UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

1

AUDITORIA INFORMATICA

PROFESOR : Ing. Fernando Andrade

ALUMNO : Jesús Cisneros Valle

FECHA : Quito, 23 de Octubre del 2012

CURSO : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 19 y 20 DEL

LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 19

AUDITORIA DE APLICACIONES

Cuestiones de Repaso:

1. Qué fines persigue una Aplicación Informática?

• Registrar fielmente la información considerada de interés en torno a las operaciones llevadas a cabo por una determinada organización: magnitudes físicas o económicas, fechas, descripciones, atributos o características, identificación de las personas físicas o jurídicas que intervienen o guardan relación con cada operación, nombres, direcciones, etc.

• Permitir la realización de cuantos procesos de cálculo y edición sean necesarios a partir de la información registrada, pudiendo, por tanto almacenar automáticamente más información que la de partida, aunque basada en aquella.

• Generar informes que sirvan de ayuda para cualquier finalidad de interés en la organización, prestando la información adecuada: se aplica –según convenga- criterios de selección, ordenación, recuento y totalización por agrupamientos, cálculos de todo tipo, desde estadísticos comunes (media, desviación típica, valores mínimo, máximo, primero y último, etc.) hasta los más sofisticados algoritmos.

2. Enumere las principales amenazas que pueden impedir a las aplicaciones

informáticas cumplir sus objetivos.

Pese a todas las previsiones o al rigor en la creación de la aplicación ni la profesionalidad en el uso de la misma pueden ser garantizados. 1. El cansancio o el estrés puede incurrir en fallas del uso de la aplicación por parte

humana.

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

2

2. Posibilidad de fallo en cualquier de los elementos que intervienen en el proceso informático: software múltiple perteneciente a diferentes firmas, computador central y dispositivos periféricos, transmisión de datos (servidores, módems, líneas de comunicaciones, etc.) constituyen otra fuente de posibles riesgos.

3. La conexión cada vez más generalizada de las empresas a entornos abiertos como la internet multiplican los riesgos que amenazan la confidencialidad de integridad de la información de los sistemas. Y en este caso el número de interesados en descubrir debilidades que le abra las puertas para enredar y manipular la información a la que sean capaces de acceder no tiene límites.

3. Que es una “Pista de Auditoría”?

El registro de información específica son las “pistas de auditoría”, facilitan la futura auditabilidad del proceso del proceso respecto de los riesgos. Las pistas de auditoría facilitan las futuras auditorias informáticas de la aplicación.

4. Explique en qué ocasiones utilizaría la técnica de encuesta frente a la de

entrevista.

Utilizaría una entrevista cuando: Para tener un contacto más directo con la persona a entrevistar (dialogo directo), la entrevista sirve para obtener información de las personas que puedan aportar al propósito que se pretende alcanzar; la utilizaría con los usuarios de la aplicación para tener una apreciación directa de su uso y bondades de seguridad, flexibilidad, escalabilidad. Es decir que piensan de la aplicación. Utilizaría una encuesta cuando: Desee saber o determinar el alcance y objetivos de la auditoria, saber el nivel de satisfacción del usuario sin poner algún tipo de presión en las respuestas (La encuesta podría ser tomada sin tener el encuestado que poner su datos en ella), la usaría para tener una opinión sobre los puntos específicos que trata la encuesta pues solicitaría sugerencias u observaciones que me ayudarían a ampliar mi conocimiento de la aplicación y la performance de la misma.

5. Cuando se debe llevar a cabo pruebas de conformidad? Y pruebas substantivas?

Prueba de conformidad: Se lleva a cabo para comprobar determinados procedimientos, normas o controles internos, particularmente los que merecen confianza de estar adecuadamente establecidos, se cumplen o funcionan de acuerdo a lo establecido y esperado, según lo descrito en la información oportuna. Es decir verificamos el funcionamiento de la aplicación. Las evidencia encontrada debe ser puesta de manifiesto en informes de excepción. Pruebas substantivas: Se las realiza cuando se trata de detectar o determinar la presencia o ausencia de errores o irregularidades en los procesos, actividades, transacciones o controles internos integrados en ellos. Son especialmente indicadas en situaciones en las que no hay evidencia de que existan controles internos relevantes, suficientes como garantizar

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

3

el correcto funcionamiento del proceso o elemento considerado. Todo tipo de error o incidencia imaginable puede ser objeto de investigación en este tipo de pruebas.

6. Valore la importancia del manual de usuario para la auditoria de aplicaciones.

El manual del usuario nos permite tener una primera visión global del sistema, es un documento muy importante ya que nos permite tener una visión amplia del uso y alcance de la aplicación. Es un soporte que permite conocer el uso de la aplicación informática, este documento debe ser claro, completo y estar bien estructurado para facilitar su consulta.

7. Que aspectos se debe considerar en la preparación del plan de trabajo detallado?

• La planificación de los trabajos y el tiempo a emplear • Las herramientas y los métodos • El programa de trabajo detallado • Test de confirmación sobre los datos y los resultados

8. Proponga técnicas para medir el nivel de satisfacción del usuario con el modo de

operar de las aplicaciones.

• Nivel de cobertura de funcionalidades implementadas respecto al total de las posibilidades y deseables en opinión de los usuarios, incluyendo en el concepto de funcionalidad la posibilidad de obtención de informes de gestión y de indicadores de seguimiento de las actividades de la organización usuaria.

• Nivel de satisfacción con el modo de operar las diferentes funcionalidades soportadas por la aplicación, incluyendo los diseños de pantallas e informes de salida, mensajes y ayudas: identificación de mejoras.

• Nivel de satisfacción con la formación recibida para el uso de la aplicación, utilidad del manual del usuario y funcionamiento de los canales establecidos para resolver los problemas que surgen por el uso del sistema

• Nivel de satisfacción con los tiempos de respuesta de la aplicación y con la dotación de equipos informáticos y sus prestaciones.

• Nivel de satisfacción con la herramienta de usuario para procesar información de la aplicación en el caso de disponer de ella.

9. Como verificaría el grado de fiabilidad de la información tratada por una

aplicación?

• Revisión de la eficacia de los controles manuales y programados de entrada, salida y proceso: seguimiento de varias operaciones concretas identificables a lo largo del ciclo completo del tratamiento

• Comprobación de muestreo de la exactitud de la información almacenada en los archivos de la aplicación con respecto a documentos originales

• Pruebas de validez y consistencia de datos de la aplicación mediante proceso informático de la BD real con herramienta de usuario.

• Pruebas de conciliación de magnitudes totalizadas en la aplicación durante varios periodos de tiempo frente a las disponibles.

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

4

10. Cree conveniente que el auditor tenga autorización para actualizar datos de las

aplicaciones que está auditando?

No creo conveniente que el auditor tenga autorización para actualizar datos de las aplicaciones que esta auditando, pues en cierto modo se convertiría en juez y parte del trabajo que esta realizando y un auditor debe tener la independencia y profesionalidad suficientes para evitar poner en duda todo su trabajo.

CAPITULO 20

AUDITORIA INFORMATICA DE EIS/DSS Y APLICACIONES DE SIMULACION

Cuestiones de Repaso:

1. Definición operativa amplia de Auditoria Informática.

Una actividad profesional de investigación, evaluación, dictamen y recomendaciones centrada en la informática como actividad o fin e si misma como instrumento al servicio de otras funciones mas o menos dependientes de ella o en ambos aspectos con el fin de enjuiciar si ayudar (consultores, auditores) a que la organización y su funcionamiento sean conformes (control interno) con lo dispuesto (estructura políticas, procedimientos) por quien tiene el poder legitimo para disponerlo (Los propietarios, Director General, Administración publica, Presidente, etc.)

2. Resuma la evolución de los SID.

Los SID (EIS) Sistemas Información a la Dirección/ SAD (DSS) Sistemas de Ayuda a la Decisión, tienen sus inicios por la década de los sesenta en los sistemas de Información Administrativa (Nominas, contabilidad), los sistemas de información en los setenta pero esos sistemas no entregaban al Directivo la información que requería o necesitaba, también en los setenta inicio la década de los MIS (Sistema de información de gestión) que dio buenas aportaciones teóricas y prácticas y amplio en impacto en la mercadotecnia, pero su impacto en la información a la dirección fue limitado, por los años ochenta empezó la proliferación de los paquetes SID con planteamientos variados muchos de los cuales no han quedado retenidos en la actualidad.

3. Principales características de los SID actuales.

• Interfaz grafica • Consultas • Formatos de presentación • Bancos de Datos • Estructuras de datos • Vistas • Ámbito • Detección de desviaciones

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

5

• Entorno informático • Herramientas mínimas • Herramientas usuales • Métodos de desarrollo • Programación

4. Qué diferencias destacaría entre un SID y un SAD?

En una base de datos privada o local los SID reduce y resume la información y plantea el problema de los criterios y filtros de extracción y ciclo de refresco (La tendencia es el ataque directo a la BD se usa herramientas sencillas) Los SAD usa herramientas complejas, si se aplica herramientas que rebasa las propias del SAD (Estamos en una situación de SAD) pero usando otras herramientas otras fuentes de datos.

5. Riesgos de control general de los SID.

AREA: Datos RIESGOS: • Se puede acceder y manipularlos vía SGBD u otras utilidades • Datos en PC o laptop: entornos poco seguros • Información sensible: informes, memorandos y mensajes • Procedimientos normales de control de telecomunicaciones no son aplicables

AREA: Logical (Herramienta de auditoría asistida por computador) RIESGOS: • La arquitectura de sistema abierto tiene más debilidades de control • Desarrollo rápido puede suponer fallos de análisis o diseño • La gestión de control de accesos es compleja • La programación del usuario final es difícil de controlar AREA: Material RIESGOS: • Equipos y datos distribuidos dificultan las copias de seguridad • Los planes de contingencia pueden no cubrir suficientemente a las PC AREA: Personal y procedimientos RIESGOS: • Los directivos pueden resistirse en la práctica a procedimientos de seguridad y

control • Control sobre datos cualitativos es más difícil de implementar • Los propietarios de los datos pueda que decidan comunicarlos sin haberlos revisado

suficientemente

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

6

• A efectos de AI los auditores deben tener una alta calificación: el uso de herramientas CAAT será difícil y encarecerá la auditoria.

AREA: Entradas RIESGOS: • Dependencia de fuentes muy dispersas • Carencia de controles normalizados sobre fuentes externas • Dificultad de controlar datos cualitativos • Presión para introducción de datos urgente, antes de su revisión • Acceso no autorizado gracias a la interface fácil de usar • Gestión de accesos compleja

AREA: Procesos RIESGOS: • Rutinas de procesos complejas • En el caso de herramientas estadísticas y de simulación, el algoritmo, sus

limitaciones su aplicabilidad y su documentación pueden ser inadecuadas o insuficientes.

• La modificación continua del Logical puede prohibir controles de mantenimiento y gestión de la configuración.

• Carencia de procesos estructurados de desarrollo

AREA: Salidas RIESGOS: • Se puede enviar salidas vía e-mail a destinatarios no autorizados • La exactitud de las salidas graficas es más difícil de verificar

6. Cuáles son los principales medios de control de aplicación de los SID?

• Liderazgo y participación comprometida con la alta dirección son cruciales. SID puentea a los mandos medios, que serán hostiles.

• El directivo responsable del proyecto debe tener el nivel, el poder, el tiempo y el propósito de que el sistema se adapte a las necesidades de la organización y este claramente enlazado con sus objetivos de negocio.

• El AI debe participar desde el estudio de la vialidad • El SID está destinado a la toma (asistida por SAD o no) de decisiones estratégicas.

Esto muestra una situación de altísimo riesgo para el AI. Principales factores críticos del éxito: gestión de problemas de datos, gestión de resistencia organizativa, gestión de ámbito y la evolución.

7. Objetivos de control de una Auditoria informática de las aplicaciones de

simulación.

Utiliza los principales objetivos de control de CobiT 96

• Evaluar riesgos

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

7

• Gestionar proyectos

• Gestionar la calidad

• Identificar soluciones

• Adquirir y mantener Logical de Aplicación

• Gestión de funcionamiento y capacidad

• Formar y entrenar a los usuarios

• Gestión de Datos

• Gestión de servicios por terceros

• Obtención de garantías independientes

8. Que es la autoevaluación del control?

CSA (Control SelfAssessment) método insuficientemente normalizado con un enfoque de gestión de salud primaria y preventiva, es un suplemento y no sustituto de la auditoria convencional. Por el que el personal a todos los niveles en todas las funciones, lo constituyen los analistas informadores de control primario.

9. Porque resulta tan importante la auditoria de los SAD, SID y de las Aplicaciones

de simulación?

Porque la AI debe recomendar el máximo de controles generales y controles de aplicación (de los que alimentan de datos a estos sistemas) extremar el uso de técnicas indirectas (indicadores externos, systems walkthrus) y recurrir a técnicas CSA alineadas con la calidad total.

10. Elabore listas de control para auditar algún sistema que conozca para el

desarrollo de aplicaciones de simulación.

1. Gestionar proyectos

2. Evaluar riesgos

3. Gestionar la calidad

4. Adquirir y mantener los sistemas de información

5. Gestión de BD

6. Gestión de servicios de terceros