BLOG AUDITORIA

AUDITORIA DE SISTEMAS
RIESGOS Y FRAUDES
INFORMÁTICOS
Conceptos
Clasificación
Identificación
Riesgo en los centro de cómputo
Fraude informático
Métodos del fraude
Controles informáticos
Controles administrativos
Mecanismos de control de datos.
EDGAR GONZÁLEZ ID 438779
CESAR RODRÍGUEZ ID 442444
NIDIA RODRÍGUEZ ID 416974
SANDRA RODRÍGUEZ 442702
CONTADURÍA VIII
CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

RIESGOS
Los riesgos hacen referencia a una condición de probabilidad de que una amenaza sea materializada, estas
condiciones se dan cuando existe una vulnerabilidad en este caso hablamos de los sistemas informáticos que
no son seguros y como consecuencia se tienen daños o pérdidas.
Estas vulnerabilidades pueden ser causadas por:
El usuario que no tenga autorización de
ingresar al sistema
Programas maliciosos
Un intruso
Un siniestro
‣ Físicas
‣ Naturales
‣ Hardware
‣ Software
‣ Medios de almacenaje
‣ Comunicación
‣ Humanas
Puntos débiles de la información:
TIPOS DE RIESGOS
Antes debemos tener en cuenta que no todas las amenazas no representan el mismo grado de seguridad,
encontramos que algunas son mayores que otras, por ello se debe establecer el grado o nivel en función de la
seguridad.
ALTO: Es considerado alto cuando la amenaza representa un gran choque dentro de la organización.
MEDIO: Cuando el impacto de la amenaza es de forma parcial a las actividades de la Organización.
BAJO: Cuando una amenaza no representa un ataque representativo en la organización.

Riesgos de Integridad: Este tipo de riesgo
comprende los asociados con la autorización y
exactitud de entrada, procesamiento y
reporte de las aplicaciones utilizadas en la
organización.
Riegos de Relación: Hacen referencia al uso
oportuno de la información, están relacionados
directamente a la información de toma de
decisiones.
Riesgo de Acceso: Corresponde al acceso
inapropiado a los sistemas, los datos y a la
información, también se encuentran los riesgos
asociados a la integridad de la información de
sistemas de bases de datos y la
confidencialidad de la información.
Riesgos de utilidad: Acá tenemos tres niveles
de riesgo:
Aquellos que pueden estar enfrentados por el
direccionamiento de sistemas antes de que los
problemas ocurran.
Como identificar el riesgo:
Las organizaciones tienen como principal objetivo
asegurar la confiabilidad y protección de la
información, por eso mismo la empresa debe
prevenir riesgos para que esta información no se
pierda.
Hoy en día se debe generar una matriz en donde se
pueden plantear los diferentes riesgos que se
pueden presentar en los
Mecanismos de recuperación o restauración
que son usadas para minimizar la ruptura de
los sistemas.
Almacenamiento por medio de Backups y
planes de contingencias
Riesgos en la infraestructura: Donde en las
organizaciones no cuentan con una estructura
de información tecnológica efectiva que
soporte adecuadamente las necesidades que se
presenten. Estos riesgos son asociados con los
procesos de la información tecnológica
(planeación organizacional, aplicaciones,
operaciones de red)
Riesgos de seguridad general: Encontramos
Choque eléctrico
Incendio
Radiaciones: ondas de ruido, de láser y
ultrasónicas
Mecánicos en la inestabilidad de las piezas
eléctricas.
Sistemas de información que maneja una empresa,
se debe analizar, realizar planes de contingencia y
determinar un tiempo estipulado para mitigar ese
riesgo, por medio de una planificación y
estándares que ayudaran como solución viable de
ese riesgo que se puede presentar desde la cuestión
más simple como la quema de un toma corriente, a
algo más grave como el olvido de las copias de
seguridad o el daño del servidor sin un back up
que lo suplemente de manera rápida y efectiva.

QUE ES EL RIESGO EN LOS CENTRO DE CÓMPUTO.
Son todos aquellos factores que puede amenazar y vulnerar el software y/o hardware de los
sistemas de información, donde la prevalece la probabilidad de pérdida de información o de
infraestructura, donde su recuperación significa un alto costo para la compañía, donde se han
omitido controles que reducen el riesgo de fallas o mal funcionamiento de los equipos de cómputo,
los cuales se pueden dividir:
Factores Ambientales
Inundaciones: Invasión
de aguas o
escurrimientos
superficiales
Incendios: Uso inadecuado de la red eléctrica
o fallas eléctricas
Sismos: Movimiento bruscos del terreno que
afectan la infraestructura donde se encuentra
los centros de cómputo.
Humedad: Fallas de calefacción, ventilación
o aire acondicionado dispuestos para el
cuidado de los centros de cómputo.
Factores Humanos
de cómputo.
Robos: sustracción
de partes o datos
valiosos para la
compañía del centro
Actos vandálicos: Daños ocasionado al
sistema de cómputo con único propósito de
perjudicar a la compañía sin obtener algún
beneficio
Fraude: vulneración del sistema de
información para sustraer dinero o
información con el propósito engañar u
obtener algún beneficio económico.
Sabotaje: Daño o destrucción intencionado a
los centros de cómputo, instalaciones o
procesos y procedimientos sistematizados,
afectando su normal funcionamiento, que
puede ser ejecutado por personal internos
como externo a la compañía.
Terrorismo: Ataques de organizaciones con
acciones bélicas que pueden destruir, dañar o
alterar instalaciones y/o equipos destinados
para el sistema de información, donde
recuperación significa un alto costo.
Riesgos que se representan a la seguridad
en un ambiente de cómputo.
Estos se pueden clasificar en dos.
Instalación de alto riesgo: causan grandes
inconvenientes pero se produce una mínima
perdida material.
Datos o programas de información
confidencial de interés nacional.
Perdida financiera potencial que puede
ocasionar desastre en la organización

Instalación de bajo riesgo: Son aquellas con
aplicaciones cuyo procesamiento retardado
tiene poco impacto material.
QUE ES FRAUDE INFORMÁTICO O CIBERNÉTICO
Es el cometido a través de una computadora o del internet. De modo que es ejecutado
mediante el uso de herramientas tecnológicas adecuadas y sofisticadas para acceder a
los sistemas de información de carácter confidencial, o involucra la intercepción de
una transmisión electrónica, robo de la contraseña, cuentas financieras u otra información privada
sobre una identidad o un individuo, con el propósito de distorsionar datos para inducir a otra
persona a que haga o deje de hacer algo que ocasiona una pérdida.
Objetivos
Alterar sin autorización los datos
ingresados en la computadora.
Método para afectar la información y
malversar fondos.
Borrar información almacenada.
Manipulación de software para
obtener información de entidades o
usuarios sistema de información.
De tal modo que es catalogado como una acción antijurídica ejecutada por un ser humano que es
tipificada como un delito y es sancionado por la ley.
CARACTERÍSTICAS DEL FRAUDE INFORMÁTICO
Acto deliberado de manipulación de
registros o falsa representación de la
realidad, con el con el fin de engañar
y con intención de lucro
El acto se realiza en contra de una
persona física o jurídica.
beneficios.
El afectado sufre una pérdida
económica que afecta su patrimonio.
El ordenador está conectado para
servir de fuente para obtener
Medios para efectuar un fraude o delito informáticos
Ordenadores, miniordenadores, microordenadores
Equipos de tratamiento de texto, redes de telecomunicaciones
Software, ficheros de datos y bases de datos
Acción u omisión efectuada para causar un perjuicio o daño a una entidad o persona sin que
necesariamente se beneficie el autor o se produzca un beneficio ilícito aunque no perjudique de
forma directa o indirecta a la víctima, tipificado por La Ley.

CAUSAS PARA EL FRAUDE INFORMÁTICO
Ignorancia de riesgos de la
revolución informática o indiferencia
ante los mismos.
Incumplimiento de los controles o
son inexistentes.
Facilidad para borrar las huellas
fraude o delito.
Facilidades de accesos y de
manipulación.
Uso de sistemas informáticos por las
organizaciones criminales.
Uso de sistemas de información
como instrumentos de presión
Oportunidad de obtener beneficios
económicos en transferencia
electrónica de fondos (TEF)
Incremento detallado de abusos o
técnicas empleadas en el sistema
informático.
Enseñanza de la informática sin
valores éticos a respetar.
Falta de separación de las funciones
del personal.
Informatización de los sistemas de
pago.
FUENTES DEL FRAUDE INFORMÁTICO
Personal de la empresa: directivos, mandos, intermedios, y otros empleados en administración,
ventas, fábrica, y almacenes.
Personas ajenas a la empresa: Delincuentes comunes, oportunistas, competidores, organizaciones
criminales.
ELEMENTOS DEL FRAUDE INFORMÁTICO
Estos de componen de cuatro elementos:
El acceso directo o indirecto a los
archivos
Las posibilidades de ocultación
Tener los conocimientos suficientes
para cometer el fraude y ocultarlo
Tener el tiempo disponible para
preparar el fraude
Motivación para el fraude son:
La necesidad de disponer de más recursos económicos
La necesidad psicológica racionalizada (desafío del sistema, venganza,
vanidad
La naturaleza del crimen o del fraude involucra un conocimiento tecnológico que va intrínseco con esta
generación electrónica, donde las habilidades del agente superan el conocimiento informático que nuestras
autoridades no tienen, además las ganancias obtenidas a través de estas acciones son mucho más atractivas
que cualquier otro trabajo, que ha tenido una connotación a nivel internacional, que se constituye una
problemática a nivel mundial

Métodos de fraudes informáticos
A la fecha es importante establecer que hay
diferentes delitos que se presentan con el avance
de la tecnología, ya que, al aportar diferentes
disposiciones para manejar dinero, recursos,
información importante y confidencial, es evidente
que las personas indeseables se aprovechan de esta
situación para cometer delitos; los siguientes
grupos corresponden a los delitos que se presentan
a nivel informático en la actualidad:
Delitos contra la confidencialidad, la
integridad, y la disponibilidad de los datos
Muchos de los fraudes pueden ser cuando se
ingresa la información, cuando sale y en la
transición de los mismos, algunos son difíciles de
identificar ya que es pueden ser de los más
comunes, como la sustracción de datos, cuando el
trabajo en cómputo se vuelve muy mecánico,
puede servir de fuete para diferentes fraudes, ya
que se sustrae y no es posible identificar como se
obtuvo porque ya hay procesos preestablecidos
que no permiten identificar la falla.
Control informático
Sirve como herramienta para mantener un control
total sobre las actividades programadas de los
sistemas informáticos de cada organización,
basados en las normas legales, en la decisión de la
gerencia y del mismo departamento de sistemas.
y sistemas informáticos (acceso,
interceptación, Interferencia ilícitos)
Delitos informáticos (fraudes y
falsificaciones)
Delitos con el contenido (pornografía
infantil, difusión y promoción de contenido
ilícito)
Delitos con infracciones de la propiedad
intelectual y derechos afines (plagio,
piratería informática, insultos, amenazas,
etc.)
Por medio de los avances tecnológicos los fraudes
de uso comercial se al vuelto más comunes, como
emitir facturas de venta falsas, los virus
informáticos que se descargan o se instalan en los
computadores también sirven de fuente para
sabotear, y robar información importante,
principalmente creados por hackers o piratas
informáticos que tienen como objetivo, robar y
extraer documentos e información en muchos
casos confidencial y monetaria.
Este control permite establecer si se cumple con
los requisitos, si se cuenta con un buen equipo de
cómputo y si las actividades operativas que
requieren un sistema informático son realizadas a
cabalidad y que, a su vez, esta proporcione
información confiable y fidedigna, además de ello

sirve de ayuda para cuando se realiza una auditoria
a este departamento.
Tipos de controles Informáticos
Para poder llevar un buen control informático se
debe tener en cuenta que se puede dar de manera
interna, de los cuales contratamos el control
preventivo, detectivo, y correctivo, los cuales
cuentan con un objetivo claro que permitirán la
confiabilidad, alcance y seguridad de la
información:
Control preventivo: permiten prevenir
cualquier falla que se puede presentar con
el sistema informático en software y
hardware.
Control detectivo: se da cuando el control
preventivo no es efectivo, ayudara a
encontrar las causas y mitigar las fallas.
Control Correctivo: cuando los controles
anteriores no son suficientes y se presenta
la falla, se debe corregir
el error especifico y asegurar la no repetición de
este hecho.
Se pueden dar controles manuales y automáticos
los cuales permiten la inclusión de la información
por medio de un usuario, un equipo de cómputo, y
aplicaciones informáticas incorporadas en el
software.
También encontramos los controles generales y de
aplicación, que ayudar a verificar el uso de
software y hardware, la implementación de
programas, redes y operaciones con el
computador; los controles de aplicación de
sistemas informáticos que sirven para controlar la
entrada, manejo y salida de la información.
¿QUE SON LOS CONTROLES
ADMINISTRATIVOS?
Los controles administrativos
es todo el conjunto de
medidas o procedimientos que
permiten garantizar que todas las actividades se
lleven a cabo de esta manera cumpliendo con los
objetivos relacionados con la seguridad en los
sistemas de información.
Estos controles administrativos tienen como
finalidad:
a. Proteger los activos de la organización
b. Obtener una información veraz, confiable y
oportuna
c. Fomentar la eficiencia y la eficacia de la
operación
Como ejemplo de controles administrativos
encontramos
La división de funciones o perfiles

Procedimientos de acceso y seguridad
Mecanismos sobre el desarrollo y
modificación de sistemas
Con respecto al procesamiento de datos las
empresas en su área de
informática debe implantar
controles administrativos que
se agrupan de la siguiente manera:
1. Controles de preinstalación: Consiste a los
procesos previos a la adquisición e
instalación de un equipo de computación.
Como objetivos encontramos:
Garantizar que el hardware y software
proporcionen los mayores beneficios
Seleccionar los equipos y sistemas de
computación más adecuados
2. Controles de organización y planificación:
Hace referencia al diseño de la funciones,
línea de autoridad y
responsabilidades de
las diferentes
unidades del área
como:
Diseñar un sistema
Elaborar los programas
Operar el sistema
Control de calidad
3. Controles de sistema en desarrollo y
producción: En este punto se debe acreditar
que los sistemas que ha adquirido o
implementado la empresa son la mejor
opción, bajo la relación de costo –
beneficio. Adicional se justica que dichos
sistemas se han desarrollado bajo un
proceso planificado y son debidamente
documentados.
4. Controles de procesamiento: Consisten al
ciclo que sigue la información desde la
entrada hasta la salida, esto acarrea al
establecimiento de una serie de seguridades
que sirven para:
Asegurar que todos los datos sean
procesados
Garantizar la precisión de los datos que son
procesados
Asegurar que se grabe un archivo para uso
de la gerencia y con fines de auditoria
Confirmar que los resultados sean
entregados a los usuarios de forma
oportuna
5. Controles de operación: Estos controles
tienen como fin:
Prevenir o detectar errores accidentales
Evitar o localizar el manejo de datos
fraudulentos
Garantizar la integridad de los recursos
informáticos

Asegurar la utilización adecuados de los equipos
¿CUALES SON LOS MECANISMOS DE CONTROL DE DATOS?
Inicialmente se deben separar responsabilidades esto se presenta más en empresas grandes.
A continuación, podemos ver una separación de responsabilidades en los sistemas de información
Con respectos a los mecanismos de control de datos encontramos que se deben establecer unos
procedimientos en donde el personal del control de la información de entrada y salida verifica de forma
independiente la calidad de la entrada y la racionabilidad de la salida de la información. También
restricciones para los usuarios donde queden delimitadas las acciones que pueden realizar y las
operaciones que no pueden ser modificados

REFERENCIAS
Auditoria de sistemas control. (Archivo PDF). Monografías. (pp. 9-16). Recuperado de
http://aulas.uniminuto.edu/mdl_201740/pluginfile.php/1468035/mod_resource/content/1/AUDI
TORIA%20DE%20SISTEMAS%20%20%20CONTROL.pdf
Pérez. C. Definición de controles administrativos. Recuperado de
http://es.slideshare.net/cperezcabrales/definicin-de-controles-administrativos
Arens. A, Elder. R & Beasley. M.(2007). El impacto de la tecnología de la información en el
proceso de auditoría. (pp. 350-351). Auditoria un enfoque integral. Pearson Educación
Chaparro. N, Perez. D, Tenjo. N. (12 de abril de 2010). Riesgos informáticos. (Blog).
Recuperado de http://audifinysis.blogspot.com.co/
Darb2010. (9 de Abril de 2010). Riesgos informáticos. Recuperado de
https://es.scribd.com/doc/29676926/RIESGOS-INFORMATICOS
Tipos de delitos informáticos, forodeseguridad.com, recuperado de,
http://www.forodeseguridad.com/artic/discipl/disc_4016.htm
Fraude cibernético e informático, law.cornell.edu, recuperado de,
https://www.law.cornell.edu/wex/es/fraude_cibern%C3%A9tico_e_inform%C3%A1tico
Tipos de delitos informáticos, delitosinformaticos.info, recuperado de,
http://delitosinformaticos.info/delitos_informaticos/tipos_delitos.html
Control informático, slidechare.net, recuperado de, http://es.slideshare.net/Vita1985/controlinformatico
Controles informáticos, prezi.com, recuperado de, https://prezi.com/qzuex5apfeb5/controlesinformaticos/
Balseca, R, L. (2012). El fraude informático. Recuperado de http://es.slideshare.net/Josmercy/el-fraudeinformatico
MANUAL DE DELITOS INFORMÁTICOS, Biblioteca Facultad de Contabilidad y Auditoría.
Recuperado dé, http://www.e-libro.net/E-libro-viejo/gratis/delitoinf.pdf#search=%22delito
%20informatico%22
Calderon, L, M. (2013). Riesgos a la seguridad de un centro de cómputo. Recuperado de
http://es.slideshare.net/marilycaldernlizana/riesgos-a-la-seguridad-de-un-centro-de-computo