Está en la página 1de 3

CAPÍTULO II. AUDITORÍA DE I.

A EXPLOTACIÓN
1. ¿Cuáles son los componentes de un SI según el Proyecto CobiT?

1. Datos. En general se consideran datos tanto los estructurados como los


noestructurados, las imágenes, los sonidos, etc.
2. Aplicaciones. Se incluyen las aplicaciones manuales y las informativas
3. Tecnología. El software y el hardware, los sistemas operativos, los sistemas degestión,
los sistemas de red, etc.
4. Instalaciones. En ellas se ubican y se mantienen los sistemas de información.
5. Personal. Los conocimientos específicos que ha de tener el personal de los sistemasde
información para planificarlos, organizarlos, administrarlos y gestionarlos.

2. ¿Cuál es el fin de la carta de encargo?

El fin es recoger o plasmar las responsabilidades de un trabajo de auditoría;


además,determinar el alcance del trabajo de auditoría.

3. ¿ Cuáles son las fases de la Planificación de la Auditoría?

1. Planificación estratégica
2. Planificación administrativa
3. Planificación técnica

4. ¿Qué categorías se pueden distinguir en los controles generales?

1. Controles operativos y de organización


2. Controles sobre el desarrollo de programas y su organización
3. Controles sobre los programas y los equipos
4. Controles de acceso
5. Controles sobre los procedimientos y los datos

5. Defina "control". ¿Cómo se evalúan los controles?

Según COSO control es: Las normas, los procedimientos, las prácticas y lasestructuras
organizativas diseñadas para proporcionar seguridad razonable de quelos objetivos de las
empresas se alcanzaran y que los eventos no deseados se preverán, se detectarán y se
corregirán.

Para evaluar los controles es necesario encontrar evidencia sobre:

 La terminación total de todos los procesos.


 La separación física y lógica de los programas fuente y objetos y de lasbibliotecas de
desarrollo, de pruebas y de producción.
 La existencia de normas y procedimientos para pasar los programas de unabiblioteca a
otra.
 Las estadísticas de funcionamiento, donde se incluya: Capacidad yutilización del
equipo central y de los periféricos, utilización de la memoria,utilización de las
telecomunicaciones.
 Las normas de nivel de servicios de los proveedores
 Los estándares de funcionamiento interno
 El mantenimiento y revisión de los diarios de explotación
 La realización del mantenimiento periódico de todos los equipos
 La evidencia de la rotación de los turnos de los operadores y de las vacaciones
tomadas.

6. ¿Qué diferencias existen entre las pruebas sustantivas y las de cumplimiento?

Las Pruebas de cumplimiento consisten en comprobar que se están cumpliendo las normas
previamente establecidas en los manuales; pero las Pruebas sustantivas son aquellas que se
usan cuando no existen manuales o normas establecidas.

7. ¿Cuáles son los tipos de informes de auditoría?

 Informe favorable, el sistema auditado es satisfactorio


 Informe desfavorable, El sistema auditado tiene múltiples fallas
 Informe con salvedades, el sistema auditado es válido pero posee fallas que no lo
invalidan
 Informe de denegación de opinión, El auditor no posee los suficientes elementos
de juicio para emitir su opinión

8. ¿Cómo estructuraría un informe de auditoria?

Para estructurar un informe de auditoría se debe utilizar las Normas de Auditoría de Sistemas
de Información Generalmente Aceptadas y Aplicables (NASIGAA) y además tener en cuenta las
normas 9 y 10 emitidas por ISACA. Además el informe debe contener información adicional.

El informe es un instrumento que debe contener: Los objetivos de la auditoría, el alcance que
vaya a tener, las debilidades encontradas y las conclusiones a las que se lleguen.

El informe debe plasmar cuales son las NASIGAA que se han seguido para realizar el trabajo.
Indicando las excepciones en el seguimiento de estas normas técnicas, elmotivo de no
seguirlas y cuando proceda indicar los potenciales efectos que pudiera tener en los resultados
de la auditoría.

El informe debe contener las debilidades detectadas en el SI del auditado, así como lascausas y
sus efectos y las recomendaciones para mejorar o eliminar las debilidades.

El informe debe presentarse de manera lógica y organizada y debe ser comprensible para el
auditado

El informe debe ser emitido en el momento apropiado, para que le permita al auditado poner
en ejecución inmediata las recomendaciones del mismo.

El informe debe contener la entidad que se audita y la fecha de emisión, además contener las
restricciones de distribución del documento para que el informe no llegue a manos indebidas
9. Defina los tipos de archivos principales y contenido de cada uno.

Archivo permanente, contiene todos los papeles que tienen un interés continuo yuna validez
plurianual, tales como:

 Característica de los equipos y de las aplicaciones


 Manuales de los equipos y de las aplicaciones
 Organigrama de la empresa en general
 Organigramas del servicio de información y división de funciones
 Cuadro de planificación plurianual de auditoria
 Escrituras y contratos
 Consideraciones obres el negocio
 Consideraciones sobre el sector
 Y toda aquella información que pueda tener importancia para auditorias posteriores.

Archivo corriente, este se subdivide en: Archivo general y archivos de áreas de proceso.

 Archivo general: Son aquellos que no tiene cabida específica en algunas delas
áreas/procesos en que hemos dividido el trabajo de auditoria.
 El informe del auditor
 La carta de recomendaciones
 Los acontecimientos posteriores
 El cuadro de aplicaciones de la auditoria corriente
 Correspondencia que se ha mantenido con la dirección de laempresa
 El tiempo que cada persona del equipo a empleado en cadaárea/proceso
 Archivos por áreas/procesos: Se debe prepara un archivo para cada área o proceso en
que hayamos dividido el trabajo e incluir en cada archivo losdocumentos que hayamos
necesitado para realizar el trabajo de esaárea/proceso concreto.
 Programa de auditoria de cada una de las áreas/procesos
 Conclusiones del área/proceso en cuestión
 Conclusiones del procedimiento en cuestión.

10. Especifique algunos objetivos de control a revisar en la auditoría de la explotación de los


sistemas informáticos.

 Inicio: contrato o carta de encargo


 Planificación: Planificación estratégica (estudio y evaluación de riesgos,
establecimiento de objetivos); Planificación administrativa (planificación
técnica: programa de trabajo).