AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 11 y 12

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

1

AUDITORIA INFORMATICA

PROFESOR : Ing. Fernando Andrade

ALUMNO : Jesús Cisneros Valle

FECHA : Quito, 16 de septiembre del 2012

CURSO : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 11 y 12 DEL

LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 11

AUDITORIA DE LA EXPLOTACION

Cuestiones de Repaso:

1. Cuáles son los componentes de un SI según el proyecto CobiT?

• Datos. En general se consideran datos tanto los estructurados como los no

estructurados, las imágenes, los sonidos, etc.

• Aplicaciones. Se incluyen las aplicaciones manuales y las informativas

• Tecnología. El software y el hardware, los sistemas operativos, los sistemas de

gestión, los sistemas de red, etc.

• Instalaciones. En ellas se ubican y se mantienen los sistemas de información

• Personal. Los conocimientos específicos que ha de tener el personal de los sistemas

de información para planificarlos, organizarlos, administrarlos y gestionarlos.

2. Cuál es el fin de la carta de encargo?

El fin es recoger o plasmar las responsabilidades de un trabajo de auditoría; además,

determinar el alcance del trabajo de auditoría.

3. Cuáles son las fases de la Planificación de la Auditoría?

1. Planificación estratégica 2. Planificación administrativa 3. Planificación técnica

4. Que categoría se puede distinguir en los controles generales?

1. Controles operativos y de organización


2

2. Controles sobre el desarrollo de programas y su organización 3. Controles sobre los programas y los equipos 4. Controles de acceso 5. Controles sobre los procedimientos y los datos

5. Defina “control”. Como se evalúan los controles?

• Según COSO control es: Las normas, los procedimientos, las prácticas y las

estructuras organizativas diseñadas para proporcionar seguridad razonable de que

los objetivos de las empresas se alcanzaran y que los eventos no deseados se

preverán, se detectarán y se corregirán.

• Para evaluar los controles es necesario encontrar evidencia sobre:

o La terminación total de todos los procesos.

o La separación física y lógica de los programas fuente y objetos y de las

bibliotecas de desarrollo, de pruebas y de producción.

o La existencia de normas y procedimientos para pasar los programas de una

biblioteca a otra.

o Las estadísticas de funcionamiento, donde se incluya: Capacidad y

utilización del equipo central y de los periféricos, utilización de la memoria,

utilización de las telecomunicaciones.

o Las normas de nivel de servicios de los proveedores

o Los estándares de funcionamiento interno

o El mantenimiento y revisión de los diarios de explotación

o La realización del mantenimiento periódico de todos los equipos

o La evidencia de la rotación de los turnos de los operadores y de las

vacaciones tomadas.

6. Que diferencias existen entre las pruebas sustantivas y las de cumplimiento?

Las Pruebas de cumplimiento consisten en comprobar que se están cumpliendo las

normas previamente establecidas en los manuales; pero las Pruebas sustantivas son

aquellas que se usan cuando no existen manuales o normas establecidas.

7. Cuáles son los tipos de informes de auditoría?

• Informe favorable, el sistema auditado es satisfactorio

• Informe desfavorable, El sistema auditado tiene múltiples fallas

• Informe con salvedades, el sistema auditado es válido pero posee fallas que no lo invalidan

• Informe de denegación de opinión, El auditor no posee los suficientes elementos de

juicio para emitir su opinión.


3

8. Como se estructura un informe de auditoría?

Para estructurar un informe de auditoría se debe utilizar las Normas de Auditoría de

Sistemas de Información Generalmente Aceptadas y Aplicables (NASIGAA) y además

tener en cuenta las normas 9 y 10 emitidas por ISACA. Además el informe debe

contener información adicional.

El informe es un instrumento que debe contener: Los objetivos de la auditoría, el

alcance que vaya a tener, las debilidades encontradas y las conclusiones a las que se

lleguen.

El informe debe plasmar cuales son las NASIGAA que se han seguido para realizar el

trabajo. Indicando las excepciones en el seguimiento de estas normas técnicas, el

motivo de no seguirlas y cuando proceda indicar los potenciales efectos que pudiera

tener en los resultados de la auditoría.

El informe debe contener las debilidades detectadas en el SI del auditado, así como las

causas y sus efectos y las recomendaciones para mejorar o eliminar las debilidades.

El informe debe presentarse de manera lógica y organizada y debe ser comprensible

para el auditado

El informe debe ser emitido en el momento apropiado, para que le permita al auditado

poner en ejecución inmediata las recomendaciones del mismo.

El informe debe contener la entidad que se audita y la fecha de emisión, además

contener las restricciones de distribución del documento para que el informe no llegue

a manos indebidas.

9. Defina los tipos de archivos principales y contenido de cada uno?

• Archivo permanente, contiene todos los papeles que tienen un interés continuo y

una validez plurianual, tales como:

o Característica de los equipos y de las aplicaciones

o Manuales de los equipos y de las aplicaciones

o Organigrama de la empresa en general

o Organigramas del servicio de información y división de funciones

o Cuadro de planificación plurianual de auditoria

o Escrituras y contratos

o Consideraciones obres el negocio o Consideraciones sobre el sector


4

o Y toda aquella información que pueda tener importancia para auditorias

posteriores.

• Archivo corriente, este se subdivide en: Archivo general y archivos de áreas de proceso.

o Archivo general: Son aquellos que no tiene cabida específica en algunas de

las áreas/procesos en que hemos dividido el trabajo de auditoria.

� El informe del auditor

� La carta de recomendaciones

� Los acontecimientos posteriores

� El cuadro de aplicaciones de la auditoria corriente

� Correspondencia que se ha mantenido con la dirección de la

empresa

� El tiempo que cada persona del equipo a empleado en cada área/proceso

o Archivos por áreas/procesos: Se debe prepara un archivo para cada área o

proceso en que hayamos dividido el trabajo e incluir en cada archivo los

documentos que hayamos necesitado para realizar el trabajo de esa

área/proceso concreto.

� Programa de auditoria de cada una de las áreas/procesos

� Conclusiones del área/proceso en cuestión

� Conclusiones del procedimiento en cuestión.

10. Especifique algunos objetivos de control a revisar en la auditoria de la explotación de los sistemas informáticos.

• Inicio: contrato o carta de encargo

• Planificación: Planificación estratégica (estudio y evaluación de riesgos,

establecimiento de objetivos); Planificación administrativa (planificación técnica:

programa de trabajo).

• Realizar el trabajo: actualización del programa de trabajo, pruebas de

cumplimiento, pruebas sustantivas.

• Revisiones de informes: Revisión del trabajo, elaboración de informes, distribución

de informes.

• Fin: archivar los papeles de trabajo.

CAPITULO 12

AUDITORIA DEL DESARROLLO

Cuestiones de Repaso:

1. Que factores contribuyen a la importancia de la auditoria de desarrollo?


5

• El desafío mas importante y principal factor de éxito de la informática es la mejora

de la calidad del software.

• El gasto dedicado al software es mayor que el destinado al hardware.

• La crisis del software incluye problemas asociados con el desarrollo y

mantenimiento del software y esto afecta a un gran número de organizaciones. En

el área del hardware no se presentado este tipo de crisis.

• El software como producto es muy fácil de validar, en un mayor control en el

proceso del mismo incrementa la calidad y disminuye los costos.

• El índice de fracasos en desarrollo de software es muy alto, lo que denota la

inexistencia o mal funcionamiento de los controles en este proceso.

• Las aplicaciones informáticas que son el producto final del desarrollo, pasan a ser

herramientas de trabajo principal de las áreas informatizadas, convirtiéndose en un

factor crucial de gestión y toma de decisiones.

2. Que aspectos se deben comprobar respecto a las funciones del área de desarrollo?

• Planificación del área y participación, elaborar el plan estratégico de informática,

• Desarrollo de nuevo sistemas, incluye el análisis, diseño, construcción e

implantación.

• Estudios de nuevos lenguajes, técnicas, metodologías, estándares, herramientas

relacionadas con el desarrollo

• Establecimiento de un plan de formación para el personal adscrito al área

• Establecimiento de normas y controles para todas las actividades que se realizan en

el área y comprobar su observancia

3. Comente la importancia, desde el punto de vista de la auditoria, de la formación

que deben poseer los profesionales de desarrollo.

El personal de desarrollo es muy importante y debe contar con una formación

adecuada para realizar su trabajo. Deben existir procedimientos de contratación

objetivos, que permitan seleccionar al personal y verificar si cumplen con los

requisitos para el puesto que acceden. Ha de existir un plan de formación que vaya de

la mano con los objetivos tecnológicos del área, planes de capacitación a corto,

mediano y largo plazo, incluir información relevante de cada formativa, las actividades

formativas deber ser evaluadas por los asistentes y debe ser tenida en cuenta a la hora

de redefinir el plan de formación. Debe contemplar la formación de todos los

empleados y el puesto que ocupan, además el plan de trabajo del área debe tener en

cuenta los tiempos de formación. Ha de implementarse un protocolo de

recepción/abandono para las personas que se incorporan o dejan el área, este protocolo

debe respetarse, la incorporación debe incluir estándares definidos, manuales del área,


6

etc. y en los abandonos del personal se debe garantizar la protección del área. Debe

contarse con bibliotecas actualizadas, accesibles y de prestigio para el personal del área

y que estén disponibles.

4. Qué procedimiento utilizaría para valorar la motivación del personal de

desarrollo?

Se podría hacer encuestas al personal para que sin identificarse puedan indicar lo que

les incomoda en su área de trabajo y que aspectos deberían mejorarse de manera

inmediata. Realizar talleres de motivación donde se expongan nuevas formas de

motivación ocupacional y además que se expongan las inquietudes de manera

respetuosa y organizada de ser posible con las posibles soluciones para valorarlas y de

ser el caso implementarlas.

5. Qué repercusiones tiene la existencia de herramientas CASE en el ámbito del

desarrollo?

El desarrollo de sistemas de información debe hacerse aplicando principios de

ingeniería de software ampliamente aceptados, debe de implantarse una metodología

de desarrollo de sistemas de información soportadas por herramientas de ayudas

(CASE), debiéndose comprobar que: la metodología cubre todas las fases del

desarrollo y es adaptable a distintos proyectos.

• La metodología y las técnicas a la misma están adaptadas al entorno tecnológico y

de organización del área de desarrollo.

• Se ha adquirido, homologado e implantado según normas del área una herramienta

CASE que se adapta a la metodología elegida y cumple con los requisitos mínimos

exigibles.

• Se ha formado al personal sobre esta metodología y su adaptación así como

técnicas asociadas y herramientas CASE.

• Existe un procedimiento que permita determinar en que proyectos se puede usar

CASE y es ventajoso usarlo.

• Debe estar claro de que forma el uso de esta herramienta altera las fases de

desarrollo normales

• La herramienta CASE es capaz de mantener el diccionario de datos

• La herramienta CASE mantiene requisitos de confidencialidad necesarios sobre la

documentación asociada al proyecto

6. Describa diversos procedimientos de análisis, evaluación y selección de

herramientas de desarrollo que haya utilizado o conozca?


7

• Una de las herramientas principales que he usado es programación orientada a

objetos VB.Net por ejemplo, para elegirla se analizó su potencialidad de desarrollo

de software y la compatibilidad del sistema que se desarrolló con los SO actuales,

es decir tratar que a más de solventar las necesidades de procesamiento tenga

compatibilidad con los diversos SO que pudieran tener los usuarios. Es decir

analizarlo, evaluarlo y seleccionarlo fue algo circunstancial y a la vez se basó más

en la necesidad y conocimiento del uso de la herramienta de desarrollo.

7. Que riesgos entraña la subcontratación del desarrollo?

• Riesgos como que el personal no esté capacitado y haya que capacitarlo con los

inconvenientes de gastos extra presupuestados en el proyecto.

• Que el personal no se acople a las exigencias o políticas del trabajo

• Que se pueden ver afectadas las normas implantadas para el desarrollo de software,

dando inconvenientes a la seguridad del proyecto que se desarrolle.

8. Como afecta el modelo de ciclo de vida que se adopte en un proyecto a la

auditoria a realizar sobre el mismo?.

El ciclo de vida afecta si no se lo ha elegido apropiadamente para el tipo de proyecto

que se trate, se ha de dimensionar históricamente el proyecto y sus riesgos como para

seleccionar el ciclo de vida, se debe poner especial atención si se elige un ciclo de vida

basado en prototipado, en este caso deben cumplirse los requisitos necesarios para

aplicarlo con éxito y debe existir un acuerdo con los usuarios sobre el alcance del

prototipo y el objetivo que se persigue con el mismo.

9. Cree que la “trazabilidad” de los requisitos resulta importante en un desarrollo

informático?

Si es importante porque permitirá desde el inicio, el desarrollo y definición de

objetivos, desarrollo del software en todas sus fases, evaluación del producto por los

usuarios y luego la explotación, una cadena de controles y normas que deben de

cumplirse para obtener un producto optimo y de calidad.

10. Exponga como debería ser la participación del usuario a lo largo de las distintas

fases de la metodología métrica.

• En el proyecto deben participar los usuarios de todas la áreas que afecte el nuevo

sistema, esta participación será normalmente a través de entrevistas que tendrán

especial importancia en la definición de requisitos del sistema.

• El grupo de usuarios por medio de las entrevistas permitirán conocer o darán a

conocer cómo valoran el sistema actual y los que esperan del nuevo sistema.


8

• Los usuarios deben contar con todos los recursos necesarios

• Los usuarios deben comparar con los recursos existentes y se ha planificado todos

los recursos necesarios

• El sistema debe ser aceptado por los usuarios antes de ponerse en explotación, las

pruebas de aceptación son realizadas por los usuarios, se evalúan los resultados de

las pruebas y se toman decisiones correctoras necesarias para solventar las

incidencias encontradas, actualizándose el proyecto

• El grupo de usuarios y el comité de dirección firman su conformidad con las

pruebas de aceptación.

AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 11 y 12

Documents

Transcript of AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 11 y 12