Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CREAD-CESAR
Actividad
PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad
ACTIVIDAD 2:
Junto con su grupo de trabajo discuta y de respuesta a los siguientes interrogantes:
CUANTITATIVA CUALITATIVA
Enfoca pensamientos Enfoque lo
mediante el uso de amplio que se
números. desee.
Se concentra en
Proporciona una cifra la identificación
justificable para cada de eventos.
contramedida.
Incluye factores
intangibles.
Estimación de Depende
probabilidad de fuertemente de
INCONVENIENTES estadísticas fiables la habilidad y
inexistentes. calidad del
personal
Estimación de las involucrado.
pérdidas potenciales
1
CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA
CREAD-CESAR
Actividad
PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad
Dependencia de un Identificación de
profesional. eventos reales
más claros al no
tener que
aplicarles
probabilidades
complejas de
calcular.
Dependencia de
un profesional.
2. ¿Qué metodologías de auditoria informática existen? ¿Para qué se usa cada una?
RTA/: Las metodologías de auditoria informática son del tipo cualitativo/subjetivo; están
basadas en profesionales de experiencia y formación.
Las metodologías más comunes que podemos encontrar de evaluación de sistemas son
de análisis de riesgos o de diagnósticos de seguridad, las de plan de contingencias y las
de auditoria de control generales.
1
CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA
CREAD-CESAR
Actividad
PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad
Entre las más utilizadas tenemos las siguientes metodologías: NALIZY, BDSS, BIS RISK
ASSESOR, BUDDY SYSTEM, COBRA, CRAMM, DDIS MARION AP+, MELISA, RISAN,
RISKPAC, RISKWATCH, MARGERIT, Octave, PRIMA, etc.
Muchos de estos objetivos se pueden sacar de los propios estándares (ISO, Libro
Naranja, ITSEC, etc.).
1
CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA
CREAD-CESAR
Actividad
PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad
RTA/: La diferencia que existe entre las prueba de cumplimiento y sustantivo es que en la
primera si se confirma que realmente no existen manuales, no se pueden hacer pruebas
de cumplimiento, pues las pruebas de cumplimiento consisten en comprobar que se están
cumpliendo las normas establecidas. El procedimiento podría ser como sigue:
Comprobar que las normas para pasar un programa de desarrollo a explotación son
adecuadas y que la empresa las está cumpliendo.
Una prueba sustantiva para determinar si los registros del inventario son correctos. Pan
realizar esta prueba, el auditor de SI podría realizar un inventario completo o podría usar
una muestra estadística, que le permita llegar a una conclusión respecto de la exactitud
de todo el inventario.
Existe una correlación directa entre el nivel de los controles internos y la cantidad de
pruebas sustantivas requeridas.
PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad
Si los resultados de esta evaluación preliminar indican que los controles implementados
no son confiables o no existen.
La figura muestra la relación entre las pruebas de cumplimiento y las pruebas sustantivas
y describe las dos categorías de pruebas sustantivas.
RTA/:
1
CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA
CREAD-CESAR
Actividad
PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad
Integrantes:
María Camila Díaz Viana- Luis José López Quintero- María José González Carrillo.
Antonio José Ustariz Ahumada.