AUDITORIA INFORMATICA Tarea 1 Cuestios de Repaso 4 Capitulos Primeros

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

1

AUDITORIA INFORMATICA

PROFESOR : Ing. Fernando Andrade

ALUMNO : Jesús Cisneros Valle

FECHA : Quito, 13 de agosto del 2012

CURSO : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS 4 PRIMEROS CAPITULOS

DE LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 1

LA INFORMATICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO

Cuestiones de Repaso

1. Cuáles son los elementos fundamentales del concepto de auditoría?

Conceptualmente la toda auditoria es la actividad que consiste en emitir una opinión

profesional y debe contener los siguientes elementos: a) Contenido, b) Condición, c) Justificación, d) Objeto, e) Finalidad.

2. Cuantas clases diferentes de Auditoria existen?

Los elementos 4 y 5 (Objeto y Finalidad) determinan que clases o tipo de auditoría se trata.

3. Qué sector es uno de los principales usuarios de las auditorias?

Financiero (La Banca)

4. Qué ventajas aporta el computador respecto del trabajo manual?

• Costo de explotación �Bajo

• Costo de Operación �Bajo

• Rendimiento continuado �Constante

• Consistencia �Excelente

5. Qué significa las siglas CAAT?

Técnicas de Auditoria Asistidas por Computador.


2

6. En que afecta a los auditores la introducción de las TI en los sistemas de

información?

En el Objeto: que ahora está en soporte diferente (medio magnético) y no en libros.

7. Qué diferencia hay entre auditoría y consultoría?

La Auditoría, emite una opinión profesional; la Consultoría, aconseja.

8. Cuáles son las ventajas de la informática como herramienta de la auditoría

financiera?

• Grado de Informatización, (objeto y procedimientos)

• Mejora de las técnicas habituales. (amplias posibilidades del Auditor al utilizar medios electrónicos)

9. Qué pueden aportar los sistemas expertos a la auditoria informática?

Aporta mucho al Análisis y Evaluación del Control Interno; así como, sus ventajas bajo supervisión del Auditor: Objetividad del sistema, utilización de fórmulas estadísticas, la cuantificación y aplicación de pruebas de cumplimiento y sustantivas adecuadas, la actualización de la base de conocimientos y soporte legal en caso de litigio.

10. Cuáles son las razones de la baja utilización de las TI como herramienta de la

auditoría financiera?

• Costo económico

• Complejidad técnica

• Falta de entrenamiento y experiencia

CAPITULO 2

CONTROL INTERNO Y AUDITORIA INFORMATICA.


1. Qué cambios en las empresas provocan tensiones en el control interno existente?

• Reestructuración de los procesos empresariales (BPR)

• Gestión de la calidad total (TQM)

• Redimensionamiento por reducción y/o por aumento del tamaño hasta el nivel correcto.


3

• Contratación externa

• Descentralización

2. Cuáles son las funciones del control interno informático?

• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas

• Colaborar y apoyar el trabajo de auditoria informática y auditorías externas del grupo

• Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático. (Cada de objetivos y recursos es responsable de esos niveles e implantación de lso medios de medida adecuados).

3. Cuáles son los objetivos de la auditoria informática?

• Protección de activos e integridad de datos

• Gestión que abarca, no solamente la protección de activos, sino también los de eficacia y eficiencia.

4. Cuáles son las semejanzas y diferencias entre control interno y auditoría

informática?

Semejanzas:

• Personal interno

• Conocimiento especializado de TI

• Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección Informática y Dirección General de Sistemas

Diferencias:

• El CI, Análisis de los controles día a día; la AI, Análisis en el momento informático determinado

• El CI, Solo personal Interno; la AI, Personal interno y/o externo

• El CI, Informa a la Dirección del Departamento de Informática; la AI, Informa a la Dirección General de la Organización,

• El CI, tiene alcance sobre el De Departamento de Informática; la AI, tiene cobertura sobre todos los componentes de los sistemas de información de la Organización.


4

5. Ponga ejemplos de controles correctivos en diversas áreas informáticas.

• Recuperación de un archivo defectuoso por medio de las copias de seguridad.

• Puesta en marcha de un servidor caído, con otro que hacía de espejo.

• Si un número indeterminado de persona accede a los servidores se implantaría un sistemas de seguridad dactilar para acceso a los servidores

• Si las personas del Dep. Informático acceden a redes sociales u otros tipos de descargas de archivos, implantar software que impida este tipo de actividades que ponen en riesgo todo el sistema.

6. Cuáles son los principales controles en el área de desarrollo?

• La Alta Dirección debe publicar normativas sobre el uso de metodologías del ciclo de vida de un sistema y revisarlo periódicamente

• Estándares de prueba de programas y sistemas

• Plan de validación, verificación y pruebas

• La metodología debe establecer responsabilidades de las áreas del Dep. de Informática y usuarios; así como composición y responsabilidades del equipo de proyecto.

• Las especificaciones del nuevo sistema debe ser definida por los usuarios y estar escritas y aprobadas antes de iniciar el desarrollo

• Establecer estudios tecnológicos de vialidad en el cual se formulen alternativas para alcanzar los objetivos del proyecto (costo-beneficio)

• Seleccionada la alternativa debe realizase un plan director del proyecto donde debe existir la metodología de control de costos.

• Plan de conversión

• El software que se adquiera debe seguir la políticas de adquisición de la organización, los productos deben ser probados y revisados antes del pago

• La contratación de programas a medida ha de ser justificada mediante petición escrita del director del proyecto.

• Deberán prepararse manuales de operación, mantenimiento y del usuario.

7. Qué procesos definiría para controlar la informática distribuida y las redes?

• Planes adecuados de implantación, conversión y pruebas de aceptación para la red • Existencia de un grupo de control de red • Controles que asegurar la compatibilidad del conjunto de datos entre aplicaciones

en red distribuida • Procedimientos que definan las medidas y controles de seguridad a usarse en la red

en conexión con la distribución del contenido la las DB entre departamento que usan la red.


5

• Que se identifiquen todos los datos sensibles en la red y que se han determinado las especificaciones para su seguridad

• Inventario de los activos de red • Mantenimiento preventivo de los activos • Controles de los mensajes de salida se validan rutinariamente, para verificar si

poseen direcciones de destino validas • Controles de seguridad lógica: acceso a red, establecer perfiles de usuario • Cifrado de información sensible que circula en la red • Procedimientos automáticos de cierre del sistema • Monitorizar la eficiencia de la red • Diseñar el razado físico y medidas de seguridad de la líneas de comunicación local

dentro de la organización • Detectar la correcta o mala recepción de los mensajes • Identificar los mensajes por clave de usuario, por terminal y numero de secuencia

de los mensajes • Revisar el contrato de mantenimiento y el tiempo del servicio del proveedor • Determinar si el equipo multiplexor/concentrador/procesador frontal remoto tiene

lógica redundante y poder de respaldo con alimentación automática en caso de fallo • Asegurar procedimientos de recuperación y reinicio • Asegurarse que existan pistas de auditoria que puedan usarse en la reconstrucción

de los archivos de datos y transacciones de los diversos terminales, debe existir la capacidad de rastrear datos entre terminales de usuario.

• Considerar circuitos de conmutación que usen rutas alternativas para diferentes paquetes de información provenientes del mismo mensaje, como norma de seguridad en caso de interceptarse los mensajes.

8. Que controles se deberá establecer en las aplicaciones?

• Control de entrada de datos

• Controles de tratamiento de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos.

• Control de salida de datos

9. Cómo justificaría ante un directivo de empresa la inversión necesaria en control y

auditoria informática?

Que pese a que la inversión fuese medianamente costosa, los resultados de implementarla serían mayores (Costo < beneficio) ya que beneficiaría a la empresa al mantener el activo más importante de la misma (La información) bajo estrictos controles y auditorias. Siendo la información el activo más importante, ya que al tener aplicaciones que funcionen de manera anormal aunque sea por poco tiempo tendría repercusiones


6

graves para la empresa, poniéndola incluso en riesgo de desaparecer debido a la enorme dependencia de los sistemas informáticos. Además el hecho que varias todas las oficinas o sucursales de una organización se manejen en red hace aún más precario no tener controles o auditorias de información. Por lo que las consecuencias de una anomalía podría extenderse a toda la empresa e incluso al usuario (Cliente). Por ello es necesario hacer inversiones para implantar sistemas de controles internos que garanticen la eficiencia y seguridad suficientes del activo informático. Lo que evidentemente aumenta la necesidad de implantar en las empresas el control y auditoria informática que impongan medidas preventivas, detectivas y correctivas.

10. Describa la informática como modo de estructuración de las empresas.

La informática ha dejado de ser algo visto de lejos o con recelo en las empresas, es ahora algo que es parte primordial y vinculante en las organizaciones públicas y privadas, es ahora parte de su estructura misma. El hecho que este en todas partes como información y la creciente variedad de aplicaciones de negocios y medios distribuidos la hacen estratégicamente necesaria. La que la implementación de la informática permite mejorar sustancialmente los resultados económicos pese a los costes de su implementación, costos que son retribuidos a la empresa debido a que la plena funcionalidad de la informática hace que la misma sea más rentable, segura, eficaz, eficiente y sobre todo rinda ganancias a las organizaciones. Esto debido a que racionaliza los costos, mejora la capacidad de toma de decisiones e implementación de servicios al cliente que la hace competitiva en el mercado.

CAPITULO 3

METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA


1. Qué diferencias y similitudes existen entre las metodologías cualitativas y las

cuantitativas? Qué ventajas y que inconvenientes tienen?

• Metodología Cuantitativa, se basada en modelo matemático numérico ayuda a la realización del trabajo, mientras que la Metodología Cualitativa se basa en el


7

criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada.

Ventajas

Cuantitativa: Enfoca pensamiento usando números Facilita la comparación de vulnerabilidades distintas Proporciona cifras justificantes para cada contramedida Cualitativa Enfoque cuan amplio se desee Plan de trabajo flexible y reactivo Se concentra en la identificación de eventos Incluye factores intangibles

Inconvenientes

Cuantitativa: Estimación de probabilidad depende de estadísticas fiables existentes Estimación de las pérdidas potenciales (si son cuantificables) Metodologías estándares Difíciles de mantener o modificar Dependencia de un profesional Cualitativa Depende fruentemente de la habilidad y calidad del personal involucrado Puede excluir riesgos significantes desconocidos Dependencia de un profesional

2. Cuáles son los componentes de una contramedida o control (Pirámide de la

seguridad)? Qué papel desempeña las herramientas de control? Cuáles son las

herramientas de control más frecuentes?

a) Estándares (políticas) b) Funciones (procedimientos, planes) c) Informática (usuarios) d) Hardware, software

Papel de la herramienta de control.- Permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control

Herramientas de control más frecuentes: Son herramientas d software.


8

3. Qué tipos de metodología de Plan de Contingencia existen? En que se

diferencian? Qué es un Plan de Contingencias?

Tipos de metodología del Plan de Contingencia existen: a) Risk Análisis.- b) Bussines Impact En que se diferencian: Risk Análisis, se basa en el estudio de posibles riesgos desde el punto de vista de la probabilidad de que los mismos sucedan, mientras que, Bussines Impact, se basa en el estudio del impacto (pérdida económica o de imagen) que ocasiona la falta de algún recurso de los que soporta la actividad del negocio. Que es un Plan de Contingencia.- Es una estrategia planificada constituida por: conjunto de recursos de respaldo, una organización de emergencia y procedimientos de actuación encaminada a conseguir una restauración progresiva y ágil de los servicios de negocios afectados por una paralización total o parcial de la capacidad operativa de la empresa.

4. Qué metodologías de Auditoria Informática existen? Para que se usa cada una?

• Las Auditorias de Controles Generales y las Metodologías del auditor interno.

Para que se usa cada una:

Las Auditorias de Controles Generales, sirven para dar opiniones sobre la fiabilidad de los datos del computador para la auditoría financiera

Las Metodologías del auditor interno, es una guía para desarrollar un programa real de trabajo de la auditoria (crea sus propias metodologías)

5. Qué es el nivel de exposición y para qué sirve?

Puede ser una marca (un número por ejemplo) definido subjetivamente, sirve para determinar por ejemplo la suma significativa de factores como impacto, peso de área, situación de control del área. Puede inclusive determinar la rebaja de nivel de un área a auditar porque está muy bien y no merece la pena revisarla continuamente.

6. Qué diferencias existen entre las figuras de auditoría informática y control

interno informático? Cuáles son las funciones más importantes de este?

El control informático, comta los controles y la auditoria informática evalua el grado de control.


9

La auditoría informática:

• Tiene la función de vigilancia y evaluación, y de todas las metodologías van encaminadas a esta función,

• Tiene sus propios objetivos distintos a los auditores de cuentas

• Opera según el plan de auditor

• Utiliza metodologías de evaluación de tipo cualitativo

• Establece planes quinquenales como ciclos completos

• Sistemas de evaluación de repetición de la auditoria por nivel de exposición del área auditada y el resultado de la última auditoria del área.

• Función de soporte informático de todos los auditores

Control Interno Informático:

• Tiene funciones propias

• Funciones de control dual en otros departamentos

• Función normativa y cumplimiento del marco jurídico

• Opera según procedimientos de control en los que se ven involucrados y que luego se

desarrollaran

• Pude ser soporte informático del control interno no informático

Funciones más importantes del Control Interno Informático:

• Definir propietarios y perfiles según clasificación de la información

• Administración delegada en control dual de seguridad lógica

• Responsable del desarrollo y actualización del plan de contingencia, manual de

procedimientos y plan de seguridad

• Dictar normas de seguridad informática

• Definir procedimientos de control

• Control de entorno de desarrollo

• Control de soportes magnéticos según clasificación de información

• Control de microinformática y usuarios

• Control de costos

• Control de calidad del servicio informático

• Control de soportes físicos

• Control de cambios y versiones

• Vigilancia del cumplimiento de las normas

• Definición de seguridad de proyectos nuevos

• Control de medidas de seguridad física

• Responsable de datos personales


10

• Otras funciones y controles que se le asignen

7. Cuáles son las dos metodologías más importantes para control interno

informático? Para qué sirve cada una?

PRIMA y La Obtención de los Procedimientos de Control. PRIMA.- De tipo cualitativo/subjetivo tiene listas de ayuda de concepto abierto, es decir permite añadir herramientas niveles o jerarquías, estándares y objetivos a cumplir por nivel y ayudas de contramedidas. Sirve para proteger información restringida y confidencial vital para la subsistencia de la empresa y para la implantación del control sobre los entornos distribuidos. La Obtención de los Procedimientos de Control.- son manuales de procedimientos de todas las áreas de la empresa que explican las funciones y como se realizan cada tarea. Y que son necesarios para que los auditores realicen las distintas tareas diariamente, ayuda a evaluar que los procedimientos sean correctos estén aprobados y sobre todo se cumplan.

8. Qué papel tienen las herramientas de control en los controles?

Las herramientas de control son software y tienen como papel vertebrar un control de una manera más actual y más automatizada, es decir una herramienta de control automatiza y mejora el control para más tarde definir todo el control con la herramienta incluida y al final documentar los procedimientos de las distintas áreas involucradas para que estas los cumplan y sean auditadas.

9. Cuáles son los objetivos de control en el acceso lógico?

• Segregación de funciones entre los usuarios del sistema

• Integridad de los Log e imposibilidad de desactivarlos por ningún perfil para poder revisarlos

• Gestión centralizada de las seguridad

• Contraseña única para los distintos sistemas de la red

• La contraseña y archivos con perfiles y derechos inaccesibles a todo, incluye al administrador de seguridad

• El sistema debe rechazar a los usuarios que no usan clave o los derechos de uso correctamente, inhabilitando y avisando a Control, para medidas oportunas

• Separación de entornos

• El Log o los Log de actividad no podrán desactivarse a voluntad


11

• El sistema debe obligar al usuario a cambiar la contraseña de manera que solo la conozca el

• Es frecuente encontrar mecanismos de auto-logout que expulsan del sistema a la terminal que permanece inactiva por un tiempo determinado.

10. Que es Single Sign On? Porque es necesario un software especial para el control

de acceso en los entornos distribuidos?

• Single Sing On.- Que es necesario solamente un password y un User ID para un usuario, para acceder y usar su información y sus recursos, de todos los sistemas como si de un solo entorno se tratara.

• Es necesario porque debe ser un software que cope todo el control de entorno distribuido, pues debe ser un producto que resuelva las situaciones nuevas de seguridad lógica.

CAPITULO 4

AUDITORIA INFORMATICA: UN ENFOQUE PRÁCTICO

Cuestiones de Repaso:

1. Qué diferencia existe entre evidencia suficiente y evidencia adecuada?

La evidencia suficiente, es de tipo cuantitativo para soportar la opinión profesional del auditor; mientras que, la evidencia adecuada, es de tipo cualitativo que afecta las conclusiones del auditor.

2. Qué diferencia existe entre prueba de cumplimiento y prueba sustantivo?

La prueba de cumplimiento se realiza con el fin de obtener evidencia de auditoria sobre la

efectividad operativa de los controles para prevenir, y corregir, representaciones erróneas de

importancia relativa a nivel de aseveración

La prueba sustantiva son procedimientos de auditoria realizados para detectar

representaciones erróneas de importancia relativa a nivel de aseveración..

3. Las normas IFAC son vinculantes en España?

Si, por ser parte de la Unión Europea.

4. Las normas ISACF son vinculantes en España?


12

SI, Como la auditoria informática en este país se encuentra en proceso de información se vienen adaptando Directivas de la Unión Europea en las legislaciones y Normas pertinentes.

. 5. Qué diferencia existe entre opinión desfavorable y opinión denegada?

Que la Opinión desfavorable o adversa se aplica en casos de: Identificación de irregularidades y el incumplimiento de la normativa legal y profesional que afecten significativamente los objetivos de la auditoria informática; mientras que, la Opinión denegada, puede tener origen en: limitaciones al alcance de la auditoria, incertidumbres significativas de modo que impidan al auditor formarse una opinión irregularidades y el incumplimiento de la normativa legal y profesional.

6. Que significa importancia relativa? Y materialidad?

La importancia relativa y materialidad tiene que ver con los riesgos que existen en la empresa es cuando no se analizan los problemas de la empresa con exactitud sino se dejan llevar por la apariencia de las cosas y esto puede llevar a un análisis equivocado, por ello la opinión del auditor se basara en evidencias justificadas

7. Qué significado tiene la responsabilidad civil del auditor informático emisor del

informe de auditoría informática y firmante del mismo?

Cuando el auditor informático detecta irregularidades significativas, errores como fraudes en la empresa, debe actuar de forma inmediata, debe de cumplir con su responsabilidad civil de auditor y debe presentar un informe previo de auditoria explicando la situación actual. Una vez elaborado el informe de auditoría debe ser firmado por el mismo auditor. Si es individual o por un socio, que podría ser el Jefe de Auditoria en caso de formar parte de una sociedad de auditoria

8. Cuál es la utilidad del documento denominado Declaraciones de la Dirección?

En que dicho documento forma parte de la documentación sobre la que se basa el informe de auditoría por lo tanto sirve como sustento.

9. Qué diferencia existe entre experto informático y auditor informático?

La diferencia está en que el auditor se encarga de establecer el control para los trabajos del experto informático quien a su vez se encarga de implementarlos.


13

10. Qué diferencia existe entre auditor interno y auditor externo?

El auditor externo es un profesional independiente de la empresa y que el auditor externo otorga fe pública a la confiabilidad de los estados financieros y la credibilidad de la gerencia que los preparó operaciones financieras de la empresa; mientras que el interno, son profesionales que laboran en la empresa encargado de verificar las fortalezas y suficiencia de los controles que se aplican dentro de la empresa. Su estudio debe tener un alcance total de la empresa.

AUDITORIA INFORMATICA Tarea 1 Cuestios de Repaso 4 Capitulos Primeros

Documents

Transcript of AUDITORIA INFORMATICA Tarea 1 Cuestios de Repaso 4 Capitulos Primeros