UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

1

AUDITORIA INFORMATICA

PROFESOR : Ing. Fernando Andrade

ALUMNO : Jesús Cisneros Valle

FECHA : Quito, 30 de Octubre del 2012

CURSO : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 21 y 22 DEL

LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 21

AUDITORIA JURIDICA DE ENTORNOS INFORMATICOS

Cuestiones de Repaso:

1. Cuál es la utilidad de la Auditoria jurídica de entornos informáticos?

Es útil para comprobar que la utilización de la auditoria informática se ajusta a la

legislación vigente. Es esencialmente idónea para evitar posibles reclamaciones de

cualquier clase contra el sujeto a auditar; por ello el trabajo del auditor es una medida

preventiva idónea contra sanciones en el orden administrativo o penal, así como

indemnizaciones en el orden civil por daños y perjuicios a los afectados, ya que la

reclamación judicial puede afectar a instituciones públicas como privadas. La auditoria

jurídica le permite al auditado conocer el estado de la empresa dentro de la normativa

legal y adecuarse a ella de ser necesario así como tomar los correctivos necesarios para

evitar sanciones.

2. Qué áreas comprende la Auditoria jurídica?

a. Auditoría del entorno informático

b. Auditoria de las personas que manipulan la información

c. Auditoría de la información

d. Auditoria de los archivos (auditoria de objetivos)

3. Qué se entiende por auditoria de objetivos?

Trata de averiguar la correspondencia entre el uso que se le da al archivo y aquellas

motivaciones por la cuales se creó, así como la constitucionalidad de la finalidad

última del archivo. Es una auditoria de derechos humanos de tercera generación, ya

que se examina tanto la legalidad como el espíritu del archivo, con la pretensión de que

este respete y garantice tales derechos.

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

2

4. Qué debe verificar el auditor en materia de origen de la titularidad de los

programas?

El auditor debería verificar si la titularidad del software que usa o ha adquirido la

empresa se legal, a fin de evitar demandas por violación a los derechos de autor (Ley

de propiedad intelectual) o de patentes, demandas que en ciertos casos resultarían

costosas debido a las consecuentes demandas civiles o penales que eventualmente

impulsarían las empresas propietarias del software.

5. Qué aspectos abarca la auditoria jurídica de las personas?

Abarca 5 aspectos que el auditor debe examinar:

• Quienes tienen acceso a la información.

• Adecuación de aquellos al cargo que ostentan

• Conocimiento de la normativa y de que se debe mantener una actitud ética delante

del archivo

• Reconocimiento en el contrato de la labor que cumple y de la responsabilidad que

ostenta

• Que lo contratos con los proveedores aseguren la confidencialidad del archivo y de

la información.

6. Cómo pueden utilizarse los requisitos recogidos en el art. 4 de la LORTAD a la

hora de llevar a cabo la auditoría de la Información? Se debe a toda costa proteger la información, por eso en analogía con el Art. 4 de la

LORTAD se debe tomar muy en cuenta la calidad de los datos, la necesidad de su

adecuación y pertinencia, y que no sean excesivos en relación con el ámbito y

finalidades legítimas para las que se hayan obtenido. La información no podrá usarse

para finalidades incompatibles con aquellas para las que fueron seleccionadas y deberá

ser exacta y estar al día.

7. Qué archivos quedan excluidos de la aplicación de la LORTAD?

Están excluidos todos los archivos que contengan información o datos personales que

hayan sido calificados como excluidos en la propia ley, por remisión de la misma a

regulación del tipo de archivo de que se trate.

8. De qué grados de protección se puede hablar en relación con los datos contenidos

en archivos sometidos a la ley?

Dentro de los archivos sometidos a la ley y en relación con los datos en ellos

contenidos podemos hablar de diversos grados de protección (Regulados por los Art. 7

y 8 de la LORTAD) existiendo tres tipos de protección: Máxima, media y mínima.

9. Cuáles son las obligaciones del responsable del tratamiento automatizado de

datos?

� Obligación de comunicar al afectado la cesión de datos

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

3

� Obligación de confidencialidad

� Obligación de hacer efectivo el derecho de acceso

� Obligación de hacer efectivo el derecho al bloqueo

� Obligación de hacer efectivo el derecho a la cancelación

� Obligación de hacer efectivo el derecho de rectificación

� Obligación de hacer efectivo el derecho a la supresión

� Obligación de informar del tratamiento de datos, la obligación de informar de la

recogida de datos.

10. Qué legislación conoce sobre derechos de autor que afecte al software?

La ley de Propiedad Intelectual. Sección V, Disposiciones Especiales sobre ciertas

Obras, Parágrafo Primero, De los Programas de Ordenador, Art. 28 al 32.

Art. 28. Los programas de ordenador se consideran obras literarias y se protegen como

tales. Dicha protección se otorga independientemente de que hayan sido incorporados

en un ordenador y cualquiera sea la forma en que estén expresados, ya sea en forma

legible por el hombre (código fuente) o en forma legible por máquina (código objeto),

ya sean programas operativos y programas aplicativos, incluyendo diagramas de flujo,

planos, manuales de uso, y en general, aquellos elementos que conformen la estructura,

secuencia y organización del programa.

Art. 29. Es titular de un programa de ordenador, el productor, esto es la persona

natural o jurídica que toma la iniciativa y responsabilidad de la realización de la obra.

Se considerará titular, salvo prueba en contrario, a la persona cuyo nombre conste en la

obra o sus copias de la forma usual.

Dicho titular está además legitimado para ejercer en nombre propio los derechos

morales sobre la obra, incluyendo la facultad para decidir sobre su divulgación.

El productor tendrá el derecho exclusivo de realizar, autorizar o prohibir la realización

de modificaciones o versiones sucesivas del programa, y de programas derivados del

mismo.

Las disposiciones del presente artículo podrán ser modificadas mediante acuerdo entre

los autores y el productor.

Art. 30. La adquisición de un ejemplar de un programa de ordenador que haya

circulado lícitamente, autoriza a su propietario a realizar exclusivamente:

Una copia de la versión del programa legible por máquina (código objeto) con fines de

seguridad o resguardo;

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

4

Fijar el programa en la memoria interna del aparato, ya sea que dicha fijación

desaparezca o no al apagarlo, con el único fin y en la medida necesaria para utilizar el

programa; y,

Salvo prohibición expresa, adaptar el programa para su exclusivo uso personal,

siempre que se limite al uso normal previsto en la licencia. El adquirente no podrá

transferir a ningún título el soporte que contenga el programa así adaptado, ni podrá

utilizarlo de ninguna otra forma sin autorización expresa, según las reglas generales.

Se requerirá de autorización del titular de los derechos para cualquier otra utilización,

inclusive la reproducción para fines de uso personal o el aprovechamiento del

programa por varias personas, a través de redes u otros sistemas análogos, conocidos o

por conocerse.

Art. 31. No se considerará que existe arrendamiento de un programa de ordenador

cuando éste no sea el objeto esencial de dicho contrato. Se considerará que el programa

es el objeto esencial cuando la funcionalidad del objeto materia del contrato, dependa

directamente del programa de ordenador suministrado con dicho objeto; como cuando

se arrienda un ordenador con programas de ordenador instalados previamente.

Art. 32. Las excepciones al derecho de autor establecidas en los artículos 30 y 31 son

las únicas aplicables respecto a los programas de ordenador.

Las normas contenidas en el presente Parágrafo se interpretarán de manera que su

aplicación no perjudique la normal explotación de la obra o los intereses legítimos del

titular de los derechos.

CAPITULO 22

AUDITORIA INFORMATICA EN EL SECTOR BANCARIO

Cuestiones de Repaso:

1. En qué faceta resulta más valiosa la participación de la auditoria informática en

el sector financiero?

La revisión de las aplicaciones informáticas, con el objeto de asegurar que ellas

cumplen con los criterios funcionales y operativos definidos por la entidad.

2. Qué características tienen las aplicaciones informáticas que soportan productos

bancarios?

� Procesan y generan un gran volumen de datos relativos a contratos y operaciones.

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

5

� Los procesos de tratamiento de los datos relativamente sencillos, sin embargo

comparativamente suponen un gran consumo de recursos en el total de los

procesos informáticos de un banco.

� Las operaciones y productos tratados por estas aplicaciones tienen normalmente un

importante pero especifico en el balance de la entidad

� La disponibilidad de la información suele ser un factor critico

� La información generada tiene un elevado balance, por cuanto se envía

masivamente hacia destinos externos a la propia entidad financiera.

� En estas aplicaciones se produce un efecto amplificado de error: cualquier

incidencia puede afectar a un número elevado de operaciones y tener una

repercusión económica cifrada en miles de dólares.

3. En qué se diferencian las auditorias de medios de pago de las auditorias de

productos de tesorería?.

Auditorias

Medios de pago Productos de tesorería

- Alto volumen de transacciones

de clientes

- Sus importes no son

significativos

- Existe regulaciones para el

tratamiento informático y

operativo (convenios con

distintos organismos)

- Es aspecto de control tiene gran

relevancia (prevención de

fraudes) se deben cumplir

normas emitidas por la entidad

bancaria

- Numero de transacciones no es

elevado

- Sus importes si son significativos

- Las salidas en información a los

clientes son escasas o nulas

- Son sistemas en los que una

deficiencia en el proceso o

procedimientos de control pueden

provocar un quebranto económico

de considerable magnitud.

4. Qué conocimientos necesita un auditor informático para poder llevar a cabo una

auditoria en el sector bancario?

- Un auditor informático debe estar en permanente capacidad de aprendizaje para

abordar con éxito los nuevos retos

- Debe conocer son suficiente detalle los procedimientos operativos internos de

la entidad financiera relacionados con el área de negocio y/o producto bancario

soportado por la aplicación.

- Debe conocer los circuitos operativos y administrativos seguidos y asociados

con los datos. Que le permitirá evaluar el impacto de las debilidades y errores

que se puedan detectar en el funcionamiento del sistema.

- Necesita tener conocimiento de la legislación vigente.

- Tener suficiente conocimiento de la operatividad bancaria tradicional asociada

con el producto en cuestión.

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

6

- Si el auditor no poseyera conocimientos particularmente técnicos en aspectos

bancarios o legales, el auditor debe actuar siempre planteando su consulta a los

departamentos competentes.

5. Comente como afecta la LORTAD a las aplicaciones bancarias.

• Importancia económica de la función a la que se dedica la aplicación (impacto en el

balance bancario)

• Importancia de la actividad bancaria a que da soporte la aplicación en los planes de

negocio y expansión de la entidad

• La obtención de información a partir de la aplicación con destino a clientes y

organismos públicos

• Existencia de descuadres entre los datos facilitados por la propia aplicación y los

registros contables de la entidad.

6. Que aplicaciones cree que tiene el problema del EURO en la auditoria

informática de entidades financieras?

Obsolescencia de la aplicación, que el auditor puede analizar al determinar cómo y

dónde se capturan datos, la dimensión de transacciones manuales, la tipología de los

controles que se efectúan, ausencia de datos básicos en relación con el producto o área

cubierta por la aplicación , además del proceso que se requiere para la adaptación al

EURO al año 2000.

7. Comente aspectos a tener en cuenta respecto a los “archivos de morosos”.

� La inclusión de los datos de carácter personal den los archivos de incumplimiento

de obligaciones monetarias, debe efectuarse cuando el deudor concurra en los

siguientes requisitos:

• Existencia previa y cierta de una deuda, vencida y exigible que haya

resultado impaga.

• Requerimiento previo de pago a quien corresponda, el cumplimiento de la

obligación.

� No podrán incluirse en los archivos de esta naturaleza datos personales sobre los

que existan algún principio de prueba documental que aparentemente contradiga

alguno de los requisitos anteriores.

� El acreedor o quien actúe a su cuenta e interés deberá asegurarse de que concurren

todos los requisitos exigidos en el primer párrafo de esta norma en el momento de

notificar los datos al responsable del archivo común (Central de riesgos).

8. Que restricciones existen respecto a los datos recabados para un seguro asociado

a un préstamo?

La instrucción 2/1995 protege los datos personales recabados para la formalización de

aquellos seguros de vida asociados con la concesión de un préstamo o crédito. De

manera que el beneficiario del seguro es la propia entidad acreedora. Estableciéndose

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

7

normas cuyo cumplimiento entra dentro del ámbito de la auditoria informática a la

entidad financiera.

Norma segunda: De la recogida de datos

� La obtención de datos personales a efectos de la celebración de un contrato de

seguro de vida, ajeno a la concesión de un crédito hipotecario o personal,

efectuadas por las entidades de crédito a través de cuestionarios u otros impresos,

deberá realizarse mediante modelos separados para cada uno de los contratos a

celebrar. No se podrá recabar datos sobre la salud del solicitante.

� Cualquiera que sea el modo de llevarse a efecto la recogida de datos de salud

necesarios para la celebración del seguro de vida deberá constar expresamente el

compromiso de la entidad de crédito de que los datos obtenidos a tal fin solamente

serán utilizados por la entidad aseguradora. No se podrá incluir los datos de salud

en archivos informatizados o almacenarlos convencionalmente.

Norma tercera: Consentimiento del afectado y tratamiento de los datos.

El afectado deberá manifestar su consentimiento por separado para cada uno de los

contratos y para el tratamiento distinto de la información que ambos conllevan.

Las entidades de crédito solamente podrán tratar aquellos datos personales no

especialmente protegidos, que sean estrictamente necesarios para relacionar el contrato

de préstamo con el contrato de seguro de vida celebrado como consecuencia de aquel o

que esté justificado por la intervención de la entidad de crédito como agente o tomador

del contrato de seguro.

9. Diseñe una planificación anual de trabajos para auditoria informática de una

pequeña entidad bancaria.

Obtener información previa:

9.1. Determinar y conocer de manera general del estado de los sistemas de

información con que cuenta la entidad.

9.2. Determinar los Objetivos estratégicos determinados por la alta gerencia.

9.3. Clasificar las actividades dentro del POA respecto de las aplicaciones

informáticas.

9.4.Distinguir un conjunto de aspectos típicamente bancarios a considerar en la

planificación de revisión de aplicaciones, para así determinar:

9.4.1. La importancia económica de la función a la que se dedica la

aplicación. Establecer su impacto en el balance del banco.

9.4.2. Importancia de la actividad bancaria que la soporte la aplicación

dentro de los planes de negocio y expansión de la entidad.

9.4.3. Obtener información a partir de la aplicación con destino a clientes y

organismos públicos.

9.4.4. Verificar el volumen, la frecuencia y la importancia material de las

incidencias y errores detectados mediante los mecanismos de

control.

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

8

PLAN DE AUDITORIA:

9.5. Presentar al cliente de la auditoria un plan de auditoría acorde a las exigencias

del mismo.

9.6. Formar el grupo de trabajo para la auditoria y designar al jefe de grupo auditor.

9.7.Establecer el cronograma acorde a las necesidades de la entidad financiera, para

que no retrase ningún servicio bancario o lo dificulte. (Puede ser una auditoría

interna de los servicios bancarios y aplicaciones).

9.8. Determinar las aéreas sensibles donde aplicar la auditoria

9.9. Presentar un borrador de la auditoria al cliente de la auditoria

9.10. Presentar el informe final (previo consenso con el cliente de la auditoria) al

cual se le anexan las evidencias de la auditoria y recomendaciones.

10. Qué consideraciones expuestas en el capítulo podrían aplicarse a la auditoria de

empresas de seguros? Y de asistencia sanitaria?

• Estas empresas pueden otorgar los servicios dentro del marco de la ley, pero

salvaguardando la información sensible de sus clientes.

• No podrán divulgar la información de sus clientes ni sus estado de salud o exigir a

su cliente declare la posibilidad de que su información pueda ser divulgada de

alguna manera

• Deberán mantener la información recabada bajo seguridad

• No podrán entregar la información a terceros bajo ninguna circunstancia, salvo el caso de autorización del cliente o petición judicial de autoridad competente.

• Los contratos deben ser claros y especificar todo en cuanto a los servicios que

ofrece de manera clara, precisa y concisa.

• Deberán ajustarse al marco de la ley vigente.