SlideShare una empresa de Scribd logo

Auditoria informatica[1]

J
JennyRodrig
1 de 32
Descargar para leer sin conexión
UNIVERSIDAD TÉCNICA DE MANABÍ FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECONÓMICAS CARRERA DE AUDITORÍA 8vo “M” TRABAJOS DE AUDITORÍA INFORMÁTICA CATEDRÁTICO ING. KEVIN MERO RESPONSABLES HÉCTOR EMILIO BRAVO ESCOBAR DIANA GARCÍA CEVALLOS ANA CECILIA VERA VÉLIZ JENNY RODRÍGUEZ SÁNCHEZ MARÍA LEONOR GARCÍA CEDEÑO Portoviejo, 22 de noviembre de 2011
TALLER 1 (UNIDAD 1) FUNDAMENTO S DE LA AUDITORÍA DE SISTEMAS INFORMÁTICOS
ESTE TRABAJO YA FUE ENTREGADO EN CLASES.
TALLER 2(UNIDAD 2) EL CONTROL DE LOS SITEMAS DE INFORMACION COMPUTARIZADOS
VISITAR UNA EMPRESA PUBLICA O PRIVADA Y DESCUBRIR LOS CONTROLES INFORMATICOS (PREVENTIVOS, DETECTIVOS Y CORRECTIVOS) QUE SE HALLAN IMPLEMENTADO EN UN AREA ESPECIFICA MEDIANTE LA OBSERVACION DIRECTA DE UNA EMPRESA INTENDENCIA REGIONAL DE BANCOS Y SEGUROS PORTOVIEJO CONTROL INTERNO INFORMATICO DE LA INTENDENCIA REGIONAL DE BANCOS Y SEGUROS PORTOVIEJO. El control interno informático de la Intendencia Regional de Bancos y Seguros Portoviejo controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales. La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. Control interno informático de la Intendencia Regional de Bancos y Seguros Portoviejo suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. Como principales objetivos podemos indicar los siguientes:  Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.  Asesorar sobre el conocimiento de las normas.  Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias externas al grupo.  Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informático, lo cual no debe considerarse como que la
implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados. La auditoria informática en la Intendencia es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos. En el ambiente informático de la Intendencia Regional de Bancos y Seguros Portoviejo, el control interno se materializa fundamentalmente en controles de dos tipos: • Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales. • Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, entre otros. Control de las diferentes actividades operativas sobre: • El cumplimiento de procedimientos, normas y controles dictados. se debe resaltar : vigilancia sobre el control de cambios y versiones del software, • Controles sobre la producción diaria, • Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático, • Controles en las redes de comunicaciones, • Controles sobre el software de base, • Controles en los sistemas microinformáticos, • La seguridad informática (su responsabilidad puede estar asignada a control interno o bien puede asignársele la responsabilidad de control dual de la misma cuando esta encargada a otro órgano) :
• usuarios, responsables y perfiles de uso de archivos y base de datos, • normas de seguridad, • control de información clasificada, • control dual de la seguridad informática • licencias y relaciones contractuales con terceros, • asesorar y transmitir cultura sobre el riesgo informático. En la Intendencia Regional de Bancos y Seguros de Portoviejo, Los controles informáticos según su finalidad se clasifican en: • Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. • Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. • Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. CONTROL PREVENTIVO 1. Evitar problemas antes de que aparezcan. 2. Monitorear tanto las operaciones como las transacciones de entrada. 3. Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes. 4. Prevenir la ocurrencia de un error, omisión o acto delictivo. Ejemplos * Emplear únicamente personal calificado * Segregar funciones (factor disuasivo) * Controlar el acceso a las instalaciones físicas * Usar documentos bien diseñados (previene errores) * Establecer procedimientos convenientes para la autorización de transacciones * Chequeos de validación programados
* Uso de software para el control de acceso que permite únicamente el acceso a archivos sensitivos a personal autorizado CONTROL DETECTIVO 1. Controles que detectan un error, omisión o acto delictivo que haya ocurrido y reporta la ocurrencia Ejemplos * Totales de comprobación * Puntos de chequeó en trabajos de producción * Doble verificación de los cálculos * El reportaje periódico de la ejecución con variaciones Reportes de las cuentas atrasadas * Funciones de auditoría interna CONTROL CORRECTIVO 1. Reducir el impacto de una amenaza 2. Remediar los problemas descubiertos por los controles detectivos 3. Identificar la causa de un problema 4. Corregir los errores que surjan de un problema 5. Modificar el (los) sistema(s) de procesamiento para reducir las futuras ocurrencias del problema Ejemplos * Planificación de contingencia * Procedimientos de respaldo * Procedimientos para volver a hacer una corrida FUNCIONES A REALIZAR POR UN AUDITOR INFORMATICO: Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes. Revisar y juzgar los controles implantados en los si para verificar su adecuación a las órdenes e instrucciones de la dirección, requisitos
legales, protección de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información, para la realización de estas funciones el auditor informático deberá aplicar técnicas mecanizadas de auditoria, incluyendo el uso de software de auditoria y otras técnicas asistidas por computador. El auditor es responsable de revisar e informar a la dirección de la organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.
INFORME DE LA INVESTIGACION DE CAMPO QUE SE REALIZO EN LA EMPRESA Portoviejo, 17 de noviembre de 2011 Informe N# 001 Ingeniero Kevin Mero Catedrático del Octavo Semestre “M” de Auditoria. Asunto: Investigación de campo en la Intendencia regional de Bancos y Seguros Portoviejo. Introducción: Tengo a bien dirigirme a usted, con la finalidad de hacerle partícipe del presente Informe, en el cual se le hará conocer sobre la investigación de campo que realizamos en la Intendencia Regional de Bancos y Seguros Portoviejo. Logros: El día miércoles 16 de octubre siendo las 13:00 horas nos reunimos en la Urbanización San Marino, contando con la asistencia de todos los integrantes del grupo, así mismo se notó el interés en la realización del trabajo por parte de todos, pues en este día visitamos la entidad para solicitar información y poder realizar el trabajo. Así mismo nos reunimos el día jueves 17 de octubre a las 13:30 horas, en casa del Sr. Héctor Bravo, donde también se dio la asistencia de todos, y de igual forma existió un trabajo de equipo, este día ultimamos detalles para el trabajo el trabajo de investigación. Problemas: No tuvimos problemas para realizar el trabajo. Alternativas de solución: Ninguna. Conclusión: Se puede concluir que este grupo es un grupo muy responsable y trabajador. Esto es todo en cuanto puedo informar. Atentamente, Ana Cecilia Vera Véliz Responsable del grupo
Antecedentes de la intendencia Regional de Bancos y seguros Portoviejo. ANTECEDENTES DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS DEL ECUADOR. El Ecuador tras conseguir su independencia en 1830, tenía una economía poco monetizada, en la que circulaban monedas de oro y plata acuñadas de acuerdo con sucesivas leyes de moneda. Nuestro naciente país se caracterizaba por ser agrícola y comercial, actividades orientadas en gran parte al comercio exterior, debido a a estas actividades enfrentó una insuficiencia de recursos monetarios. La exportación de monedas, la falsificación e incluso la emisión de billetes por establecimientos particulares determinó que en 1832 se dicte por primera vez una Ley de Monedas en la República del Ecuador, para regular la acuñación de dinero y plata. En 1869 se promulgó la Ley de Bancos Hipotecarios, cuya vigilancia, a pesar de ser incompleta, se mantuvo durante más de cincuenta años. Fue en 1899 cuando se elaboró una Ley de Bancos que disponía lo concerniente a los bancos de emisión, que operaban en la fabricación de moneda y en el manejo de los negocios bancarios del país. Llegaron a ser seis las entidades que emitían dinero. Por primera vez se nombró una autoridad de supervisión de los bancos, mediante decreto ejecutivo en 1914, cuando se creo el cargo de Comisario Fiscal de Bancos, Su misión era vigilar la emisión y cancelación de los billetes de bancos, medida que entonces se dictó como de emergencia. En 1927, bajo inspiración de la Misión Kemmerer (1925 - 1927), llamada así porque la presidió el doctor Edwin Walter Kemmerer, produjo en el país una verdadera transformación en el ramo bancario y financiero al expedir: La Ley Orgánica de Bancos, la Ley Orgánica del Banco Hipotecario (Banco Nacional de Fomento) y la
Ley Orgánica del Banco Central, que afianzaron el sistema financiero del país, así como otras leyes que regularon el manejo de la Hacienda Pública. Desde entonces, se estableció la supervisión de las operaciones bancarias mediante la creación de la SUPERINTENDENCIA DE BANCOS el día 6 de Septiembre de 1927. ANTECEDENTES DE LA INTENDENCIA REGIONAL DE BANCOS Y SEGUROS PORTOVIEJO. ART.UNICO.- Se crea la Intendencia de Bancos de la ciudad de Portoviejo, con jurisdicción en la Provincia, de Manabí, para la vigilancia y control de las entidades bancarias, financieras de seguros, señaladas en la Ley General de Bancos, en la Ley de Compañías de Seguros, en la Ley de Compañías Financieras y en otras leyes especiales.. Que el art. 4 del decreto Ley N° 11 del 21 de agosto de 1985, promulgado en el Registro Oficial N°225 de 22 del mismo mes y año, al reformar el art. 23 de la Ley General de Bancos, concede al Superintendente de Bancos, facultades suficientes para crear y establecer oficinas de la Superintendencia de Bancos, a fin de asegurar la eficacia de las actividades de vigilancia y control que le competen. PRINCIPALES DISPOSICIONES LEGALES Sus actividades se encuentran reguladas por: Ley General de Bancos Ley de Compañías de Seguros Ley de Compañías Financieras Otras Leyes Especiales PRINCIPALES ACTIVIDADES, OPERACIONES E INSTALACIONES
Su principal actividad es la Supervisión y Control de la Banca Pública, Privada, Cooperativas, Seguro Social y Seguro Privado, (Control al Sistema Financiero Nacional), Sociedades Financieras y Grupo Financiero. Las instalaciones en la que opera son de su entera propiedad, cuenta con garaje y bodega de maquinas; y con la infraestructura adecuada para los deferentes departamentos. OBJETIVO DE LA ENTIDAD Consolidar un sistema financiero solvente, confiable, eficiente y competitivo, con elevado grado de profundización, que promueva de forma efectiva el crecimiento económico del país. Consolidar un sistema de seguros privados eficiente y sólido; que en un marco de transparencia y equidad garantice los intereses de los asegurados. Consolidar un sistema de seguridad social y de ahorro provisional que garantice el bienestar futuro de los asegurados. Evidenciar la capacidad de la Superintendencia de Bancos y Seguros, para cumplir de forma efectiva la función constitucional y legalmente asignada. Lograr que el mercado financiero ecuatoriano sea un factor clave para el incremento de ahorro domestico y el ingreso de capitales extranjeros y su canalización hacia los sectores productivos.
Evidencias del trabajo
BIBLIOGRAFÍA http://www.sbs.gob.ec/practg/p_index?vp_art_id=154&vp_tip=2
UNIVERSIDAD TÉCNICA DE MANABÍ FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECONÓMICAS CARRERA DE AUDITORÍA 8vo “M” TRABAJOS DE AUDITORÍA INFORMÁTICA CATEDRÁTICO ING. KEVIN MERO RESPONSABLES HÉCTOR EMILIO BRAVO ESCOBAR DIANA GARCÍA CEVALLOS ANA CECILIA VERA VÉLIZ JENNY RODRÍGUEZ SÁNCHEZ MARÍA LEONOR GARCÍA CEDEÑO Portoviejo, 22 de noviembre de 2011
TALLER EXTRA 1
SÍNTESIS DE LA DELINCUENCIA VÍA ELECTRÓNICA EN ECUADOR Según el artículo del Diario, publicado el lunes 11 de abril de 2011, sobre la “DELICUENCIA ATACA VÍA ELECTRÓNICA”, podemos indicar que hoy en día la delincuencia vía internet está afectando a miles de usuarios, sobre todo a la Banca privada. El modo operando de los antisociales es variado, cada día perfeccionan su obrar, razón por la cual hay que ponerse al día en cuanto al uso de la tecnología para no ser víctimas de estos delincuentes. CONSEJOS PARA EVITAR SER VÍCTIMAS DE LA DELINCUENCIA ELECTRÓNICA EN ECUADOR Las transacciones electrónicas son cada vez más frecuentes en todas partes, esto ha generado interés en los ciber-delincuentes en intentar obtener números de tarjetas, claves, es decir, obtener información confidencial de sus víctimas mediante engaños valiéndose de la tecnología. Por esta razón se debe tener en consideración los siguientes consejos: Utilizar una computadora segura.- Cuando vayamos a realizar una transacción debemos utilizar una computadora de confianza. Escanear la computadora regularmente en busca de virus.- Hay que mantener el antivirus y el firewall de la computadora siempre actualizados. Conocer bien la página de donde se realizan las transacciones electrónicas.- Los delincuentes cibernéticos tratan de reemplazar las páginas utilizadas regularmente para realizar transacciones. HACER LAS COMPRAS EN SITIOS SEGUROS Cómo identificar un sitio seguro:  Ver la ventana donde se localiza la dirección electrónica del negocio. Ahí se encontrará las letras "https://". La "s" al final
significa que el sitio es seguro, aunque en ocasiones la "s" sólo aparece en la página de pago.  Otra manera de saber si el sitio es seguro es observando un candado que se encuentra al pie de la página. Un candado abierto indica que lo más probable es que el sitio no es seguro.  El tercer indicador es una llave al pie de la página. Una llave entera significa un sitio seguro. Conocer el sitio bien antes de comprar Procurar hacer compras en sitios conocidos. De otra manera, investigar antes de comprar. Leer la política de privacidad y seguridad del sitio Todo negocio electrónico confiable ofrece información sobre su transacción. Por lo general puede conocer esa información en una sección llamada "Privacy Policy". Se debe realizar las compras preferentemente con tarjetas de crédito. La manera más segura para hacer comprar por internet es con una tarjeta de crédito, ya que de esa forma el consumidor está protegido por la ley, ésta dicta que se tiene el derecho de disputar compras ilícitas y suspender sus pagos durante una investigación. Jamás utilizar el número de Seguro Social por internet Ninguna compra requiere el uso de su número de Seguro Social. Ningún negocio tiene por qué pedirlo. la Página Informativa #17 titulado "Cómo sobrevivir el robo de identidad" Proporcionar la mínima cantidad de información posible Hay información clave, como el nombre y dirección, que se debe de proveer al comprar un producto por internet, pero jamás contestar una pregunta que se considere no apropiada. La contraseña es personal
Jamás revelar la contraseña a otra persona y cuando se escoja una, no utilice combinaciones comunes como la fecha de un cumpleaños. Verificar la dirección del sitio En la parte superior de la página está un rectángulo que contiene una dirección electrónica (conocido en inglés como el URL o el Uniform Resource Locator). Verifique que usted está en el sitio deseado. Los criminales cibernéticos han creado sitios extremadamente parecidos a compañías confiables y conocidas. Mantener fotocopias de las transacciones Al terminar la orden debe de aparecer una página que resume la transacción. Se recomienda quedarse con una copia de ella. BIBLIOGRAFÍA eldiario.com.ec www.webadicto.com forodeseguridad.com
TALLER EXTRA 2
QUÉ ES UN SISTEMA DE INFORMACIÓN Es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad (objetivo). ELEMENTOS DE UN SISTEMA DE INFORMACIÓN.  Físicos (hardware, dispositivos, periféricos y conexiones)  Lógicos (sistemas, operativos, aplicaciones, protocolos)  Humanos (personal experto que maneja el software y hardware)  Recursos materiales en general ( recursos informáticos y de comunicación, aunque no tienen por qué ser de este tipo obligatoriamente). EL DEPARTAMENTO DE INFORMÁTICA ES IMPORTANTE QUE REALICE UN PLAN INFORMÁTICO, SUSTENTE SU RESPUESTA? Es necesario que toda organización esté a la vanguardia de los procesos de cambio. Donde disponer de información continua, confiable y en tiempo, constituye una ventaja fundamenta de allí la importancia de realizar un plan informático que nos permita: La Disponibilidad de los sistemas de información. El Recupero rápido y completo de los sistemas de información La Integridad de la información. La Confidencialidad de la información. Supervisar, garantizar e implantar sistemas de información de todas las áreas de la empresa QUÉ ES LA ORGANIZACIÓN DE DATOS Organización de datos es un modo de sistematizar la información dándole un orden lógico que facilite la consulta, la información y la auditoría.
QUÉ ES UNA RED, NOMBRE UN EJEMPLO Una red informática es un conjunto de computadoras conectadas entre sí compartiendo información, recursos como CD-ROM, impresoras, grabadoras de DVD y servicios como e-mail, Chat, conexiones a Internet, juegos, etc. Ejemplo; Red de Bus: es aquella red informática que permite que una computadora transmita información y todas las demás reciben esa información. REALICE UNA TABLA EN DONDE SE COMPARE LA DIFERENCIA ENTRE LAS REDES LAN, MAN Y WAN RED DEFINICIÓN ALCANCE LAN Es una red que Red de área local 1 conecta los km ordenadores en un área relativamente pequeña y predeterminada (como una habitación, un edificio, o un conjunto de edificios). MAN Son redes que se Red de área extienden sobre áreas metropolitana 10 km geográficas de tipo urbano, como una ciudad WAN Es una red que se Cubre un área extiende sobre un geográfica más área geográfica extensa y conectan amplia, a veces un ciudades y países. país o un continente. Red de área mundial 10000 km
POR QUÉ ES IMPORTANTE QUE UNA EMPRESA CUENTE CON UNA INFRAESTRUCTURA DE RED DE CALIDAD? Una infraestructura de red se refiere a las posibilidades de comunicación de redes que ayudan a compartir los recursos de IT dentro y a través de los límites de la compañía. Las conexiones por red permiten a los empleados de una empresa colaborar entre sí y con empleados de otros lugares u otras empresas. Posibilitan el contacto de maneras nuevas, a la vez que lo estrechan más de lo que jamás habría cabido imaginar, entre personas de la oficina o de cualquier punto del globo. Si la empresa está conectada por una buena infraestructura de red, nadie está lejos de nadie. QUÉ ES UN DATAWAREHOUSE Al DataWareHouse se lo define como una colección resumida de datos provenientes de fuentes u orígenes diferentes, estructurada y optimizada para posteriormente tener acceso a través de herramientas de búsqueda. QUÉ ES UN DATAMINING? Es la extracción de la información oculta y predecible de grandes bases de datos, es una poderosa tecnología nueva con gran potencial para ayudar a las compañías a concentrarse en la información más importante de sus Bases de Información (Data Warehouse). PIENSA USTED QUE E-BUSSINESS/e-COMMERCE SON TÉRMINOS SIMILARES, SUSTENTE SU RESPUESTA? Muchas veces se presenta confusión entre los términos e-commerce y e-business, tratándolos como sinónimos y esto no es así. Aunque existe una relación entre ambos no podemos decir que son los mismos términos.
Se define al E–Business como cualquier actividad empresarial que se efectúa a través de Internet, no sólo de compra y venta, sino también dando servicio a los clientes y/o colaborando con socios comerciales. E-Commerce: Comprende la compra, venta, marketing, y servicios para productos o servicios por medio de redes de computadoras. ES IMPORTANTE EL PLAN DE RECUPERACIÓN DE DESASTRES EN UNA EMPRESA, CUÁÑ ÁREA DE LA EMPRESA ES LA ENCARGADA DE DEFINIR ESTE PLAN. Recuperación de Desastres es la capacidad para responder a una interrupción de los servicios mediante la implementación de un plan para restablecer las funciones críticas de la organización. Partiendo de este concepto consideramos que el Plan de Recuperación de Desastres en una empresa es de mucha importancia ya que de este depende la continuidad del Negocio. BIBLIOGRAFÍA www.gestiopolis.com trabajofinal4.tripod.com monografías.com www.ccec.edu.uy
TALLER EXTRA 3
PREGUNTAS DEL APORTE GRUPO 1 1.- ¿Qué es la auditoría de sistemas informáticos? La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial 2.- ¿Describa los objetivos de la auditoría informática? • Salvaguardar los activos "Hardwaare,Software yRecursos Humanos" • -Integridad de datos • -Efectividad de los sistemas informáticos • -Eficiencia de los sistemas informáticos • -Confidencialidad y Seguridad 3.- ¿Hable sobre la ubicación de recursos humanos del departamento de auditoría de sistemas informáticos? La ubicación del recurso humano del departamento de Auditoría de Sistemas, debe ser de total independencia del resto de unidades, y tener autoridad para ejercer su labor. Además debe contar con recursos humano, técnico y económico, así como con un estatuto legal o normativa que de autoridad e independencia a este departamento. 4.- ¿Por qué es importante la Auditoría de Sistemas Informáticos? La Auditoría Informática es importante porque permite: La alta sistematización de las organizaciones Nuevas Tecnologías Automatización de controles Integración Importancia de información Automatización de la Auditoria
5.- ¿Qué es la certificación CGEIT (Certificado en Administración de Gobierno, Tecnología e Información? Es una certificación que se otorga a los profesionales que tiene un rol significativo en las organizaciones y la gerencia. La certificación promueve el desarrollo de profesionales que desean ser reconocidos por su experiencia, competencia y habilidades.
GRUPO 2 1.- ¿Qué es la auditoría de sistemas informáticos? La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial. 2.- ¿Escriba los objetivos de la auditoría informática? Salvaguardar los activos "Hardwaare,Software yRecursos Humanos" Integridad de datos Efectividad de los sistemas informáticos Eficiencia de los sistemas informáticos Confidencialidad y Seguridad 3.- ¿Cuál es la misión y responsabilidad del Departamento de Auditoría y Sistemas Informáticos? Proveer a los gerentes de la organización, información segura y razonable. 4.- ¿Por qué es importante la Auditoría de Sistemas Informáticos? La alta sistematización de las organizaciones Nuevas Tecnologías Automatización de controles Integración de la información Importancia de la información para la toma de decisiones Automatización de la Auditoria
5.- ¿Qué es la certificación CISM(Certificación de Seguridad en Sistemas e Información) Está dirigida específicamente a profesionales experimentados en la seguridad de la información, orientada a la gerencia, seguridad, diseño y manejo de aspectos técnicos de la información
QUÉ ES LA CERTIFICACIÓN CRISC La certificación CRISC, es una nueva certificación creada por la ISACA, misma que se le otorga a los profesionales de TI con habilidades y experiencia relacionada con:  Identificación, asesoramiento y evaluación de riesgos.  Respuesta a riesgos.  Monitoreo de riesgos.  Diseño e Implementación de controles de SI.  Monitorización y mantenimiento de controles de SI QUÉ ES LA CISA (AUDITOR CERTIFICADO DE SISTEMAS INFORMÁCIÓN) Es una certificación para auditores respaldada por la ISACA, como símbolo de excelencia. QUÉ ES LA CERTIFICACIÓN CISM (GERENTE CERTIFICADO DE SEGURIDAD DE INFORMACIÓN) Es una certificación dirigida especialmente a profesionales experimentados en la seguridad de la información y gerencia de riesgos. QUÉ ES LA CERTIFICACIÓN CGEIT (CERTIFICADO EN EL GOBIERNO DE TI EN EMPRESAS) Es una nueva certificación orientada a otro de los grandes pilares de la gestión de la tecnología en la empresa, el Gobierno de las TI en el ámbito corporativo. QUÉ ES LA CERTIFICACIÓN CRISC Esta certificación ha sido diseñada especialmente para los profesionales de TI que tienen experiencia práctica en identificación y evaluación y monitorización de riesgos. CUÁL ES EL OBJETIVO DE LA ORGANIZACIÓN ISACA
El objetivo principal es promover la educación de sus miembros, el uso compartido de recursos, el establecimiento de una red de contactos profesionales y una amplia gama de beneficios adicionales a nivel local, orientados al mejoramiento y al desarrollo de sus capacidades individuales relacionadas con la práctica de la auditoria, el control y la seguridad de sistemas de información. EN ECUADOR EXIXTE UN CAPÍTULO DE ISACA, EN QUÉ LUGAR Y QUÉ ACTIVIDADES REALIZAN ESTOS PROFESIONALES Capitulo Quito – Ecuador, fue fundado en el año 2004 con 10 miembros. ACTIVIDADES QUE DESARROLLAN Planes de entrenamiento y acciones a seguir con el objetivo de que sus miembros obtengan Certificaciones que le permitan desarrollarse profesionalmente buscando la excelencia. Otorgan membrecías –certificaciones y otros beneficios. Charlas: Delito Informático aplicado a la Banca- Un enfoque para el Auditor de sistemas Presentación del Plan de Capacitación 2011Sorteos de Membrecías y demás sorpresas tanto para asistentes como para socios. BIBLIOGRAFÍA www.cavaju.com www.isaca.org.pe wikipedia gobernanza.wordpress www.adacsi.org.ar www.slideshare.net

Recomendados

43 norma internacional de auditoría 810
43 norma internacional de auditoría 81043 norma internacional de auditoría 810
43 norma internacional de auditoría 810
alfredo ZAPANA
 
Auditoria informática taller n3
Auditoria informática taller n3Auditoria informática taller n3
Auditoria informática taller n3
rocapio1987
 
Taller de-auditoria
Taller de-auditoriaTaller de-auditoria
Taller de-auditoria
Alberto Arredondo Infante
 
Contratación informática Gladys Sobenis
Contratación informática Gladys SobenisContratación informática Gladys Sobenis
Contratación informática Gladys Sobenis
gla09
 
Valores y Etica del Auditor Informático
Valores y Etica del Auditor InformáticoValores y Etica del Auditor Informático
Valores y Etica del Auditor Informático
YESLUP
 
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICOTECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
Rosa Barba
 
Auditoria de sistemas informaticos
Auditoria de sistemas informaticosAuditoria de sistemas informaticos
Auditoria de sistemas informaticos
LADY ALVEAR
 
Auditoria informatica pa exponer
Auditoria informatica pa exponerAuditoria informatica pa exponer
Auditoria informatica pa exponer
Jeampierre Meza
 

Recomendados

43 norma internacional de auditoría 810
43 norma internacional de auditoría 81043 norma internacional de auditoría 810
43 norma internacional de auditoría 810
alfredo ZAPANA
 
Auditoria informática taller n3
Auditoria informática taller n3Auditoria informática taller n3
Auditoria informática taller n3
rocapio1987
 
Taller de-auditoria
Taller de-auditoriaTaller de-auditoria
Taller de-auditoria
Alberto Arredondo Infante
 
Contratación informática Gladys Sobenis
Contratación informática Gladys SobenisContratación informática Gladys Sobenis
Contratación informática Gladys Sobenis
gla09
 
Valores y Etica del Auditor Informático
Valores y Etica del Auditor InformáticoValores y Etica del Auditor Informático
Valores y Etica del Auditor Informático
YESLUP
 
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICOTECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
Rosa Barba
 
Auditoria de sistemas informaticos
Auditoria de sistemas informaticosAuditoria de sistemas informaticos
Auditoria de sistemas informaticos
LADY ALVEAR
 
Auditoria informatica pa exponer
Auditoria informatica pa exponerAuditoria informatica pa exponer
Auditoria informatica pa exponer
Jeampierre Meza
 
Cobit 4, trabajo final
Cobit 4, trabajo finalCobit 4, trabajo final
Cobit 4, trabajo final
Osita Sweet
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Zhane Raymundo Cruz
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
Gemiunivo
 
Conceptos Basicos De Auditoria
Conceptos Basicos De AuditoriaConceptos Basicos De Auditoria
Conceptos Basicos De Auditoria
guesta7c44f1
 
Auditoria en sistemas informaticos
Auditoria en sistemas informaticosAuditoria en sistemas informaticos
Auditoria en sistemas informaticos
alexa992
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemas
Lucy1009
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de Informacion
Javier Moreno
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
Universidad San Agustin
 
ppt. Auditoria Financiera
ppt. Auditoria Financierappt. Auditoria Financiera
ppt. Auditoria Financiera
MARCO BAILA
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
luismarlmg
 
Silabo de auditoria informatica
Silabo de auditoria informaticaSilabo de auditoria informatica
Silabo de auditoria informatica
Jose Luis Erazo Parra
 
Normas APA
Normas APANormas APA
Normas APA
Raul Choque
 
MI PROYECTO DE VIDA EN WORD
MI PROYECTO DE VIDA EN WORDMI PROYECTO DE VIDA EN WORD
MI PROYECTO DE VIDA EN WORD
Soniarcos
 
EXPLICACION NORMAS APA PARA TRABAJOS ESCRITOS
EXPLICACION NORMAS APA PARA TRABAJOS ESCRITOSEXPLICACION NORMAS APA PARA TRABAJOS ESCRITOS
EXPLICACION NORMAS APA PARA TRABAJOS ESCRITOS
SENA
 
Estatuto ufps
Estatuto ufpsEstatuto ufps
Estatuto ufps
CEDEUFPS
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 
Yerald tormet
Yerald tormetYerald tormet
Yerald tormet
yerald tormet
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Carolina Acosta
 
Auditoria Davinson García
Auditoria Davinson GarcíaAuditoria Davinson García
Auditoria Davinson García
Jdgc2304
 
Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoria
GENEDURAN
 
Elizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaElizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informatica
IUPSM
 
Tema 2
Tema 2Tema 2
Tema 2
Carmelo Branimir España Villegas
 

Más contenido relacionado

Destacado

Conceptos Basicos De Auditoria
Conceptos Basicos De AuditoriaConceptos Basicos De Auditoria
Conceptos Basicos De Auditoria
guesta7c44f1
 
Auditoria en sistemas informaticos
Auditoria en sistemas informaticosAuditoria en sistemas informaticos
Auditoria en sistemas informaticos
alexa992
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de Informacion
Javier Moreno
 
Estatuto ufps
Estatuto ufpsEstatuto ufps
Estatuto ufps
CEDEUFPS
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 

Destacado (16)

Cobit 4, trabajo final
Cobit 4, trabajo finalCobit 4, trabajo final
Cobit 4, trabajo final
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
 
Conceptos Basicos De Auditoria
Conceptos Basicos De AuditoriaConceptos Basicos De Auditoria
Conceptos Basicos De Auditoria
 
Auditoria en sistemas informaticos
Auditoria en sistemas informaticosAuditoria en sistemas informaticos
Auditoria en sistemas informaticos
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemas
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de Informacion
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
ppt. Auditoria Financiera
ppt. Auditoria Financierappt. Auditoria Financiera
ppt. Auditoria Financiera
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Silabo de auditoria informatica
Silabo de auditoria informaticaSilabo de auditoria informatica
Silabo de auditoria informatica
 
Normas APA
Normas APANormas APA
Normas APA
 
MI PROYECTO DE VIDA EN WORD
MI PROYECTO DE VIDA EN WORDMI PROYECTO DE VIDA EN WORD
MI PROYECTO DE VIDA EN WORD
 
EXPLICACION NORMAS APA PARA TRABAJOS ESCRITOS
EXPLICACION NORMAS APA PARA TRABAJOS ESCRITOSEXPLICACION NORMAS APA PARA TRABAJOS ESCRITOS
EXPLICACION NORMAS APA PARA TRABAJOS ESCRITOS
 
Estatuto ufps
Estatuto ufpsEstatuto ufps
Estatuto ufps
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 

Similar a Auditoria informatica[1]

Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoria
GENEDURAN
 
Presentación2
Presentación2Presentación2
Presentación2
yuliaranda
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informatica
fabianlfb182
 

Similar a Auditoria informatica[1] (20)

Yerald tormet
Yerald tormetYerald tormet
Yerald tormet
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria Davinson García
Auditoria Davinson GarcíaAuditoria Davinson García
Auditoria Davinson García
 
Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoria
 
Elizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaElizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informatica
 
Tema 2
Tema 2Tema 2
Tema 2
 
Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_0Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_0
 
Wilfer alviarez.
Wilfer alviarez. Wilfer alviarez.
Wilfer alviarez.
 
AUDITORIA.ppt
AUDITORIA.pptAUDITORIA.ppt
AUDITORIA.ppt
 
Resumen unidad 1 auditoria de sistemas
Resumen unidad 1 auditoria de sistemasResumen unidad 1 auditoria de sistemas
Resumen unidad 1 auditoria de sistemas
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsx
 
auditoria
auditoriaauditoria
auditoria
 
Informe carlos rodriguez auditoria
Informe carlos rodriguez auditoriaInforme carlos rodriguez auditoria
Informe carlos rodriguez auditoria
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Control interno
Control internoControl interno
Control interno
 
Presentación2
Presentación2Presentación2
Presentación2
 
Anm
AnmAnm
Anm
 
Rm
RmRm
Rm
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informatica
 

Auditoria informatica[1]

  • 1. UNIVERSIDAD TÉCNICA DE MANABÍ FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECONÓMICAS CARRERA DE AUDITORÍA 8vo “M” TRABAJOS DE AUDITORÍA INFORMÁTICA CATEDRÁTICO ING. KEVIN MERO RESPONSABLES HÉCTOR EMILIO BRAVO ESCOBAR DIANA GARCÍA CEVALLOS ANA CECILIA VERA VÉLIZ JENNY RODRÍGUEZ SÁNCHEZ MARÍA LEONOR GARCÍA CEDEÑO Portoviejo, 22 de noviembre de 2011
  • 2. TALLER 1 (UNIDAD 1) FUNDAMENTO S DE LA AUDITORÍA DE SISTEMAS INFORMÁTICOS
  • 3. ESTE TRABAJO YA FUE ENTREGADO EN CLASES.
  • 4. TALLER 2(UNIDAD 2) EL CONTROL DE LOS SITEMAS DE INFORMACION COMPUTARIZADOS
  • 5. VISITAR UNA EMPRESA PUBLICA O PRIVADA Y DESCUBRIR LOS CONTROLES INFORMATICOS (PREVENTIVOS, DETECTIVOS Y CORRECTIVOS) QUE SE HALLAN IMPLEMENTADO EN UN AREA ESPECIFICA MEDIANTE LA OBSERVACION DIRECTA DE UNA EMPRESA INTENDENCIA REGIONAL DE BANCOS Y SEGUROS PORTOVIEJO CONTROL INTERNO INFORMATICO DE LA INTENDENCIA REGIONAL DE BANCOS Y SEGUROS PORTOVIEJO. El control interno informático de la Intendencia Regional de Bancos y Seguros Portoviejo controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales. La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. Control interno informático de la Intendencia Regional de Bancos y Seguros Portoviejo suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. Como principales objetivos podemos indicar los siguientes:  Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.  Asesorar sobre el conocimiento de las normas.  Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias externas al grupo.  Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informático, lo cual no debe considerarse como que la
  • 6. implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados. La auditoria informática en la Intendencia es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos. En el ambiente informático de la Intendencia Regional de Bancos y Seguros Portoviejo, el control interno se materializa fundamentalmente en controles de dos tipos: • Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales. • Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, entre otros. Control de las diferentes actividades operativas sobre: • El cumplimiento de procedimientos, normas y controles dictados. se debe resaltar : vigilancia sobre el control de cambios y versiones del software, • Controles sobre la producción diaria, • Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático, • Controles en las redes de comunicaciones, • Controles sobre el software de base, • Controles en los sistemas microinformáticos, • La seguridad informática (su responsabilidad puede estar asignada a control interno o bien puede asignársele la responsabilidad de control dual de la misma cuando esta encargada a otro órgano) :
  • 7. usuarios, responsables y perfiles de uso de archivos y base de datos, • normas de seguridad, • control de información clasificada, • control dual de la seguridad informática • licencias y relaciones contractuales con terceros, • asesorar y transmitir cultura sobre el riesgo informático. En la Intendencia Regional de Bancos y Seguros de Portoviejo, Los controles informáticos según su finalidad se clasifican en: • Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. • Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. • Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. CONTROL PREVENTIVO 1. Evitar problemas antes de que aparezcan. 2. Monitorear tanto las operaciones como las transacciones de entrada. 3. Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes. 4. Prevenir la ocurrencia de un error, omisión o acto delictivo. Ejemplos * Emplear únicamente personal calificado * Segregar funciones (factor disuasivo) * Controlar el acceso a las instalaciones físicas * Usar documentos bien diseñados (previene errores) * Establecer procedimientos convenientes para la autorización de transacciones * Chequeos de validación programados
  • 8. * Uso de software para el control de acceso que permite únicamente el acceso a archivos sensitivos a personal autorizado CONTROL DETECTIVO 1. Controles que detectan un error, omisión o acto delictivo que haya ocurrido y reporta la ocurrencia Ejemplos * Totales de comprobación * Puntos de chequeó en trabajos de producción * Doble verificación de los cálculos * El reportaje periódico de la ejecución con variaciones Reportes de las cuentas atrasadas * Funciones de auditoría interna CONTROL CORRECTIVO 1. Reducir el impacto de una amenaza 2. Remediar los problemas descubiertos por los controles detectivos 3. Identificar la causa de un problema 4. Corregir los errores que surjan de un problema 5. Modificar el (los) sistema(s) de procesamiento para reducir las futuras ocurrencias del problema Ejemplos * Planificación de contingencia * Procedimientos de respaldo * Procedimientos para volver a hacer una corrida FUNCIONES A REALIZAR POR UN AUDITOR INFORMATICO: Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes. Revisar y juzgar los controles implantados en los si para verificar su adecuación a las órdenes e instrucciones de la dirección, requisitos
  • 9. legales, protección de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información, para la realización de estas funciones el auditor informático deberá aplicar técnicas mecanizadas de auditoria, incluyendo el uso de software de auditoria y otras técnicas asistidas por computador. El auditor es responsable de revisar e informar a la dirección de la organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.
  • 10. INFORME DE LA INVESTIGACION DE CAMPO QUE SE REALIZO EN LA EMPRESA Portoviejo, 17 de noviembre de 2011 Informe N# 001 Ingeniero Kevin Mero Catedrático del Octavo Semestre “M” de Auditoria. Asunto: Investigación de campo en la Intendencia regional de Bancos y Seguros Portoviejo. Introducción: Tengo a bien dirigirme a usted, con la finalidad de hacerle partícipe del presente Informe, en el cual se le hará conocer sobre la investigación de campo que realizamos en la Intendencia Regional de Bancos y Seguros Portoviejo. Logros: El día miércoles 16 de octubre siendo las 13:00 horas nos reunimos en la Urbanización San Marino, contando con la asistencia de todos los integrantes del grupo, así mismo se notó el interés en la realización del trabajo por parte de todos, pues en este día visitamos la entidad para solicitar información y poder realizar el trabajo. Así mismo nos reunimos el día jueves 17 de octubre a las 13:30 horas, en casa del Sr. Héctor Bravo, donde también se dio la asistencia de todos, y de igual forma existió un trabajo de equipo, este día ultimamos detalles para el trabajo el trabajo de investigación. Problemas: No tuvimos problemas para realizar el trabajo. Alternativas de solución: Ninguna. Conclusión: Se puede concluir que este grupo es un grupo muy responsable y trabajador. Esto es todo en cuanto puedo informar. Atentamente, Ana Cecilia Vera Véliz Responsable del grupo
  • 11. Antecedentes de la intendencia Regional de Bancos y seguros Portoviejo. ANTECEDENTES DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS DEL ECUADOR. El Ecuador tras conseguir su independencia en 1830, tenía una economía poco monetizada, en la que circulaban monedas de oro y plata acuñadas de acuerdo con sucesivas leyes de moneda. Nuestro naciente país se caracterizaba por ser agrícola y comercial, actividades orientadas en gran parte al comercio exterior, debido a a estas actividades enfrentó una insuficiencia de recursos monetarios. La exportación de monedas, la falsificación e incluso la emisión de billetes por establecimientos particulares determinó que en 1832 se dicte por primera vez una Ley de Monedas en la República del Ecuador, para regular la acuñación de dinero y plata. En 1869 se promulgó la Ley de Bancos Hipotecarios, cuya vigilancia, a pesar de ser incompleta, se mantuvo durante más de cincuenta años. Fue en 1899 cuando se elaboró una Ley de Bancos que disponía lo concerniente a los bancos de emisión, que operaban en la fabricación de moneda y en el manejo de los negocios bancarios del país. Llegaron a ser seis las entidades que emitían dinero. Por primera vez se nombró una autoridad de supervisión de los bancos, mediante decreto ejecutivo en 1914, cuando se creo el cargo de Comisario Fiscal de Bancos, Su misión era vigilar la emisión y cancelación de los billetes de bancos, medida que entonces se dictó como de emergencia. En 1927, bajo inspiración de la Misión Kemmerer (1925 - 1927), llamada así porque la presidió el doctor Edwin Walter Kemmerer, produjo en el país una verdadera transformación en el ramo bancario y financiero al expedir: La Ley Orgánica de Bancos, la Ley Orgánica del Banco Hipotecario (Banco Nacional de Fomento) y la
  • 12. Ley Orgánica del Banco Central, que afianzaron el sistema financiero del país, así como otras leyes que regularon el manejo de la Hacienda Pública. Desde entonces, se estableció la supervisión de las operaciones bancarias mediante la creación de la SUPERINTENDENCIA DE BANCOS el día 6 de Septiembre de 1927. ANTECEDENTES DE LA INTENDENCIA REGIONAL DE BANCOS Y SEGUROS PORTOVIEJO. ART.UNICO.- Se crea la Intendencia de Bancos de la ciudad de Portoviejo, con jurisdicción en la Provincia, de Manabí, para la vigilancia y control de las entidades bancarias, financieras de seguros, señaladas en la Ley General de Bancos, en la Ley de Compañías de Seguros, en la Ley de Compañías Financieras y en otras leyes especiales.. Que el art. 4 del decreto Ley N° 11 del 21 de agosto de 1985, promulgado en el Registro Oficial N°225 de 22 del mismo mes y año, al reformar el art. 23 de la Ley General de Bancos, concede al Superintendente de Bancos, facultades suficientes para crear y establecer oficinas de la Superintendencia de Bancos, a fin de asegurar la eficacia de las actividades de vigilancia y control que le competen. PRINCIPALES DISPOSICIONES LEGALES Sus actividades se encuentran reguladas por: Ley General de Bancos Ley de Compañías de Seguros Ley de Compañías Financieras Otras Leyes Especiales PRINCIPALES ACTIVIDADES, OPERACIONES E INSTALACIONES
  • 13. Su principal actividad es la Supervisión y Control de la Banca Pública, Privada, Cooperativas, Seguro Social y Seguro Privado, (Control al Sistema Financiero Nacional), Sociedades Financieras y Grupo Financiero. Las instalaciones en la que opera son de su entera propiedad, cuenta con garaje y bodega de maquinas; y con la infraestructura adecuada para los deferentes departamentos. OBJETIVO DE LA ENTIDAD Consolidar un sistema financiero solvente, confiable, eficiente y competitivo, con elevado grado de profundización, que promueva de forma efectiva el crecimiento económico del país. Consolidar un sistema de seguros privados eficiente y sólido; que en un marco de transparencia y equidad garantice los intereses de los asegurados. Consolidar un sistema de seguridad social y de ahorro provisional que garantice el bienestar futuro de los asegurados. Evidenciar la capacidad de la Superintendencia de Bancos y Seguros, para cumplir de forma efectiva la función constitucional y legalmente asignada. Lograr que el mercado financiero ecuatoriano sea un factor clave para el incremento de ahorro domestico y el ingreso de capitales extranjeros y su canalización hacia los sectores productivos.
  • 16. UNIVERSIDAD TÉCNICA DE MANABÍ FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECONÓMICAS CARRERA DE AUDITORÍA 8vo “M” TRABAJOS DE AUDITORÍA INFORMÁTICA CATEDRÁTICO ING. KEVIN MERO RESPONSABLES HÉCTOR EMILIO BRAVO ESCOBAR DIANA GARCÍA CEVALLOS ANA CECILIA VERA VÉLIZ JENNY RODRÍGUEZ SÁNCHEZ MARÍA LEONOR GARCÍA CEDEÑO Portoviejo, 22 de noviembre de 2011
  • 18. SÍNTESIS DE LA DELINCUENCIA VÍA ELECTRÓNICA EN ECUADOR Según el artículo del Diario, publicado el lunes 11 de abril de 2011, sobre la “DELICUENCIA ATACA VÍA ELECTRÓNICA”, podemos indicar que hoy en día la delincuencia vía internet está afectando a miles de usuarios, sobre todo a la Banca privada. El modo operando de los antisociales es variado, cada día perfeccionan su obrar, razón por la cual hay que ponerse al día en cuanto al uso de la tecnología para no ser víctimas de estos delincuentes. CONSEJOS PARA EVITAR SER VÍCTIMAS DE LA DELINCUENCIA ELECTRÓNICA EN ECUADOR Las transacciones electrónicas son cada vez más frecuentes en todas partes, esto ha generado interés en los ciber-delincuentes en intentar obtener números de tarjetas, claves, es decir, obtener información confidencial de sus víctimas mediante engaños valiéndose de la tecnología. Por esta razón se debe tener en consideración los siguientes consejos: Utilizar una computadora segura.- Cuando vayamos a realizar una transacción debemos utilizar una computadora de confianza. Escanear la computadora regularmente en busca de virus.- Hay que mantener el antivirus y el firewall de la computadora siempre actualizados. Conocer bien la página de donde se realizan las transacciones electrónicas.- Los delincuentes cibernéticos tratan de reemplazar las páginas utilizadas regularmente para realizar transacciones. HACER LAS COMPRAS EN SITIOS SEGUROS Cómo identificar un sitio seguro:  Ver la ventana donde se localiza la dirección electrónica del negocio. Ahí se encontrará las letras "https://". La "s" al final
  • 19. significa que el sitio es seguro, aunque en ocasiones la "s" sólo aparece en la página de pago.  Otra manera de saber si el sitio es seguro es observando un candado que se encuentra al pie de la página. Un candado abierto indica que lo más probable es que el sitio no es seguro.  El tercer indicador es una llave al pie de la página. Una llave entera significa un sitio seguro. Conocer el sitio bien antes de comprar Procurar hacer compras en sitios conocidos. De otra manera, investigar antes de comprar. Leer la política de privacidad y seguridad del sitio Todo negocio electrónico confiable ofrece información sobre su transacción. Por lo general puede conocer esa información en una sección llamada "Privacy Policy". Se debe realizar las compras preferentemente con tarjetas de crédito. La manera más segura para hacer comprar por internet es con una tarjeta de crédito, ya que de esa forma el consumidor está protegido por la ley, ésta dicta que se tiene el derecho de disputar compras ilícitas y suspender sus pagos durante una investigación. Jamás utilizar el número de Seguro Social por internet Ninguna compra requiere el uso de su número de Seguro Social. Ningún negocio tiene por qué pedirlo. la Página Informativa #17 titulado "Cómo sobrevivir el robo de identidad" Proporcionar la mínima cantidad de información posible Hay información clave, como el nombre y dirección, que se debe de proveer al comprar un producto por internet, pero jamás contestar una pregunta que se considere no apropiada. La contraseña es personal
  • 20. Jamás revelar la contraseña a otra persona y cuando se escoja una, no utilice combinaciones comunes como la fecha de un cumpleaños. Verificar la dirección del sitio En la parte superior de la página está un rectángulo que contiene una dirección electrónica (conocido en inglés como el URL o el Uniform Resource Locator). Verifique que usted está en el sitio deseado. Los criminales cibernéticos han creado sitios extremadamente parecidos a compañías confiables y conocidas. Mantener fotocopias de las transacciones Al terminar la orden debe de aparecer una página que resume la transacción. Se recomienda quedarse con una copia de ella. BIBLIOGRAFÍA eldiario.com.ec www.webadicto.com forodeseguridad.com
  • 22. QUÉ ES UN SISTEMA DE INFORMACIÓN Es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad (objetivo). ELEMENTOS DE UN SISTEMA DE INFORMACIÓN.  Físicos (hardware, dispositivos, periféricos y conexiones)  Lógicos (sistemas, operativos, aplicaciones, protocolos)  Humanos (personal experto que maneja el software y hardware)  Recursos materiales en general ( recursos informáticos y de comunicación, aunque no tienen por qué ser de este tipo obligatoriamente). EL DEPARTAMENTO DE INFORMÁTICA ES IMPORTANTE QUE REALICE UN PLAN INFORMÁTICO, SUSTENTE SU RESPUESTA? Es necesario que toda organización esté a la vanguardia de los procesos de cambio. Donde disponer de información continua, confiable y en tiempo, constituye una ventaja fundamenta de allí la importancia de realizar un plan informático que nos permita: La Disponibilidad de los sistemas de información. El Recupero rápido y completo de los sistemas de información La Integridad de la información. La Confidencialidad de la información. Supervisar, garantizar e implantar sistemas de información de todas las áreas de la empresa QUÉ ES LA ORGANIZACIÓN DE DATOS Organización de datos es un modo de sistematizar la información dándole un orden lógico que facilite la consulta, la información y la auditoría.
  • 23. QUÉ ES UNA RED, NOMBRE UN EJEMPLO Una red informática es un conjunto de computadoras conectadas entre sí compartiendo información, recursos como CD-ROM, impresoras, grabadoras de DVD y servicios como e-mail, Chat, conexiones a Internet, juegos, etc. Ejemplo; Red de Bus: es aquella red informática que permite que una computadora transmita información y todas las demás reciben esa información. REALICE UNA TABLA EN DONDE SE COMPARE LA DIFERENCIA ENTRE LAS REDES LAN, MAN Y WAN RED DEFINICIÓN ALCANCE LAN Es una red que Red de área local 1 conecta los km ordenadores en un área relativamente pequeña y predeterminada (como una habitación, un edificio, o un conjunto de edificios). MAN Son redes que se Red de área extienden sobre áreas metropolitana 10 km geográficas de tipo urbano, como una ciudad WAN Es una red que se Cubre un área extiende sobre un geográfica más área geográfica extensa y conectan amplia, a veces un ciudades y países. país o un continente. Red de área mundial 10000 km
  • 24. POR QUÉ ES IMPORTANTE QUE UNA EMPRESA CUENTE CON UNA INFRAESTRUCTURA DE RED DE CALIDAD? Una infraestructura de red se refiere a las posibilidades de comunicación de redes que ayudan a compartir los recursos de IT dentro y a través de los límites de la compañía. Las conexiones por red permiten a los empleados de una empresa colaborar entre sí y con empleados de otros lugares u otras empresas. Posibilitan el contacto de maneras nuevas, a la vez que lo estrechan más de lo que jamás habría cabido imaginar, entre personas de la oficina o de cualquier punto del globo. Si la empresa está conectada por una buena infraestructura de red, nadie está lejos de nadie. QUÉ ES UN DATAWAREHOUSE Al DataWareHouse se lo define como una colección resumida de datos provenientes de fuentes u orígenes diferentes, estructurada y optimizada para posteriormente tener acceso a través de herramientas de búsqueda. QUÉ ES UN DATAMINING? Es la extracción de la información oculta y predecible de grandes bases de datos, es una poderosa tecnología nueva con gran potencial para ayudar a las compañías a concentrarse en la información más importante de sus Bases de Información (Data Warehouse). PIENSA USTED QUE E-BUSSINESS/e-COMMERCE SON TÉRMINOS SIMILARES, SUSTENTE SU RESPUESTA? Muchas veces se presenta confusión entre los términos e-commerce y e-business, tratándolos como sinónimos y esto no es así. Aunque existe una relación entre ambos no podemos decir que son los mismos términos.
  • 25. Se define al E–Business como cualquier actividad empresarial que se efectúa a través de Internet, no sólo de compra y venta, sino también dando servicio a los clientes y/o colaborando con socios comerciales. E-Commerce: Comprende la compra, venta, marketing, y servicios para productos o servicios por medio de redes de computadoras. ES IMPORTANTE EL PLAN DE RECUPERACIÓN DE DESASTRES EN UNA EMPRESA, CUÁÑ ÁREA DE LA EMPRESA ES LA ENCARGADA DE DEFINIR ESTE PLAN. Recuperación de Desastres es la capacidad para responder a una interrupción de los servicios mediante la implementación de un plan para restablecer las funciones críticas de la organización. Partiendo de este concepto consideramos que el Plan de Recuperación de Desastres en una empresa es de mucha importancia ya que de este depende la continuidad del Negocio. BIBLIOGRAFÍA www.gestiopolis.com trabajofinal4.tripod.com monografías.com www.ccec.edu.uy
  • 27. PREGUNTAS DEL APORTE GRUPO 1 1.- ¿Qué es la auditoría de sistemas informáticos? La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial 2.- ¿Describa los objetivos de la auditoría informática? • Salvaguardar los activos "Hardwaare,Software yRecursos Humanos" • -Integridad de datos • -Efectividad de los sistemas informáticos • -Eficiencia de los sistemas informáticos • -Confidencialidad y Seguridad 3.- ¿Hable sobre la ubicación de recursos humanos del departamento de auditoría de sistemas informáticos? La ubicación del recurso humano del departamento de Auditoría de Sistemas, debe ser de total independencia del resto de unidades, y tener autoridad para ejercer su labor. Además debe contar con recursos humano, técnico y económico, así como con un estatuto legal o normativa que de autoridad e independencia a este departamento. 4.- ¿Por qué es importante la Auditoría de Sistemas Informáticos? La Auditoría Informática es importante porque permite: La alta sistematización de las organizaciones Nuevas Tecnologías Automatización de controles Integración Importancia de información Automatización de la Auditoria
  • 28. 5.- ¿Qué es la certificación CGEIT (Certificado en Administración de Gobierno, Tecnología e Información? Es una certificación que se otorga a los profesionales que tiene un rol significativo en las organizaciones y la gerencia. La certificación promueve el desarrollo de profesionales que desean ser reconocidos por su experiencia, competencia y habilidades.
  • 29. GRUPO 2 1.- ¿Qué es la auditoría de sistemas informáticos? La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial. 2.- ¿Escriba los objetivos de la auditoría informática? Salvaguardar los activos "Hardwaare,Software yRecursos Humanos" Integridad de datos Efectividad de los sistemas informáticos Eficiencia de los sistemas informáticos Confidencialidad y Seguridad 3.- ¿Cuál es la misión y responsabilidad del Departamento de Auditoría y Sistemas Informáticos? Proveer a los gerentes de la organización, información segura y razonable. 4.- ¿Por qué es importante la Auditoría de Sistemas Informáticos? La alta sistematización de las organizaciones Nuevas Tecnologías Automatización de controles Integración de la información Importancia de la información para la toma de decisiones Automatización de la Auditoria
  • 30. 5.- ¿Qué es la certificación CISM(Certificación de Seguridad en Sistemas e Información) Está dirigida específicamente a profesionales experimentados en la seguridad de la información, orientada a la gerencia, seguridad, diseño y manejo de aspectos técnicos de la información
  • 31. QUÉ ES LA CERTIFICACIÓN CRISC La certificación CRISC, es una nueva certificación creada por la ISACA, misma que se le otorga a los profesionales de TI con habilidades y experiencia relacionada con:  Identificación, asesoramiento y evaluación de riesgos.  Respuesta a riesgos.  Monitoreo de riesgos.  Diseño e Implementación de controles de SI.  Monitorización y mantenimiento de controles de SI QUÉ ES LA CISA (AUDITOR CERTIFICADO DE SISTEMAS INFORMÁCIÓN) Es una certificación para auditores respaldada por la ISACA, como símbolo de excelencia. QUÉ ES LA CERTIFICACIÓN CISM (GERENTE CERTIFICADO DE SEGURIDAD DE INFORMACIÓN) Es una certificación dirigida especialmente a profesionales experimentados en la seguridad de la información y gerencia de riesgos. QUÉ ES LA CERTIFICACIÓN CGEIT (CERTIFICADO EN EL GOBIERNO DE TI EN EMPRESAS) Es una nueva certificación orientada a otro de los grandes pilares de la gestión de la tecnología en la empresa, el Gobierno de las TI en el ámbito corporativo. QUÉ ES LA CERTIFICACIÓN CRISC Esta certificación ha sido diseñada especialmente para los profesionales de TI que tienen experiencia práctica en identificación y evaluación y monitorización de riesgos. CUÁL ES EL OBJETIVO DE LA ORGANIZACIÓN ISACA
  • 32. El objetivo principal es promover la educación de sus miembros, el uso compartido de recursos, el establecimiento de una red de contactos profesionales y una amplia gama de beneficios adicionales a nivel local, orientados al mejoramiento y al desarrollo de sus capacidades individuales relacionadas con la práctica de la auditoria, el control y la seguridad de sistemas de información. EN ECUADOR EXIXTE UN CAPÍTULO DE ISACA, EN QUÉ LUGAR Y QUÉ ACTIVIDADES REALIZAN ESTOS PROFESIONALES Capitulo Quito – Ecuador, fue fundado en el año 2004 con 10 miembros. ACTIVIDADES QUE DESARROLLAN Planes de entrenamiento y acciones a seguir con el objetivo de que sus miembros obtengan Certificaciones que le permitan desarrollarse profesionalmente buscando la excelencia. Otorgan membrecías –certificaciones y otros beneficios. Charlas: Delito Informático aplicado a la Banca- Un enfoque para el Auditor de sistemas Presentación del Plan de Capacitación 2011Sorteos de Membrecías y demás sorpresas tanto para asistentes como para socios. BIBLIOGRAFÍA www.cavaju.com www.isaca.org.pe wikipedia gobernanza.wordpress www.adacsi.org.ar www.slideshare.net