UNIVERSIDAD AUTONOMA DE QUITO UNAQ

AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade ALUMNO FECHA CURSO : Jess Cisneros Valle : Quito, 13 de agosto del 2012 : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS 4 PRIMEROS CAPITULOS DE LIBRO AUDITORIA INFORMATICA Un enfoque prctico.

CAPITULO 1
LA INFORMATICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO Cuestiones de Repaso 1. Cules son los elementos fundamentales del concepto de auditora? Conceptualmente la toda auditoria es la actividad que consiste en emitir una opinin profesional y debe contener los siguientes elementos: a) Contenido, b) Condicin, c) Justificacin, d) Objeto, e) Finalidad. 2. Cuantas clases diferentes de Auditoria existen? Los elementos 4 y 5 (Objeto y Finalidad) determinan que clases o tipo de auditora se trata. 3. Qu sector es uno de los principales usuarios de las auditorias? Financiero (La Banca) 4. Qu ventajas aporta el computador respecto del trabajo manual? Costo de explotacin Bajo Costo de Operacin Bajo Rendimiento continuado Constante Consistencia Excelente 5. Qu significa las siglas CAAT? Tcnicas de Auditoria Asistidas por Computador.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

6. En que afecta a los auditores la introduccin de las TI en los sistemas de informacin? En el Objeto: que ahora est en soporte diferente (medio magntico) y no en libros. 7. Qu diferencia hay entre auditora y consultora? La Auditora, emite una opinin profesional; la Consultora, aconseja. 8. Cules son las ventajas de la informtica como herramienta de la auditora financiera? Grado de Informatizacin, (objeto y procedimientos) Mejora de las tcnicas habituales. (amplias posibilidades del Auditor al utilizar medios electrnicos) 9. Qu pueden aportar los sistemas expertos a la auditoria informtica? Aporta mucho al Anlisis y Evaluacin del Control Interno; as como, sus ventajas bajo supervisin del Auditor: Objetividad del sistema, utilizacin de frmulas estadsticas, la cuantificacin y aplicacin de pruebas de cumplimiento y sustantivas adecuadas, la actualizacin de la base de conocimientos y soporte legal en caso de litigio. 10. Cules son las razones de la baja utilizacin de las TI como herramienta de la auditora financiera? Costo econmico Complejidad tcnica Falta de entrenamiento y experiencia

CAPITULO 2
CONTROL INTERNO Y AUDITORIA INFORMATICA. Cuestiones de Repaso 1. Qu cambios en las empresas provocan tensiones en el control interno existente? Reestructuracin de los procesos empresariales (BPR) Gestin de la calidad total (TQM) Redimensionamiento por reduccin y/o por aumento del tamao hasta el nivel correcto.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Contratacin externa Descentralizacin

2. Cules son las funciones del control interno informtico? Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de auditoria informtica y auditoras externas del grupo Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico. (Cada de objetivos y recursos es responsable de esos niveles e implantacin de lso medios de medida adecuados). 3. Cules son los objetivos de la auditoria informtica? Proteccin de activos e integridad de datos Gestin que abarca, no solamente la proteccin de activos, sino tambin los de eficacia y eficiencia. 4. Cules son las semejanzas y diferencias entre control interno y auditora informtica? Semejanzas: Personal interno Conocimiento especializado de TI Verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la Direccin Informtica y Direccin General de Sistemas

Diferencias: El CI, Anlisis de los controles da a da; la AI, Anlisis en el momento informtico determinado El CI, Solo personal Interno; la AI, Personal interno y/o externo El CI, Informa a la Direccin del Departamento de Informtica; la AI, Informa a la Direccin General de la Organizacin, El CI, tiene alcance sobre el De Departamento de Informtica; la AI, tiene cobertura sobre todos los componentes de los sistemas de informacin de la Organizacin.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

5. Ponga ejemplos de controles correctivos en diversas reas informticas. Recuperacin de un archivo defectuoso por medio de las copias de seguridad. Puesta en marcha de un servidor cado, con otro que haca de espejo. Si un nmero indeterminado de persona accede a los servidores se implantara un sistemas de seguridad dactilar para acceso a los servidores Si las personas del Dep. Informtico acceden a redes sociales u otros tipos de descargas de archivos, implantar software que impida este tipo de actividades que ponen en riesgo todo el sistema. 6. Cules son los principales controles en el rea de desarrollo? La Alta Direccin debe publicar normativas sobre el uso de metodologas del ciclo de vida de un sistema y revisarlo peridicamente Estndares de prueba de programas y sistemas Plan de validacin, verificacin y pruebas La metodologa debe establecer responsabilidades de las reas del Dep. de Informtica y usuarios; as como composicin y responsabilidades del equipo de proyecto. Las especificaciones del nuevo sistema debe ser definida por los usuarios y estar escritas y aprobadas antes de iniciar el desarrollo Establecer estudios tecnolgicos de vialidad en el cual se formulen alternativas para alcanzar los objetivos del proyecto (costo-beneficio) Seleccionada la alternativa debe realizase un plan director del proyecto donde debe existir la metodologa de control de costos. Plan de conversin El software que se adquiera debe seguir la polticas de adquisicin de la organizacin, los productos deben ser probados y revisados antes del pago La contratacin de programas a medida ha de ser justificada mediante peticin escrita del director del proyecto. Debern prepararse manuales de operacin, mantenimiento y del usuario. 7. Qu procesos definira para controlar la informtica distribuida y las redes? Planes adecuados de implantacin, conversin y pruebas de aceptacin para la red Existencia de un grupo de control de red Controles que asegurar la compatibilidad del conjunto de datos entre aplicaciones en red distribuida Procedimientos que definan las medidas y controles de seguridad a usarse en la red en conexin con la distribucin del contenido la las DB entre departamento que usan la red.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Que se identifiquen todos los datos sensibles en la red y que se han determinado las especificaciones para su seguridad Inventario de los activos de red Mantenimiento preventivo de los activos Controles de los mensajes de salida se validan rutinariamente, para verificar si poseen direcciones de destino validas Controles de seguridad lgica: acceso a red, establecer perfiles de usuario Cifrado de informacin sensible que circula en la red Procedimientos automticos de cierre del sistema Monitorizar la eficiencia de la red Disear el razado fsico y medidas de seguridad de la lneas de comunicacin local dentro de la organizacin Detectar la correcta o mala recepcin de los mensajes Identificar los mensajes por clave de usuario, por terminal y numero de secuencia de los mensajes Revisar el contrato de mantenimiento y el tiempo del servicio del proveedor Determinar si el equipo multiplexor/concentrador/procesador frontal remoto tiene lgica redundante y poder de respaldo con alimentacin automtica en caso de fallo Asegurar procedimientos de recuperacin y reinicio Asegurarse que existan pistas de auditoria que puedan usarse en la reconstruccin de los archivos de datos y transacciones de los diversos terminales, debe existir la capacidad de rastrear datos entre terminales de usuario. Considerar circuitos de conmutacin que usen rutas alternativas para diferentes paquetes de informacin provenientes del mismo mensaje, como norma de seguridad en caso de interceptarse los mensajes.

8. Que controles se deber establecer en las aplicaciones? Control de entrada de datos Controles de tratamiento de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos. Control de salida de datos 9. Cmo justificara ante un directivo de empresa la inversin necesaria en control y auditoria informtica? Que pese a que la inversin fuese medianamente costosa, los resultados de implementarla seran mayores (Costo < beneficio) ya que beneficiara a la empresa al mantener el activo ms importante de la misma (La informacin) bajo estrictos controles y auditorias. Siendo la informacin el activo ms importante, ya que al tener aplicaciones que funcionen de manera anormal aunque sea por poco tiempo tendra repercusiones
5

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

graves para la empresa, ponindola incluso en riesgo de desaparecer debido a la enorme dependencia de los sistemas informticos. Adems el hecho que varias todas las oficinas o sucursales de una organizacin se manejen en red hace an ms precario no tener controles o auditorias de informacin. Por lo que las consecuencias de una anomala podra extenderse a toda la empresa e incluso al usuario (Cliente). Por ello es necesario hacer inversiones para implantar sistemas de controles internos que garanticen la eficiencia y seguridad suficientes del activo informtico. Lo que evidentemente aumenta la necesidad de implantar en las empresas el control y auditoria informtica que impongan medidas preventivas, detectivas y correctivas. 10. Describa la informtica como modo de estructuracin de las empresas. La informtica ha dejado de ser algo visto de lejos o con recelo en las empresas, es ahora algo que es parte primordial y vinculante en las organizaciones pblicas y privadas, es ahora parte de su estructura misma. El hecho que este en todas partes como informacin y la creciente variedad de aplicaciones de negocios y medios distribuidos la hacen estratgicamente necesaria. La que la implementacin de la informtica permite mejorar sustancialmente los resultados econmicos pese a los costes de su implementacin, costos que son retribuidos a la empresa debido a que la plena funcionalidad de la informtica hace que la misma sea ms rentable, segura, eficaz, eficiente y sobre todo rinda ganancias a las organizaciones. Esto debido a que racionaliza los costos, mejora la capacidad de toma de decisiones e implementacin de servicios al cliente que la hace competitiva en el mercado.

CAPITULO 3
METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA Cuestiones de Repaso 1. Qu diferencias y similitudes existen entre las metodologas cualitativas y las cuantitativas? Qu ventajas y que inconvenientes tienen? Metodologa Cuantitativa, se basada en modelo matemtico numrico ayuda a la realizacin del trabajo, mientras que la Metodologa Cualitativa se basa en el

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada. Ventajas Cuantitativa: Enfoca pensamiento usando nmeros Facilita la comparacin de vulnerabilidades distintas Proporciona cifras justificantes para cada contramedida Cualitativa Enfoque cuan amplio se desee Plan de trabajo flexible y reactivo Se concentra en la identificacin de eventos Incluye factores intangibles Inconvenientes Cuantitativa: Estimacin de probabilidad depende de estadsticas fiables existentes Estimacin de las prdidas potenciales (si son cuantificables) Metodologas estndares Difciles de mantener o modificar Dependencia de un profesional Cualitativa Depende fruentemente de la habilidad y calidad del personal involucrado Puede excluir riesgos significantes desconocidos Dependencia de un profesional

2. Cules son los componentes de una contramedida o control (Pirmide de la seguridad)? Qu papel desempea las herramientas de control? Cules son las herramientas de control ms frecuentes? a) Estndares (polticas) b) Funciones (procedimientos, planes) c) Informtica (usuarios) d) Hardware, software Papel de la herramienta de control.- Permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control Herramientas de control ms frecuentes: Son herramientas d software.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

3. Qu tipos de metodologa de Plan de Contingencia existen? En que se diferencian? Qu es un Plan de Contingencias? Tipos de metodologa del Plan de Contingencia existen: a) Risk Anlisis.b) Bussines Impact En que se diferencian: Risk Anlisis, se basa en el estudio de posibles riesgos desde el punto de vista de la probabilidad de que los mismos sucedan, mientras que, Bussines Impact, se basa en el estudio del impacto (prdida econmica o de imagen) que ocasiona la falta de algn recurso de los que soporta la actividad del negocio. Que es un Plan de Contingencia.- Es una estrategia planificada constituida por: conjunto de recursos de respaldo, una organizacin de emergencia y procedimientos de actuacin encaminada a conseguir una restauracin progresiva y gil de los servicios de negocios afectados por una paralizacin total o parcial de la capacidad operativa de la empresa. 4. Qu metodologas de Auditoria Informtica existen? Para que se usa cada una? Las Auditorias de Controles Generales y las Metodologas del auditor interno. Para que se usa cada una: Las Auditorias de Controles Generales, sirven para dar opiniones sobre la fiabilidad de los datos del computador para la auditora financiera Las Metodologas del auditor interno, es una gua para desarrollar un programa real de trabajo de la auditoria (crea sus propias metodologas) 5. Qu es el nivel de exposicin y para qu sirve? Puede ser una marca (un nmero por ejemplo) definido subjetivamente, sirve para determinar por ejemplo la suma significativa de factores como impacto, peso de rea, situacin de control del rea. Puede inclusive determinar la rebaja de nivel de un rea a auditar porque est muy bien y no merece la pena revisarla continuamente. 6. Qu diferencias existen entre las figuras de auditora informtica y control interno informtico? Cules son las funciones ms importantes de este? El control informtico, comta los controles y la auditoria informtica evalua el grado de control.
8

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

La auditora informtica: Tiene la funcin de vigilancia y evaluacin, y de todas las metodologas van encaminadas a esta funcin, Tiene sus propios objetivos distintos a los auditores de cuentas Opera segn el plan de auditor Utiliza metodologas de evaluacin de tipo cualitativo Establece planes quinquenales como ciclos completos Sistemas de evaluacin de repeticin de la auditoria por nivel de exposicin del rea auditada y el resultado de la ltima auditoria del rea. Funcin de soporte informtico de todos los auditores

Control Interno Informtico: Tiene funciones propias Funciones de control dual en otros departamentos Funcin normativa y cumplimiento del marco jurdico Opera segn procedimientos de control en los que se ven involucrados y que luego se desarrollaran Pude ser soporte informtico del control interno no informtico Funciones ms importantes del Control Interno Informtico: Definir propietarios y perfiles segn clasificacin de la informacin Administracin delegada en control dual de seguridad lgica Responsable del desarrollo y actualizacin del plan de contingencia, manual de procedimientos y plan de seguridad Dictar normas de seguridad informtica Definir procedimientos de control Control de entorno de desarrollo Control de soportes magnticos segn clasificacin de informacin Control de microinformtica y usuarios Control de costos Control de calidad del servicio informtico Control de soportes fsicos Control de cambios y versiones Vigilancia del cumplimiento de las normas Definicin de seguridad de proyectos nuevos Control de medidas de seguridad fsica Responsable de datos personales 9

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Otras funciones y controles que se le asignen

7. Cules son las dos metodologas ms importantes para control interno informtico? Para qu sirve cada una? PRIMA y La Obtencin de los Procedimientos de Control. PRIMA.- De tipo cualitativo/subjetivo tiene listas de ayuda de concepto abierto, es decir permite aadir herramientas niveles o jerarquas, estndares y objetivos a cumplir por nivel y ayudas de contramedidas. Sirve para proteger informacin restringida y confidencial vital para la subsistencia de la empresa y para la implantacin del control sobre los entornos distribuidos. La Obtencin de los Procedimientos de Control.- son manuales de procedimientos de todas las reas de la empresa que explican las funciones y como se realizan cada tarea. Y que son necesarios para que los auditores realicen las distintas tareas diariamente, ayuda a evaluar que los procedimientos sean correctos estn aprobados y sobre todo se cumplan. 8. Qu papel tienen las herramientas de control en los controles? Las herramientas de control son software y tienen como papel vertebrar un control de una manera ms actual y ms automatizada, es decir una herramienta de control automatiza y mejora el control para ms tarde definir todo el control con la herramienta incluida y al final documentar los procedimientos de las distintas reas involucradas para que estas los cumplan y sean auditadas. 9. Cules son los objetivos de control en el acceso lgico? Segregacin de funciones entre los usuarios del sistema Integridad de los Log e imposibilidad de desactivarlos por ningn perfil para poder revisarlos Gestin centralizada de las seguridad Contrasea nica para los distintos sistemas de la red La contrasea y archivos con perfiles y derechos inaccesibles a todo, incluye al administrador de seguridad El sistema debe rechazar a los usuarios que no usan clave o los derechos de uso correctamente, inhabilitando y avisando a Control, para medidas oportunas Separacin de entornos El Log o los Log de actividad no podrn desactivarse a voluntad

10

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

El sistema debe obligar al usuario a cambiar la contrasea de manera que solo la conozca el Es frecuente encontrar mecanismos de auto-logout que expulsan del sistema a la terminal que permanece inactiva por un tiempo determinado.

10. Que es Single Sign On? Porque es necesario un software especial para el control de acceso en los entornos distribuidos? Single Sing On.- Que es necesario solamente un password y un User ID para un usuario, para acceder y usar su informacin y sus recursos, de todos los sistemas como si de un solo entorno se tratara. Es necesario porque debe ser un software que cope todo el control de entorno distribuido, pues debe ser un producto que resuelva las situaciones nuevas de seguridad lgica.

CAPITULO 4
AUDITORIA INFORMATICA: UN ENFOQUE PRCTICO Cuestiones de Repaso: 1. Qu diferencia existe entre evidencia suficiente y evidencia adecuada? La evidencia suficiente, es de tipo cuantitativo para soportar la opinin profesional del auditor; mientras que, la evidencia adecuada, es de tipo cualitativo que afecta las conclusiones del auditor. 2. Qu diferencia existe entre prueba de cumplimiento y prueba sustantivo?
La prueba de cumplimiento se realiza con el fin de obtener evidencia de auditoria sobre la efectividad operativa de los controles para prevenir, y corregir, representaciones errneas de importancia relativa a nivel de aseveracin La prueba sustantiva son procedimientos de auditoria realizados para detectar representaciones errneas de importancia relativa a nivel de aseveracin..

3. Las normas IFAC son vinculantes en Espaa? Si, por ser parte de la Unin Europea. 4. Las normas ISACF son vinculantes en Espaa?
11

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

SI, Como la auditoria informtica en este pas se encuentra en proceso de informacin se vienen adaptando Directivas de la Unin Europea en las legislaciones y Normas pertinentes. . 5. Qu diferencia existe entre opinin desfavorable y opinin denegada? Que la Opinin desfavorable o adversa se aplica en casos de: Identificacin de irregularidades y el incumplimiento de la normativa legal y profesional que afecten significativamente los objetivos de la auditoria informtica; mientras que, la Opinin denegada, puede tener origen en: limitaciones al alcance de la auditoria, incertidumbres significativas de modo que impidan al auditor formarse una opinin irregularidades y el incumplimiento de la normativa legal y profesional. 6. Que significa importancia relativa? Y materialidad? La importancia relativa y materialidad tiene que ver con los riesgos que existen en la empresa es cuando no se analizan los problemas de la empresa con exactitud sino se dejan llevar por la apariencia de las cosas y esto puede llevar a un anlisis equivocado, por ello la opinin del auditor se basara en evidencias justificadas 7. Qu significado tiene la responsabilidad civil del auditor informtico emisor del informe de auditora informtica y firmante del mismo? Cuando el auditor informtico detecta irregularidades significativas, errores como fraudes en la empresa, debe actuar de forma inmediata, debe de cumplir con su responsabilidad civil de auditor y debe presentar un informe previo de auditoria explicando la situacin actual. Una vez elaborado el informe de auditora debe ser firmado por el mismo auditor. Si es individual o por un socio, que podra ser el Jefe de Auditoria en caso de formar parte de una sociedad de auditoria 8. Cul es la utilidad del documento denominado Declaraciones de la Direccin? En que dicho documento forma parte de la documentacin sobre la que se basa el informe de auditora por lo tanto sirve como sustento. 9. Qu diferencia existe entre experto informtico y auditor informtico? La diferencia est en que el auditor se encarga de establecer el control para los trabajos del experto informtico quien a su vez se encarga de implementarlos.

12

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

10. Qu diferencia existe entre auditor interno y auditor externo? El auditor externo es un profesional independiente de la empresa y que el auditor externo otorga fe pblica a la confiabilidad de los estados financieros y la credibilidad de la gerencia que los prepar operaciones financieras de la empresa; mientras que el interno, son profesionales que laboran en la empresa encargado de verificar las fortalezas y suficiencia de los controles que se aplican dentro de la empresa. Su estudio debe tener un alcance total de la empresa.

13