CAPITULO 11 AUDITORIA DE LA EXPLOTACION Cuestiones de Repaso: 1. Cules son los componentes de un SI segn el proyecto CobiT ? Datos.

atos. En general se consideran datos tanto los estructurados como los no estructurados, las imgenes, los sonidos, etc. Aplicaciones. Se incluyen las aplicaciones manuales y las informativas Tecnologa. El software y el hardware, los sistemas operativos, los sistemas de gestin, los sistemas de red, etc. Instalaciones. En ellas se ubican y se mantienen los sistemas de informacin Personal. Los conocimientos especficos que ha de tener el personal de los sistemas de informacin para planificarlos, organizarlos, administrarlos y gestionarlos.

2. Cul es el fin de la carta de encargo? El fin es recoger o plasmar las responsabilidades de un trabajo de auditora; adems, determinar el alcance del trabajo de auditora. 3. Cules son las fases de la Planificacin de la Auditora? Planificacin estratgica Planificacin administrativa Planificacin tcnica

4. Que categora se puede distinguir en los controles generales? Controles operativos y de organizacin Controles sobre el desarrollo de programas y su organizacin

Controles sobre los programas y los equipos Controles de acceso Controles sobre los procedimientos y los datos

5. Defina control. Como se evalan los controles? Segn COSO control es: Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de las empresas se alcanzaran y que los eventos no deseados se prevern, se detectarn y se corregirn. Para evaluar los controles es necesario encontrar evidencia sobre: o La terminacin total de todos los procesos.

o La separacin fsica y lgica de los programas fuente y objetos y de las bibliotecas de desarrollo, de pruebas y de produccin. o La existencia de normas y procedimientos para pasar los programas de una biblioteca a otra. o Las estadsticas de funcionamiento, donde se incluya: Capacidad y utilizacin del equipo central y de los perifricos, utilizacin de la memoria, utilizacin de las telecomunicaciones. o Las normas de nivel de servicios de los proveedores o Los estndares de funcionamiento interno o El mantenimiento y revisin de los diarios de explotacin o La realizacin del mantenimiento peridico de todos los equipos o La evidencia de la rotacin de los turnos de los operadores y de las vacaciones tomadas. 6. Que diferencias existen entre las pruebas sustantivas y las de cumplimiento? Las Pruebas de cumplimiento consisten en comprobar que se estn cumpliendo las normas previamente establecidas en los manuales; pero las Pruebas sustantivas son aquellas que se
usan cuando no existen manuales o normas establecidas. 7. Cules son los tipos de informes de auditora? Informe favorable, el sistema auditado es satisfactorio Informe desfavorable, El sistema auditado tiene mltiples fallas Informe con salvedades, el sistema auditado es vlido pero posee fallas que no lo invalidan Informe de denegacin de opinin, El auditor no posee los suficientes elementos de juicio para emitir su opinin. 8. Como se estructura un informe de auditora? Para estructurar un informe de auditora se debe utilizar las Normas de Auditora de Sistemas de Informacin Generalmente Aceptadas y Aplicables (NASIGAA) y adems tener en cuenta las normas 9 y 10 emitidas por ISACA. Adems el informe debe contener informacin adicional. El informe es un instrumento que debe contener: Los objetivos de la auditora, el alcance que vaya a tener, las debilidades encontradas y las conclusiones a las que se lleguen.

El informe debe plasmar cuales son las NASIGAA que se han seguido para realizar el trabajo. Indicando las excepciones en el seguimiento de estas normas tcnicas, el motivo de no seguirlas y cuando proceda indicar los potenciales efectos que pudiera tener en los resultados de la auditora. El informe debe contener las debilidades detectadas en el SI del auditado, as como las causas y sus efectos y las recomendaciones para mejorar o eliminar las debilidades. El informe debe presentarse de manera lgica y organizada y debe ser comprensible para el auditado

El informe debe ser emitido en el momento apropiado, para que le permita al auditado poner en ejecucin inmediata las recomendaciones del mismo. El informe debe contener la entidad que se audita y la fecha de emisin, adems contener las restricciones de distribucin del documento para que el informe no llegue a manos indebidas. 9. Defina los tipos de archivos principales y contenido de cada uno? Archivo permanente, contiene todos los papeles que tienen un inters continuo y una validez plurianual, tales como: o Caracterstica de los equipos y de las aplicaciones o Manuales de los equipos y de las aplicaciones o Organigrama de la empresa en general o Organigramas del servicio de informacin y divisin de funciones o Cuadro de planificacin plurianual de auditoria o Escrituras y contratos o Consideraciones obres el negocio o Consideraciones sobre el sector o Y toda aquella informacin que pueda tener importancia para auditorias posteriores. Archivo corriente, este se subdivide en: o Archivo general y archivos de reas de proceso. o Archivo general: Son aquellos que no tiene cabida especfica en algunas de las reas/procesos en que hemos dividido el trabajo de auditoria. El informe del auditor La carta de recomendaciones Los acontecimientos posteriores El cuadro de aplicaciones de la auditoria corriente Correspondencia que se ha mantenido con la direccin de la empresa El tiempo que cada
persona del equipo a empleado en cada rea/proceso o Archivos por reas/procesos: Se debe prepara un archivo para cada rea o proceso en que hayamos dividido el trabajo e incluir en cada archivo los documentos que hayamos necesitado para realizar el trabajo de esa rea/proceso concreto. Programa de auditoria de cada una de las reas/procesos Conclusiones del rea/proceso en cuestin Conclusiones del procedimiento en cuestin.

10. Especifique algunos objetivos de control a revisar en la auditoria de la explotacin de los sistemas informticos. Inicio: contrato o carta de encargo Planificacin: Planificacin estratgica (estudio y evaluacin de riesgos, establecimiento de objetivos); Planificacin administrativa (planificacin tcnica: programa de trabajo). Realizar el trabajo: actualizacin del programa de trabajo, pruebas de cumplimiento, pruebas sustantivas. Revisiones de informes: Revisin del trabajo, elaboracin de informes, distribucin de informes. Fin: archivar los papeles de trabajo.