Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade ALUMNO FECHA CURSO : Jess Cisneros Valle : Quito, 13 de agosto del 2012 : 10ASM
RESPONDER LAS CUESTIONES DE REPASO DE LOS 4 PRIMEROS CAPITULOS DE LIBRO AUDITORIA INFORMATICA Un enfoque prctico.
CAPITULO 1
LA INFORMATICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO Cuestiones de Repaso 1. Cules son los elementos fundamentales del concepto de auditora? Conceptualmente la toda auditoria es la actividad que consiste en emitir una opinin profesional y debe contener los siguientes elementos: a) Contenido, b) Condicin, c) Justificacin, d) Objeto, e) Finalidad. 2. Cuantas clases diferentes de Auditoria existen? Los elementos 4 y 5 (Objeto y Finalidad) determinan que clases o tipo de auditora se trata. 3. Qu sector es uno de los principales usuarios de las auditorias? Financiero (La Banca) 4. Qu ventajas aporta el computador respecto del trabajo manual? Costo de explotacin Bajo Costo de Operacin Bajo Rendimiento continuado Constante Consistencia Excelente 5. Qu significa las siglas CAAT? Tcnicas de Auditoria Asistidas por Computador.
CAPITULO 2
CONTROL INTERNO Y AUDITORIA INFORMATICA. Cuestiones de Repaso 1. Qu cambios en las empresas provocan tensiones en el control interno existente? Reestructuracin de los procesos empresariales (BPR) Gestin de la calidad total (TQM) Redimensionamiento por reduccin y/o por aumento del tamao hasta el nivel correcto.
2. Cules son las funciones del control interno informtico? Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de auditoria informtica y auditoras externas del grupo Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico. (Cada de objetivos y recursos es responsable de esos niveles e implantacin de lso medios de medida adecuados). 3. Cules son los objetivos de la auditoria informtica? Proteccin de activos e integridad de datos Gestin que abarca, no solamente la proteccin de activos, sino tambin los de eficacia y eficiencia. 4. Cules son las semejanzas y diferencias entre control interno y auditora informtica? Semejanzas: Personal interno Conocimiento especializado de TI Verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la Direccin Informtica y Direccin General de Sistemas
Diferencias: El CI, Anlisis de los controles da a da; la AI, Anlisis en el momento informtico determinado El CI, Solo personal Interno; la AI, Personal interno y/o externo El CI, Informa a la Direccin del Departamento de Informtica; la AI, Informa a la Direccin General de la Organizacin, El CI, tiene alcance sobre el De Departamento de Informtica; la AI, tiene cobertura sobre todos los componentes de los sistemas de informacin de la Organizacin.
8. Que controles se deber establecer en las aplicaciones? Control de entrada de datos Controles de tratamiento de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos. Control de salida de datos 9. Cmo justificara ante un directivo de empresa la inversin necesaria en control y auditoria informtica? Que pese a que la inversin fuese medianamente costosa, los resultados de implementarla seran mayores (Costo < beneficio) ya que beneficiara a la empresa al mantener el activo ms importante de la misma (La informacin) bajo estrictos controles y auditorias. Siendo la informacin el activo ms importante, ya que al tener aplicaciones que funcionen de manera anormal aunque sea por poco tiempo tendra repercusiones
5
CAPITULO 3
METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA Cuestiones de Repaso 1. Qu diferencias y similitudes existen entre las metodologas cualitativas y las cuantitativas? Qu ventajas y que inconvenientes tienen? Metodologa Cuantitativa, se basada en modelo matemtico numrico ayuda a la realizacin del trabajo, mientras que la Metodologa Cualitativa se basa en el
2. Cules son los componentes de una contramedida o control (Pirmide de la seguridad)? Qu papel desempea las herramientas de control? Cules son las herramientas de control ms frecuentes? a) Estndares (polticas) b) Funciones (procedimientos, planes) c) Informtica (usuarios) d) Hardware, software Papel de la herramienta de control.- Permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control Herramientas de control ms frecuentes: Son herramientas d software.
3. Qu tipos de metodologa de Plan de Contingencia existen? En que se diferencian? Qu es un Plan de Contingencias? Tipos de metodologa del Plan de Contingencia existen: a) Risk Anlisis.b) Bussines Impact En que se diferencian: Risk Anlisis, se basa en el estudio de posibles riesgos desde el punto de vista de la probabilidad de que los mismos sucedan, mientras que, Bussines Impact, se basa en el estudio del impacto (prdida econmica o de imagen) que ocasiona la falta de algn recurso de los que soporta la actividad del negocio. Que es un Plan de Contingencia.- Es una estrategia planificada constituida por: conjunto de recursos de respaldo, una organizacin de emergencia y procedimientos de actuacin encaminada a conseguir una restauracin progresiva y gil de los servicios de negocios afectados por una paralizacin total o parcial de la capacidad operativa de la empresa. 4. Qu metodologas de Auditoria Informtica existen? Para que se usa cada una? Las Auditorias de Controles Generales y las Metodologas del auditor interno. Para que se usa cada una: Las Auditorias de Controles Generales, sirven para dar opiniones sobre la fiabilidad de los datos del computador para la auditora financiera Las Metodologas del auditor interno, es una gua para desarrollar un programa real de trabajo de la auditoria (crea sus propias metodologas) 5. Qu es el nivel de exposicin y para qu sirve? Puede ser una marca (un nmero por ejemplo) definido subjetivamente, sirve para determinar por ejemplo la suma significativa de factores como impacto, peso de rea, situacin de control del rea. Puede inclusive determinar la rebaja de nivel de un rea a auditar porque est muy bien y no merece la pena revisarla continuamente. 6. Qu diferencias existen entre las figuras de auditora informtica y control interno informtico? Cules son las funciones ms importantes de este? El control informtico, comta los controles y la auditoria informtica evalua el grado de control.
8
Control Interno Informtico: Tiene funciones propias Funciones de control dual en otros departamentos Funcin normativa y cumplimiento del marco jurdico Opera segn procedimientos de control en los que se ven involucrados y que luego se desarrollaran Pude ser soporte informtico del control interno no informtico Funciones ms importantes del Control Interno Informtico: Definir propietarios y perfiles segn clasificacin de la informacin Administracin delegada en control dual de seguridad lgica Responsable del desarrollo y actualizacin del plan de contingencia, manual de procedimientos y plan de seguridad Dictar normas de seguridad informtica Definir procedimientos de control Control de entorno de desarrollo Control de soportes magnticos segn clasificacin de informacin Control de microinformtica y usuarios Control de costos Control de calidad del servicio informtico Control de soportes fsicos Control de cambios y versiones Vigilancia del cumplimiento de las normas Definicin de seguridad de proyectos nuevos Control de medidas de seguridad fsica Responsable de datos personales 9
7. Cules son las dos metodologas ms importantes para control interno informtico? Para qu sirve cada una? PRIMA y La Obtencin de los Procedimientos de Control. PRIMA.- De tipo cualitativo/subjetivo tiene listas de ayuda de concepto abierto, es decir permite aadir herramientas niveles o jerarquas, estndares y objetivos a cumplir por nivel y ayudas de contramedidas. Sirve para proteger informacin restringida y confidencial vital para la subsistencia de la empresa y para la implantacin del control sobre los entornos distribuidos. La Obtencin de los Procedimientos de Control.- son manuales de procedimientos de todas las reas de la empresa que explican las funciones y como se realizan cada tarea. Y que son necesarios para que los auditores realicen las distintas tareas diariamente, ayuda a evaluar que los procedimientos sean correctos estn aprobados y sobre todo se cumplan. 8. Qu papel tienen las herramientas de control en los controles? Las herramientas de control son software y tienen como papel vertebrar un control de una manera ms actual y ms automatizada, es decir una herramienta de control automatiza y mejora el control para ms tarde definir todo el control con la herramienta incluida y al final documentar los procedimientos de las distintas reas involucradas para que estas los cumplan y sean auditadas. 9. Cules son los objetivos de control en el acceso lgico? Segregacin de funciones entre los usuarios del sistema Integridad de los Log e imposibilidad de desactivarlos por ningn perfil para poder revisarlos Gestin centralizada de las seguridad Contrasea nica para los distintos sistemas de la red La contrasea y archivos con perfiles y derechos inaccesibles a todo, incluye al administrador de seguridad El sistema debe rechazar a los usuarios que no usan clave o los derechos de uso correctamente, inhabilitando y avisando a Control, para medidas oportunas Separacin de entornos El Log o los Log de actividad no podrn desactivarse a voluntad
10
10. Que es Single Sign On? Porque es necesario un software especial para el control de acceso en los entornos distribuidos? Single Sing On.- Que es necesario solamente un password y un User ID para un usuario, para acceder y usar su informacin y sus recursos, de todos los sistemas como si de un solo entorno se tratara. Es necesario porque debe ser un software que cope todo el control de entorno distribuido, pues debe ser un producto que resuelva las situaciones nuevas de seguridad lgica.
CAPITULO 4
AUDITORIA INFORMATICA: UN ENFOQUE PRCTICO Cuestiones de Repaso: 1. Qu diferencia existe entre evidencia suficiente y evidencia adecuada? La evidencia suficiente, es de tipo cuantitativo para soportar la opinin profesional del auditor; mientras que, la evidencia adecuada, es de tipo cualitativo que afecta las conclusiones del auditor. 2. Qu diferencia existe entre prueba de cumplimiento y prueba sustantivo?
La prueba de cumplimiento se realiza con el fin de obtener evidencia de auditoria sobre la efectividad operativa de los controles para prevenir, y corregir, representaciones errneas de importancia relativa a nivel de aseveracin La prueba sustantiva son procedimientos de auditoria realizados para detectar representaciones errneas de importancia relativa a nivel de aseveracin..
3. Las normas IFAC son vinculantes en Espaa? Si, por ser parte de la Unin Europea. 4. Las normas ISACF son vinculantes en Espaa?
11
12
13