EL EXAMEN COMPRENSIVO Y CONSTRUCTIVO DE LA ESTRUCTURA ORGANIZATIVA DE UNA EMPRESA DE UNA INSTITUCIÓN O DEPARTAMENTO GUBERNAMENTAL; O DE CUALQUIER OTRA ENTIDAD Y DE SUS MÉTODOS DE CONTROL, MEDIOS DE OPERACIÓN Y EMPLEO QUE DÉ A SUS RECURSOS HUMANOS Y MATERIALES. [LEONARD, 1999] JOAQUÍN RODRÍGUEZ VALENCIA PLANTEA UNA DEFINICIÓN DE AUDITORÍA OPERACIONAL ASÍ: SE DEFINE COMO UNA TÉCNICA PARA EVALUAR SISTEMÁTICAMENTE LA EFECTIVIDAD DE UNA FUNCIÓN O UNA UNIDAD CON REFERENCIA A NORMAS DE LA EMPRESA, UTILIZANDO PERSONAL ESPECIALIZADO EN EL ÁREA DE ESTUDIO, CON EL OBJETO DE ASEGURAR A LA ADMINISTRACIÓN QUE SUS OBJETIVOS SE CUMPLAN, Y DETERMINAR QUÉ CONDICIONES PUEDEN MEJORARSE. [RODRIGUEZ, 1980]

12 ES POSIBLE AFIRMAR ENTONCES QUE LA AUDITORÍA DE GESTIÓN ES: EL PROCESO QUE CONSISTE EN EL EXAMEN CRÍTICO, SISTEMÁTICO Y DETALLADO DEL SISTEMA DE INFORMACIÓN DE GESTIÓN DE UN ENTE, REALIZADO CON INDEPENDENCIA Y UTILIZANDO TÉCNICAS ESPECÍFICAS, CON EL PROPÓSITO DE EMITIR UN INFORME PROFESIONAL SOBRE LA EFICACIA EFICIENCIA Y ECONOMICIDAD EN EL MANEJO DE LOS RECURSOS, PARA LA TOMA DE DECISIONES QUE PERMITAN LA MEJORA DE LA PRODUCTIVIDAD DEL MISMO. AUDITORÍA DE CUMPLIMIENTO ESTE TIPO DE AUDITORÍA COMPRENDE UNA REVISIÓN DE CIERTAS ACTIVIDADES FINANCIERAS U OPERATIVAS DE UNA ENTIDAD CON EL FIN DE DETERMINAR SI SE ENCUENTRAN DE CONFORMIDAD CON CONDICIONES, REGLAS O REGLAMENTOS ESPECIFICADOS AUDITORÍA DE CONTROL INTERNO LA AUDITORÍA DE CONTROL INTERNO ES LA EVALUACIÓN DE LOS SISTEMAS DE CONTABILIDAD Y DE CONTROL INTERNO DE UNA ENTIDAD, CON EL PROPÓSITO DE DETERMINAR LA CALIDAD DE LOS MISMOS, EL NIVEL DE CONFIANZA QUE SE LES PUEDE OTORGAR Y SI SON EFICACES Y EFICIENTES EN EL CUMPLIMIENTO DE SUS OBJETIVOS. ESTA EVALUACIÓN TENDRÁ EL ALCANCE NECESARIO PARA DICTAMINAR SOBRE EL CONTROL INTERNO Y POR TANTO, NO SE LIMITA A DETERMINAR EL GRADO DE CONFIANZA QUE PUEDA CONFERÍRSELE PARA OTROS PROPÓSITOS

13 AUDITORÍA INTEGRAL LA AUDITORÍA INTEGRAL SE HA DESARROLLADO EN LOS PAÍSES INDUSTRIALIZADOS, ESPECIALMENTE EN EL CANADÁ, TENIENDO UNA GRAN APLICACIÓN EN EL ÁMBITO DEL CONTROL GUBERNAMENTAL. EN SÍ LA AUDITORÍA INTEGRAL NO ES MÁS QUE LA INTEGRACIÓN DE LA AUDITORÍA FINANCIERA CON LA AUDITORÍA DE GESTIÓN, LA AUDITORÍA DE CONTROL INTERNO Y LA AUDITORÍA DE CUMPLIMIENTO. AUDITORÍA INTEGRAL ES PROCESO QUE CONSISTE EN EL EXAMEN CRÍTICO, SISTEMÁTICO Y DETALLADO DE LOS SISTEMAS DE INFORMACIÓN FINANCIERO, DE GESTIÓN, DE CONTROL INTERNO Y LEGAL DE UNA ORGANIZACIÓN, REALIZADO CON INDEPENDENCIA Y UTILIZANDO TÉCNICAS ESPECÍFICAS, CON EL PROPÓSITO DE EMITIR UN INFORME PROFESIONAL SOBRE LA RAZONABILIDAD DE LA INFORMACIÓN FINANCIERA, LA EFICACIA EFICIENCIA Y ECONOMICIDAD EN EL MANEJO DE LOS RECURSOS Y EL APEGO DE LAS OPERACIONES ECONÓMICAS A LAS NORMAS CONTABLES, ADMINISTRATIVAS Y LEGALES QUE LE SON APLICABLES, PARA LA TOMA DE DECISIONES QUE PERMITAN LA MEJORA DE LA PRODUCTIVIDAD DE LA MISMA.

14 AUDITORÍA INFORMÁTICA AUDITORÍA INFORMÁTICA LA AUDITORÍA INFORMÁTICA ES DE RECIENTE DESARROLLO Y SU APARICIÓN SE DEBE A LA CRECIENTE AUTOMATIZACIÓN DE LA INFORMACIÓN EN TODOS LOS NIVELES DE LAS ORGANIZACIONES. CONCEPTO LA AUDITORÍA INFORMÁTICA HA SIDO ERRÓNEAMENTE DENOMINADA AUDITORÍA DE SISTEMAS, POR EL HECHO QUE VULGARMENTE SE CONSIDERA LA PALABRA "SISTEMAS" COMO SINÓNIMO DE "COMPUTADOR". PERO A LO LARGO DE LO DESARROLLADO HASTA EL MOMENTO, HA QUEDADO CLARO QUE TODA AUDITORÍA ES DE SISTEMAS, PUES SU OBJETO SON LOS SISTEMAS DE INFORMACIÓN. AUDITORÍA INFORMÁTICA, ES EL PROCESO QUE CONSISTE EN EL EXAMEN CRÍTICO, SISTEMÁTICO Y DETALLADO DEL SISTEMA DE INFORMACIÓN AUTOMÁTICO DE UN ENTE, REALIZADO CON INDEPENDENCIA Y UTILIZANDO TÉCNICAS ESPECÍFICAS, CON EL PROPÓSITO DE EMITIR UN INFORME PROFESIONAL SOBRE LA EFICACIA EFICIENCIA Y ECONOMICIDAD EN EL MANEJO DE LOS RECURSOS INFORMÁTICOS Y LOS CONTROLES DE SEGURIDAD DE LOS MISMOS, PARA LA TOMA DE DECISIONES QUE PERMITAN EL MEJORAMIENTO DE LOS PROCESOS DE INFORMACIÓN AUTOMÁTICA Y DE LA PRODUCTIVIDAD DE ESTOS..

15 SEGURIDAD INFORMÁTICA. IMPORTANCIA EN LA ACTUALIDAD, CUALQUIER EJECUTIVO DE UNA EMPRESA SABE QUE LA INFORMACIÓN QUE PERMANECE ALMACENADA EN SUS ARCHIVOS DE COMPUTACIÓN ELECTRÓNICA, LA CUAL FLUYE DENTRO DE LA EMPRESA O INGRESA O SALE DE ELLA, ES MÁS VALIOSA QUE EL EQUIPO QUE LA SUSTENTA. TAMBIÉN SABE QUE CUALQUIER CONTINGENCIA QUE PUEDA DAÑAR ESA INFORMACIÓN (O SIN DAÑARLA, SER DE CONOCIMIENTO DE TERCEROS INDEBIDAMENTE) PUEDE PROVOCAR UN SERIO IMPACTO EN LA ORGANIZACIÓN. MÁS AÚN EN ESTOS MOMENTOS EN QUE INTERNET APORTA ELEMENTOS QUE SE ESTÁN VOLVIENDO INDISPENSABLES EN LA GESTIÓN EMPRESARIAL, HAY QUE MANTENERSE ALERTA ANTE LA PRESENCIA DE UN ENTORNO INSEGURO

16 EXISTEN ALGUNOS MOTIVOS POR LOS CUALES SE HACE NECESARIA LA PREVENCIÓN DE SEGURIDAD: 1) EXISTENCIA DE USUARIOS QUE ACTÚAN COMO INTRUSOS Y QUE ACCEDEN DESDE LUGARES REMOTOS A INFORMACIÓN ALMACENADA EN UNA COMPUTADORA CON INTENCIÓN DE ROBAR DATOS O, SIMPLEMENTE, CAUSAR DAÑOS. 2) OTROS USUARIOS, QUE SIMPLEMENTE, DISFRUTAN ENVIANDO VIRUS A TRAVÉS DE PROGRAMAS O DOCUMENTOS QUE DESTRUYEN INFORMACIÓN VALIOSA QUE COSTÓ MUCHO ELABORAR. 3) CIERTAS EMERGENCIAS (CATÁSTROFES) QUE PUEDEN SUCEDER POR CAUSAS NORMALES DE LA NATURALEZA. 4) UN INADECUADO USO DE LOS RECURSOS INFORMÁTICOS TAMBIÉN PUEDE PROVOCAR LA DESAPARICIÓN O ALTERACIÓN DE UN ARCHIVO.

17 OTRAS CAUSAS DE DELITOS POR COMPUTADORA - BENEFICIO PERSONAL - BENEFICIOS PARA LA ORGANIZACIÓN - PARA BENEFICIAR A OTRAS PERSONAS - FÁCIL DESFALCAR (FALTA DE CONTROLES) - EL DEPARTAMENTO ES DESHONESTO - ODIO A LA ORGANIZACIÓN - EL INDIVIDUO TIENE PROBLEMAS FINANCIEROS - DESEO DE SOBRESALIR EN ALGUNA FORMA

18 EL OBJETIVO DE LA SEGURIDAD INFORMÁTICA ES MANTENER: LA INTEGRIDAD DE LA INFORMACIÓN. SIGNIFICA QUE SOLO PUEDE SER MODIFICADA POR PERSONAS AUTORIZADAS (uso de claves) Y DENTRO DE UN PROGRAMA DE ACTUALIZACIÓN PREVIAMENTE APROBADO. LA INTEGRIDAD PUEDE SER ALTERADA EN FORMA INTENCIONAL, O BIEN, EN FORMA ACCIDENTAL POR FALLA DEL HARDWARE, DEL SOFTWARE O POR LA ACCIÓN DE UN VIRUS INFORMÁTICO. LA OPERATIVIDAD DE LA INFORMACIÓN. ESTO SIGNIFICA QUE LA INFORMACIÓN DEBE ESTAR DISPONIBLE EN EL MOMENTO EN QUE DEBA SER PROCESADA. PARA ELLO DEBE ESTAR ALMACENADA EN EL MEDIO Y EN LA FORMA PREESTABLECIDA. LA CONFIABILIDAD DE LA INFORMACIÓN. ESTO SIGNIFICA QUE LA INFORMACIÓN PUEDE SER CONOCIDA SÓLO POR PERSONAS QUE NECESITEN DE SU CONOCIMIENTO. ES NECESARIO RESALTAR QUE ENTRE OPERATIVIDAD Y SEGURIDAD EXISTE UNA RELACIÓN INVERSA: AL AUMENTAR LA SEGURIDAD DE UN SISTEMA INFORMÁTICO, DISMINUYE LA OPERATIVIDAD. POR EJEMPLO, SI SE APLICA UN PROGRAMA ANTIVIRUS EN UN PROCESO DE COMPUTADORA, ESTO PROVOCARÁ LA OCUPACIÓN DE UN LUGAR EN EL DISCO RÍGIDO Y LA DEMORA EN EL PROCESO DE APLICACIONES.

19 SEGURIDAD INFORMÁTICA EN INTERNET SI BIEN INTERNET NO ES EL ÚNICO ELEMENTO EN EL QUE DEBE FOCALIZARSE LA ATENCIÓN PARA RESGUARDAR LA INTEGRIDAD, OPERATIVIDAD Y CONFIDENCIALIDAD DE LA INFORMACIÓN, EL MODO EXPLOSIVO EN QUE EVOLUCIONÓ SU UTILIZACIÓN (A NIVEL INDIVIDUAL Y A NIVEL EMPRESARIAL) POTENCIA LA NECESIDAD DE ENCONTRAR SOLUCIONES A LA FRAGILIDAD EN MATERIA DE SEGURIDAD. EL ÉXITO DE INTERNET RESIDE EN QUE FUE DISEÑADA CON UN ALTO NIVEL DE OPERATIVIDAD Y VERSATILIDAD EN LAS COMUNICACIONES ENTRE COMPUTADORAS. EL PROTOCOLO TPC/IP (TRANSMISSION CONTROL PROTOCOL/INTERNET PROTOCOL, PROTOCOLO DE CONTROL DE TRANSMISIÓN/PROTOCOLO DE INTERNET) APLICADO EN INTERNET PERMITE INTERCONECTAR CUALQUIER TIPO DE COMPUTADORAS CON CUALQUIER SISTEMA OPERATIVO. YA HEMOS MENCIONADO QUE OPERATIVIDAD Y SEGURIDAD MANTIENEN UNA RELACIÓN INVERSA.

20 LA INSEGURIDAD NATURAL DE INTERNET SE HACE MÁS EVIDENTE EN CONEXIONES DESDE UNA COMPUTADORA DIRECTAMENTE COMUNICADA A INTERNET. ES MÁS SENCILLO (REQUIERE MENOS ESFUERZO Y MENOS CONOCIMIENTO TÉCNICO) MONITOREAR INFORMACIÓN BAJO ESAS CONDICIONES. DE TODOS MODOS, LO QUE PUEDE HACER EL USUARIO ES APLICAR MÉTODOS DE PROTECCIÓN DE SU INFORMACIÓN, PERO NO LO PUEDE HACER CON RESPECTO A INTERNET EN SÍ MISMA. UNA PRIMERA MEDIDA QUE EL USUARIO PUEDE (OBVIAMENTE A UN COSTO) APLICAR ES EL CONCEPTO DE PROTECCIÓN DE INFORMACIÓN POR ENCRIPTACIÓN. EN ESTE CASO, SI BIEN NO SE IMPOSIBILITA LA INTERCEPCIÓN DE LA INFORMACIÓN, SE DIFICULTA, GENERALMENTE CON ÉXITO, LA POSIBILIDAD DE DESCIFRAR (Y ENTENDER) ESA INFORMACIÓN. LA CRIPTOGRAFÍA ES UNA TÉCNICA QUE, PARTIENDO DE UN MENSAJE PLANO (INTELEGIBLE), REORDENA EL CONTENIDO DE ESE MENSAJE APLICANDO UN CONJUNTO DE REGLAS (HACIÉNDOLO NO INTELEGIBLE), DE MODO QUE, A FIN DE PODER CONOCER Y ENTENDER SU CONTENIDO, DEBEN APLICARSE SOBRE EL MISMO LAS REGLAS QUE LO DESCIFREN. ESTO SE ALCANZA ACTUALMENTE MEDIANTE LA APLICACIÓN DE UN PROGRAMA ESPECÍFICO DE COMPUTACIÓN.

21 LA SEGUNDA MEDIDA DE SEGURIDAD QUE PUEDE ADOPTAR EL USUARIO ES EVITAR QUE OTRO USUARIO ILEGÍTIMO PUEDA ACCEDER A UNA CUENTA SIMULANDO SER EL LEGÍTIMO, Y QUE A PARTIR DE AHÍ UTILICE EL SISTEMA PARA COMETER ACCIONES COMO SI FUERA EL TITULAR, PERO AJENO AL CONTROL DE ÉSTE. UNA TERCERA MEDIDA DE SEGURIDAD QUE DEBE TOMAR EL USUARIO ES CONTRATAR EL SERVICIO DE ISP (INTERNET SERVICE PROVIDER, CONEXIÓN CON UN PROVEEDOR) CONFIABLE QUE GARANTICE LA SEGURIDAD. LOS PROVEEDORES DEL SERVICIO CONSTITUYEN RIESGOS POTENCIALES DEBIDO AL GRAN PODER QUE CONCENTRAN: TIENEN ACCESO A TODAS LAS CLAVES DE LA CUENTAS Y PUEDEN CONOCER, EN CONSECUENCIA, EL CONTENIDO DE SUS ARCHIVOS SIN SER DETECTADOS (AQUÍ EL USUARIO PIERDE CONFIDENCIALIDAD). A ESTO SE SUMA QUE LAS ISP GENERAN BACK-UPS (POR RAZONES OPERATIVAS), LO QUE CONSTITUYE OTRA FUENTE DE RIESGO POTENCIAL. ADEMÁS, LOS ADMINISTRADORES DEL SERVICIO LLEVAN REGISTROS DE TODOS LOS MOVIMIENTOS (OPERACIONES EFECTUADAS), COMO TAMBIÉN DESDE DÓNDE (NÚMERO TELEFÓNICO) SE CONECTAN LOS USUARIOS.

22 A CAUSA DE SU FRECUENTE USO EN LA GESTIÓN DE NEGOCIOS, EL CORREO ELECTRÓNICO, COMO PARTE DE INTERNET, TAMBIÉN SE CARACTERIZA POR SU CONDICIÓN DE INSEGURO, CAUSADA POR EL USO DEL MISMO PROTOCOLO TPC/IP (TRANSMISSION CONTROL PROTOCOL/INTERNET QUE PERMITE COMUNICAR COMPUTADORAS DE CUALQUIER TIPO. ESTA CONDICIÓN DE INSEGURIDAD TAMBIÉN PUEDE SOLUCIONARSE APLICANDO TÉCNICAS DE ENCRIPTACIÓN.

23 LOS VIRUS INFORMÁTICOS EN INTERNET LOS VIRUS INFORMÁTICOS EN INTERNET LOS VIRUS INFORMÁTICOS SON UN CONJUNTO DE INSTRUCCIONES DE COMPUTACIÓN ELABORADAS CON LA INTENCIÓN DE PRODUCIR DAÑO, LAS CUALES SE DIFUNDEN ENTRE COMPUTADORAS A TRAVÉS DE LA GENERACIÓN DE COPIAS DE SÍ MISMO. LOS VIRUS INFORMÁTICOS EXISTEN ANTES DE LA APARICIÓN DE INTERNET. COMIENZAN A CONOCERSE A FINES DE LA DÉCADA DE 1980. SE PROPAGARON A TRAVÉS DEL MUNDO POR MEDIO DE LÍNEA TELEFÓNICA, O BIEN, ERAN TRANSPORTADOS EN DISKETTES. INTERNET PROVOCÓ SU ACELERACIÓN (AÑO 1995) Y DIFUSIÓN AL SER TRANSMITIDOS CON LA MISMA VELOCIDAD QUE EL CORREO ELECTRÓNICO. ESTO ES PORQUE A INTERNET ACCEDEN PERMANENTEMENTE MILLONES DE PERSONAS QUE, ENTRE OTRAS COSAS, INTERCAMBIAN ARCHIVOS ADJUNTOS A MENSAJES, LO QUE FACILITA LA PROLIFERACIÓN E INFECCIÓN. CUANDO UN VIRUS INGRESA EN UNA COMPUTADORA SE INCORPORA COMO PROGRAMA DENTRO DE ELLA (VIOLACIÓN), PUDIENDO OCASIONAR DAÑOS TALES COMO ANOMALÍAS EN EL FUNCIONAMIENTO DE UNA APLICACIÓN (POR EJEMPLO, SOBREESCRITURA DE LA INFORMACIÓN ALMACENADA EN EL DISCO RÍGIDO), INTERRUPCIÓN NO PLANEADA DE UN PROCESO EN EJECUCIÓN, BORRADO DE ARCHIVOS, ETCÉTERA.

24 DEBIDO A QUE LOS VIRUS SON TÉCNICAMENTE UN PROGRAMA, PARA QUE FUNCIONE DEBE SER EJECUTADO. ES POR ESO QUE TODOS LOS CREADORES DE VIRUS DEBEN PREVER QUE SUS PROGRAMAS SE EJECUTEN POR SÍ SOLOS Y QUE LOS USUARIOS NO CONOZCAN ESA ACCIÓN. SI EL USUARIO ES OBSERVADOR, FRENTE A UN ARCHIVO EJECUTABLE INFECTADO PUEDE OBSERVAR EL AUMENTO DE TAMAÑO DE UN ARCHIVO, Y ASÍ DETECTAR LA PRESENCIA DEL VIRUS. LA POSIBILIDAD DE QUE UNA COMPUTADORA SE AFECTE CON UN VIRUS INFORMÁTICO TRANSMITIDO A TRAVÉS DE INTERNET PUEDE SURGIR DE DOS RUTAS: - A TRAVÉS DE UN ARCHIVO BAJADO DE UN SITIO, O BIEN, - DESDE UN ARCHIVO ADJUNTO A UN MENSAJE DE CORREO ELECTRÓNICO (VIRUS DE ARCHIVOS EJECUTABLES Y MACROVIRUS). UN MACROVIRUS ES UN VIRUS COMPUESTO POR INSTRUCCIONES CODIFICADAS EN LENGUAJES DE MACROS DE UNA APLICACIÓN DEL TIPO DE PLANILLA DE CÁLCULO, EL MACROVIRUS ACTÚA DE TAL MANERA QUE, CUANDO UNA APLICACIÓN ABRE UN ARCHIVO AFECTADO, ESA APLICACIÓN SE INFECTA, Y CADA VEZ QUE SE GENERA UN ARCHIVO NUEVO O SE MODIFICA UNO YA EXISTENTE ADOPTARÁ EL MACROVIRUS.

25 ALGUNOS SÍNTOMAS PERMITEN SOSPECHAR LA PRESENCIA DE VIRUS; POR EJEMPLO, LOS SIGUIENTES: ENTRE LAS MEDIDAS DE PREVENCIÓN DE LOS USUARIOS PARA MANEJAR LA PROTECCIÓN FRENTE A LA PRESENTACIÓN DE VIRUS, PUEDEN MENCIONARSE LAS SIGUIENTES: ALGUNOS SÍNTOMAS PERMITEN SOSPECHAR LA PRESENCIA DE VIRUS; POR EJEMPLO, LOS SIGUIENTES: - OBSERVAR DEMORAS NO HABITUALES EN EL TIEMPO QUE TARDAN LOS PROGRAMAS AL CARGARSE. - LENTITUD EN EL PROCESAMIENTO DE APLICACIONES. - OCUPACIÓN DE ESPACIO NO RAZONABLE EN EL DISCO RÍGIDO. - OCUPACIÓN DE LA MEMORIA CON PROGRAMAS RESIDENTES NO RECONOCIDOS. ENTRE LAS MEDIDAS DE PREVENCIÓN DE LOS USUARIOS PARA MANEJAR LA PROTECCIÓN FRENTE A LA PRESENTACIÓN DE VIRUS, PUEDEN MENCIONARSE LAS SIGUIENTES: - EVITAR ABRIR ARCHIVOS QUE PROVENGAN DE EMISORES NO RECONOCIDOS. - EN CASO DE BAJAR ARCHIVOS EJECUTABLES O PROGRAMAS, GRABARLOS EN UN DIRECTORIO DETERMINADO Y APLICARLES UN PROGRAMA ANTIVIRUS ACTUALIZADO. - SI SE DETECTA ALGÚN ARCHIVO AFECTADO, BORRARLO.

26 - PREVER UTILIZAR UN PROGRAMA ANTIVIRUS CON CAPACIDAD PARA ANALIZAR COMPACTADOS (LA MAYORÍA DE LOS ARCHIVOS QUE CIRCULAN POR INTERNET ESTÁN COMPACTADOS). UN PROGRAMA ANTIVIRUS EFICAZ DEBE CONTENER UN DETECTOR RESIDENTE EN MEMORIA (EL DETECTOR INFORMA LA PRESENCIA DE UN VIRUS). LA PRÁCTICA DE UTILIZAR ANTIVIRUS COMENZÓ EN LOS PRIMEROS MOMENTOS DE APARICIÓN DE LOS VIRUS, CON LA APLICACIÓN DE SCANNING (SIGNIFICA "EXPLORAR", "ESCUDRIÑAR"; EN LA JERGA LOCAL SE DENOMINA "ESCANEO"). EN ESTE CASO, EL PROGRAMA ANTIVIRUS CONTIENE PEQUEÑAS PORCIONES DE INSTRUCCIONES CODIFICADAS REPRESENTATIVAS DE LOS VIRUS CONOCIDOS HASTA ESE MOMENTO. SOBRE ESTA BASE, Y RASTREANDO EL CÓDIGO DE LOS ARCHIVOS ALMACENADOS EN LA UNIDAD QUE SE VA A ANALIZAR, COMPARA ESA SERIE DE INSTRUCCIONES PARA VERIFICAR SU POSIBLE SIMILITUD, Y ASÍ DETECTAR E IDENTIFICAR LA PRESENCIA DE UN VIRUS CONOCIDO.

27 PERO LA INEFICIENCIA DE LA TÉCNICA DE SCANNING RADICA EN SU PROPIA FORMA DE OPERAR: PRIMERO ACTÚA EL VIRUS (LA SOLUCIÓN SE PRESENTA A POSTERIORI). EL VIRUS SE PROPAGA CAUSANDO DAÑOS ANTES DE QUE INGRESE EN LA BASE DE DATOS (DE VIRUS) DE LOS PROGRAMAS ANTIVIRUS. EL PROCESO DE APARICIÓN DE VIRUS, SU PROPAGACIÓN, SU ANÁLISIS, SU INCORPORACIÓN A LOS PROGRAMAS ANTIVIRUS Y LA APLICACIÓN DE ESTOS ÚLTIMOS, SIGNIFICA UN TIEMPO PROLONGADO QUE TRANSCURRE ANTES DE QUE OPERE LA SOLUCIÓN. LA ACTUALIZACIÓN DEL PROGRAMA ANTIVIRUS DEBE SER PERMANENTE, Y FRECUENTE LA INSTALACIÓN DE NUEVAS VERSIONES POR PARTE DE LOS USUARIOS. RECORDAR NO DEJAR DISKETTES INSTALADOS EN LA DISKETTERA DE ARRANQUE (O MODIFICAR LA SECUENCIA DE ARRANQUE, PRIMERO DISCO DURO Y LUEGO DISKETTERA).

Descargar ppt "AUDITORÍA DE SISTEMAS. CAPÍTULO 1 INTRODUCCIÓN CONCEPTO DE AUDITORÍA EN EL COMÚN DE LAS PERSONAS EXISTE UNA GRAN DISTORSIÓN SOBRE LA CONCEPTUALIZACIÓN."

Presentaciones similares

Virus informático Daniel Cochez III Año E.

Virus informático Daniel Cochez III Año E.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.

Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
A continuación mencionaremos algunos conceptos de calidad.

A continuación mencionaremos algunos conceptos de calidad.
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
EVALUACION DEL PERSONAL

EVALUACION DEL PERSONAL
NIF A – 4 CARACTERÍSTICAS CUALITATIVAS DE LA INFORMACIÓN FINANCIERA

NIF A – 4 CARACTERÍSTICAS CUALITATIVAS DE LA INFORMACIÓN FINANCIERA
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Es una secuencia lógica de actividades, u ordenamiento de actividades para producir un resultado.

Es una secuencia lógica de actividades, u ordenamiento de actividades para producir un resultado.
Auditorías Tema: Nombre Alumno: Jarquín Arambula David

Auditorías Tema: Nombre Alumno: Jarquín Arambula David
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
5.4. CONTROL Y AUDITORIA ADMINISTRATIVA

5.4. CONTROL Y AUDITORIA ADMINISTRATIVA
CARPETA DIDACTICA DE CONTADURIA PUBLICA

CARPETA DIDACTICA DE CONTADURIA PUBLICA
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Auditoria Informática Unidad II

Auditoria Informática Unidad II
LAS NORMAS TÉCNICAS DE AUDITORÍA

LAS NORMAS TÉCNICAS DE AUDITORÍA
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Resolución 318/2010 Auditorias

Resolución 318/2010 Auditorias

Presentaciones similares

Anuncios Google