Auditoria de Sistemas Informticos I

Auditoria de Sistemas Informticos I

ANLISIS PRCTICO

Nombre de la empresa: Megahimersa Cia. Ltda.Actividad: Comercializacin de materiales de ferretera al por mayor y menor

Hardware: Computadoras Samsung y Acer originales, y un servidor IBMSoftware: La empresa utiliza como sistema de informacin Microsoft Visual FoxPro 9.0

Visual Fox Pro es un gestor de base de datos, orientado a la programacin de objetos.

Visual Fox Pro pertenece a la familia xbase lo que hace que su programacin sea sencilla, estructurada y ms fcil de entender tanto para programadores principiantes como programadores expertos.

Nos enfocaremos en cinco reas principales:

Base de datos: Trata sobre el diseo, creacin y manipulacin de tablas libres o tablas con integridad referencial (base de datos)

Programacin: En esta parte seremos capaces de identificar y aplicar las estructuras bsicas de programacin y conocer aspectos sobre la programacin orientada a objetos.

Formularios: Aplicaremos conocimientos para la integracin de una interfaz con el usuario y base de datos.

Informes: Aprenderemos a disear las salidas de los sistemas de informacin, haciendo uso de las herramientas que el programa ofrece.

SQL: En esta seccin haremos uso del lenguaje SQL para manipular datos, creando as diferentes consultas o vistas.

Intranet: No posee

Extranet: Proveedor CNT Internet Satelital

Conectividad: Privada ya que cada computadora esta enlazada al servidor IBM donde se almacena toda la informacin.

Qu tipo de auditoria necesita la empresa y porque?

La empresa Megahimersa necesita una AUDITORIA FSICA ya que se necesita saber dnde estn los activos informticos y que existan en el inventario, prevencin y seguridad. Todos estos activos estn fsicamente seguros y adecuados, posibles fallas fsicas, saber si se tiene un plan especfico despus de un desastre, identificar cules son sus planes de accin para la seguridad en cuanto a un desastre.Adems se necesita comprobar la existencia de los medios fsicos y tambin su funcionalidad, racionalidad y seguridad.La empresa tambin necesita una AUDITORIA DE MANTENIMIENTO ya que no existe una evaluacin de las etapas del manteniendo del sistema y de la parte del hardware lo que es importante para: Evaluar trabajo realizado.

Lista de revisiones informticas.

Existe documentacin para el requerimiento de cambios en el sistema.

Documentacin de los cambios en el sistema.

Pruebas de las modificaciones del sistema (lista de prueba y su observacin).

La aceptacin de pruebas, con la cual se liberan los cambios del sistema.

Logstica (por procedimientos) para realizar el cambio de modificaciones (versiones) del servidor de produccin.

Valoracin del esfuerzo de trabajo.La empresa tambin necesita una Auditora de la Seguridad informtica porque pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos.

La empresa necesita proteger el Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan, tambin debe proteger el uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.

Se pueden implementar paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial.

La empresa ha analizado que con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han ido originando acciones para mejorar la Seguridad Informtica a nivel fsico. El sistema integral de seguridad debe comprender:

Elementos administrativos

Definicin de una poltica de seguridad

Organizacin y divisin de responsabilidades

Seguridad fsica y contra catstrofes(incendio, terremotos, etc.)

Prcticas de seguridad del personal

Elementos tcnicos y procedimientos

Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.

Aplicacin de los sistemas de seguridad, incluyendo datos y archivos

El papel de los auditores, tanto internos como externos

Planeacin de programas de desastre y su prueba.Requisitos para hacer una Auditoria Interna y ExternaAuditora Interna y Auditora Externa:La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento.

Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos Procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico.

En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.

Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados.

Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa.

Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa.

Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa.

La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente.Requisitos del trabajo de auditora interna

Las revisiones han de ser efectuadas por personas que posean conocimientos tcnicos adecuados y capacitacin como auditores.

El auditor debe mantener una actitud mental independiente.

Tanto en la realizacin del examen como en la preparacin del informe debe mantenerse el debido rigor profesional.

El trabajo debe planificarse adecuadamente ejercindose la debida supervisin por parte del auditor de mayor experiencia.

Debe obtenerse suficiente informacin (mediante inspeccin observacin, investigacin y confirmaciones) como fundamento del trabajo.Auditora Externa en el Ecuador

La auditora externa en el Ecuador se encuentra establecida demanera obligatoriapor la "Superintendencia de Compaas" para aquellas Compaas que superen en US$ 1.000.000 dlares los activos totales del ejercicio econmico anterior.Es importante mencionar que la auditora externa dentro la administracin de las empresas se constituye en un soporte importante principalmente para el rea financiera de las mismas.

Por tanto la auditora externa requiere conocer los procedimientos internos establecidos en cada uno de los departamentos con la finalidad de evaluar de si el control interno cumple con los canales apropiados; y si estos se encuentran adecuadamente diseados para salvaguardar los activos de las compaas.

Debido alproceso de globalizacinen el cual el Ecuador se encuentra inmerso y esta situacin tiene efecto ya sea de manera directa e indirecta dentro de la economa del pas. Es importante que el auditor externo evale todos los factores que puedan afectar a una empresa en desarrollo y consecuentemente losEstados Financierosque presentan al cierre de un ejercicio econmico.La auditora externa tiene la finalidad de disear una estrategia adecuada para cada una de las empresas y procede a evaluar tanto los factores internos como los externos, lo cual le permite obtener un riesgo combinado que podra afectar a los Estados Financieros. Por tanto el auditor deber establecer procedimientos de auditora quedisminuyan el riesgoen la ejecucin de su trabajo hasta la fecha de presentacin del informe auditado.

OBLIGACION DE LA AUDITORA EXTERNA EN EL ECUADOR

En el Ecuador la obligacin de efectuar auditoras a las empresas se encuentra normada de acuerdo a la Ley de Compaassegn el Art. 318 que dice:"Las compaas nacionales y las sucursales de compaas u otras empresas extranjeras organizadas como personas jurdicas, y las asociaciones que estas formen cuyos activos excedan del monto que fije por Resolucin la Superintendencia de Compaas monto que no podr ser inferior a cien millones de sucres, debern contar con informe anual de auditora externa sobre los estados financieros.Tales estados financieros auditados se presentarn obligatoriamente para solicitar crditos a las instituciones que forman parte del sistema financiero ecuatoriano, negociar sus acciones y obligaciones en Bolsa, solicitar los beneficios de las Leyes de Fomento, intervenir en Concursos Pblicos de Precios, de Ofertas y de Licitaciones, suscripcin de contratos con el Estado y declaracin del impuesto a la renta.Las personas naturales o jurdicas que ejerzan la auditora, para fines de esta Ley, debern ser calificadas por la Superintendencia de Compaas y constar en el registro correspondiente que llevar la Superintendencia, de conformidad con la Resolucin que expida.El Superintendente de Compaas podr disponer excepcionalmente que una compaa con activos inferiores a los establecidos en el inciso primero, pero superiores a los cuarenta millones de sucres, someta sus estados financieros a auditora externa, cuando existan dudas fundadas sobre su realidad financiera, a base de un informe previo de inspeccin que justifique tal auditora o a solicitud de los comisarios de la compaa."De acuerdo al artculo citado anteriormente se emitieron dos resoluciones sobre los montos mnimos de activos para contratacin de auditora externa obligatoria para el ao 2002.La primera segnresolucin No 02.Q.ICI.004del 26 de Marzo de 2002, que posterior fue modificacin con la resolucin del Julio de 2002 y publicada en el Registro Oficial No 621 del 15 de Julio de 2002.Segn esta ltima resolucin se establece las normas con respecto a la obligacin de efectuar una auditora externa de los estados financieros de las siguientes compaas.

Tipo de CompaasBase de ActivosLas compaas nacionales de economa mixta y las annimas con participacin de personas jurdicas de derecho pblico o de derecho privado con finalidad social o pblica.

US$ 100,00

Las sucursales de compaas o empresas extranjeras organizadas como personas jurdicas que se hubiere establecido en el Ecuador y las asociaciones que stas formen entre s o con compaas nacionales.

US$ 100.000

Las compaas nacionales annimas, en comandita por acciones y de responsabilidad limitada.

US$ 1.000.000

Las compaas que no se encuentren incluidas en lo anteriormente citado, pero cuyos activos sean superiores a 1.600 dlares de los Estados Unidos de Amrica, debern someter sus estados financieros al dictamen de auditora externa, cuando por informe previo de laIntendencia de Control e Intervencinexistan dudas fundadas sobre la realidad financiera de la compaa o los comisarios de ella soliciten ese dictamen.En cualquiera de estos supuestos, el Superintendente de Compaas dispondrn la auditora de los estados financieros, mediante resolucin motivada.

Para efectos de determinacin de la base para la obligacin de auditora se considera el monto de activos del ejercicio econmico anteriorde acuerdo al siguiente ejemplo:Total activos31 de Diciembre de 2007ObligatoriedadUS$ 1.000.000Tiene obligacinUS$ 500.000No tiene obligacinUS$ 999.999No tiene obligacinSi bien es cierto de acuerdo a esta resolucin se establece cuales empresas se encuentran en la obligatoriedad de efectuar una auditora externa de sus estados financieros.Pero es importante mencionarque en la actualidad los auditores externos se constituyen en un soporte indispensable del departamento Financiero Contable.Situacin por la cual existen compaas que no se encuentran obligadas de acuerdo a esta resolucin a ser sujetas de auditora externa, sin embargo, estas proceden a contratar firmas de auditora para que revisen sus estados financieros y les ayuden a corregir errores ya sean contables o tributarios.Los servicios que presta la firma en el rea deAUDITORAse encuentran relacionados a:Auditora Externapara que aquellas sociedades que se encuentren sujetas en forma obligatoria por requerimiento de la Superintendencia de Compaas, o para las organizaciones que requieren que sus estados financieros sean revisados con la finalidad de establecer si estos presentan en forma razonable la situacin financiera a una determinada fecha.Auditora Internapara las organizaciones o sociedades que requieren efectuar un mejoramiento continuo de su sistema de control interno, mediante la revisin de los procesos y procedimientos que se ejecutan y si estos se adaptan a las necesidades de las mismas.Auditora Tributariaque requieren los contribuyentes con la finalidad de evitar riesgos y contingencias tributarias, as como el incurrir en multas e intereses lo que generan gastos no deducibles y su efecto en la determinacin del impuesto a la renta.

NORMA 410 TECNOLOGA DE LA INFORMACIN

En base a la norma 410 TECNOLOGA DE LA INFORMACIN y en base a las necesidades de la empresa Megahimersa, hemos determinado que existen aspectos tecnolgicos e informticos que requieren tratarse para beneficio de la entidad.

La empresa no cuenta con un departamento de sistemas, ni de ninguno capaz de gestionar la parte tecnolgica, lo que representa un gasto adicional, al tener que contratar asesora para cualquier aspecto relacionado a la informtica. Es por ello, que consideramos, que el punto de inicio para mejorar la gestin de la organizacin es la creacin de un departamento de sistemas informticos, mismo que es necesario para todas las reas, y se lo gestionar a travs de normas, tal como las siguientes:

Organizacin informtica

Segregacin de funciones

Las funciones y responsabilidades del personal de tecnologa de informacin y de los usuarios de los sistemas de informacin sern claramente definidas y formalmente comunicadas para permitir que los roles y responsabilidades asignados se ejerzan con suficiente autoridad y respaldo.

Polticas y procedimientos

Desarrollo y adquisicin de software aplicativo

En los procesos de desarrollo, mantenimiento o adquisicin de software aplicativo se considerarn: estndares de desarrollo, de documentacin y de calidad, el diseo lgico y fsico de las aplicaciones, la inclusin apropiada de controles de aplicacin diseados para prevenir, detectar y corregir errores e irregularidades de procesamiento.

En caso de adquisicin de programas de computacin (paquetes de software) se verificarn los contratos y tendrn el detalle de los aspectos tcnicos, licencias de uso y/o servicios, procedimientos para la recepcin de productos y documentacin en general, adems de puntualizar la garanta formal de soporte, mantenimiento y actualizacin ofrecida por el proveedor.

La implementacin de software aplicativo adquirido incluir los procedimientos de configuracin, aceptacin y prueba personalizados e implantados.

Los derechos de autor del software desarrollado a la medida pertenecern a la entidad. Para el caso de software adquirido se obtendr las respectivas licencias de uso.

Elaboracin de manuales tcnicos, de instalacin y configuracin; as como de usuario, los cuales sern difundidos, publicados y actualizados de forma permanente.

Mantenimiento y control de la infraestructura tecnolgica

La empresa Megahimersa deber realizar:

Seguridad de tecnologa de informacin

La unidad de tecnologa de informacin, establecer mecanismos que protejan y salvaguarden contra prdidas y fugas los medios fsicos y la informacin que se procesa mediante sistemas informticos, para ello se aplicarn al menos las siguientes medidas:

Ubicacin adecuada y control de acceso fsico a la unidad de tecnologa de informacin y en especial a las reas de servidores.

Almacenamiento de respaldos con informacin crtica y/o sensible en lugares externos a la organizacin.

Implementacin y administracin de seguridades a nivel de software y hardware, que se realizar con monitoreo de seguridad, pruebas peridicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad identificados.

Instalaciones fsicas adecuadas que incluyan mecanismos, dispositivos y equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire contralado, disponer de energa acondicionada, esto es estabilizada y polarizada, entre otros.

Sitio web, servicios de internet e intranet

Capacitacin informtica

Las necesidades de capacitacin sern identificadas tanto para el personal de tecnologa de informacin como para los usuarios que utilizan los servicios de informacin, las cuales sern formuladas conjuntamente con la unidad de talento humano.

Firmas electrnicas

Los empleados autorizados podrn utilizar la firma electrnica contenida en un mensaje de datos para el ejercicio y cumplimiento de las funciones inherentes al cargo que ocupen.

La entidad capacitar a los empleados respecto de las medidas de seguridad, condiciones, alcances, limitaciones y responsabilidades que deben observar en el uso de los servicios contratados. Esta capacitacin facilitar la comprensin y utilizacin de las firmas electrnicas.

NETGRAFA

http://www.auditricont.com/auditoria.html http://www.tuobra.unam.mx/publicadas/040115082454-2_5_.html http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml http://ainsonmer.blogspot.com/2008/06/tipos-de-auditora-informtica.htmlIntegrantes

Gonzlez Carolina

Onofre Bryan

Curso: CA9-2

Fecha: 10 de diciembre de 2014

10-12-2014

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

CARRERA DE CONTABILIDAD Y AUDITORIA

10