UNIVERSIDAD AUTONOMA DE QUITO UNAQ AUDITORIA INFORMATICA PROFESOR : Ing.

. Fernando Andrade ALUMNO FECHA CURSO : Jess Cisneros Valle : Quito , 13 de agosto del 2012 : 10ASM RESPONDER LAS CUESTIONES DE REPASO DE LOS 4 PRIMEROS CAPITULOS DE LIBRO AUDITORIA INFORMATICA Un enfoque prctico. CAPITULO 1 LA INFORMATICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO Cuestiones de Repaso 1. C ules son los elementos fundamentales del concepto de auditora? Conceptualmente la toda auditoria es la actividad que consiste en emitir una opinin profesional y de be contener los siguientes elementos: a) Contenido, b) Condicin, c) Justificacin, d) Objeto, e) Finalidad. 2. Cuantas clases diferentes de Auditoria existen? Los elementos 4 y 5 (Objeto y Finalidad) determinan que clases o tipo de auditora se trata. 3. Qu sector es uno de los principales usuarios de las auditorias? Financi ero (La Banca) 4. Qu ventajas aporta el computador respecto del trabajo manual? C osto de explotacin Bajo Costo de Operacin Bajo Rendimiento continuado Constante Co nsistencia Excelente 5. Qu significa las siglas CAAT? Tcnicas de Auditoria Asistid as por Computador. 1

UNIVERSIDAD AUTONOMA DE QUITO UNAQ 6. En que afecta a los auditores la introduccin de las TI en los sistemas de info rmacin? En el Objeto: que ahora est en soporte diferente (medio magntico) y no en l ibros. 7. Qu diferencia hay entre auditora y consultora? La Auditora, emite una opin in profesional; la Consultora, aconseja. 8. Cules son las ventajas de la informtica como herramienta de la auditora financiera? Grado de Informatizacin, (objeto y pro cedimientos) Mejora de las tcnicas habituales. (amplias posibilidades del Auditor al utilizar medios electrnicos) 9. Qu pueden aportar los sistemas expertos a la a uditoria informtica? Aporta mucho al Anlisis y Evaluacin del Control Interno; as com o, sus ventajas bajo supervisin del Auditor: Objetividad del sistema, utilizacin d e frmulas estadsticas, la cuantificacin y aplicacin de pruebas de cumplimiento y sus tantivas adecuadas, la actualizacin de la base de conocimientos y soporte legal e n caso de litigio. 10. Cules son las razones de la baja utilizacin de las TI como herramienta de la auditora financiera? Costo econmico Complejidad tcnica Falta de e ntrenamiento y experiencia CAPITULO 2 CONTROL INTERNO Y AUDITORIA INFORMATICA. Cuestiones de Repaso 1. Qu cambios en la s empresas provocan tensiones en el control interno existente? Reestructuracin de los procesos empresariales (BPR) Gestin de la calidad total (TQM) Redimensionami ento por reduccin y/o por aumento del tamao hasta el nivel correcto. 2

UNIVERSIDAD AUTONOMA DE QUITO UNAQ Contratacin externa Descentralizacin 2. Cules son las funciones del control interno informtico? Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre e l conocimiento de las normas Colaborar y apoyar el trabajo de auditoria informtic a y auditoras externas del grupo Definir, implantar y ejecutar mecanismos y contr oles para comprobar el logro de los grados adecuados del servicio informtico. (Ca da de objetivos y recursos es responsable de esos niveles e implantacin de lso me dios de medida adecuados). 3. Cules son los objetivos de la auditoria informtica? Proteccin de activos e integridad de datos Gestin que abarca, no solamente la prot eccin de activos, sino tambin los de eficacia y eficiencia. 4. Cules son las semeja nzas y diferencias entre control interno y auditora informtica? Semejanzas: Person al interno Conocimiento especializado de TI Verificacin del cumplimiento de contr oles internos, normativa y procedimientos establecidos por la Direccin Informtica y Direccin General de Sistemas

Diferencias: El CI, Anlisis de los controles da a da; la AI, Anlisis en el moment nformtico determinado El CI, Solo personal Interno; la AI, Personal interno y/o e xterno El CI, Informa a la Direccin del Departamento de Informtica; la AI, Informa a la Direccin General de la Organizacin, El CI, tiene alcance sobre el De Departa mento de Informtica; la AI, tiene cobertura sobre todos los componentes de los si stemas de informacin de la Organizacin. 3

UNIVERSIDAD AUTONOMA DE QUITO UNAQ 5. Ponga ejemplos de controles correctivos en diversas reas informticas. Recuperac in de un archivo defectuoso por medio de las copias de seguridad. Puesta en march a de un servidor cado, con otro que haca de espejo. Si un nmero indeterminado de pe rsona accede a los servidores se implantara un sistemas de seguridad dactilar par a acceso a los servidores Si las personas del Dep. Informtico acceden a redes soc iales u otros tipos de descargas de archivos, implantar software que impida este tipo de actividades que ponen en riesgo todo el sistema. 6. Cules son los princi pales controles en el rea de desarrollo? La Alta Direccin debe publicar normativas sobre el uso de metodologas del ciclo de vida de un sistema y revisarlo peridicam ente Estndares de prueba de programas y sistemas Plan de validacin, verificacin y p ruebas La metodologa debe establecer responsabilidades de las reas del Dep. de Inf ormtica y usuarios; as como composicin y responsabilidades del equipo de proyecto. Las especificaciones del nuevo sistema debe ser definida por los usuarios y esta r escritas y aprobadas antes de iniciar el desarrollo Establecer estudios tecnolg icos de vialidad en el cual se formulen alternativas para alcanzar los objetivos del proyecto (costo-beneficio) Seleccionada la alternativa debe realizase un pl an director del proyecto donde debe existir la metodologa de control de costos. P lan de conversin El software que se adquiera debe seguir la polticas de adquisicin de la organizacin, los productos deben ser probados y revisados antes del pago La contratacin de programas a medida ha de ser justificada mediante peticin escrita del director del proyecto. Debern prepararse manuales de operacin, mantenimiento y del usuario. 7. Qu procesos definira para controlar la informtica distribuida y la s redes? Planes adecuados de implantacin, conversin y pruebas de aceptacin para la red Existencia de un grupo de control de red Controles que asegurar la compatibi lidad del conjunto de datos entre aplicaciones en red distribuida Procedimientos que definan las medidas y controles de seguridad a usarse en la red en conexin c on la distribucin del contenido la las DB entre departamento que usan la red. 4

UNIVERSIDAD AUTONOMA DE QUITO UNAQ Que se identifiquen todos los datos sensibles en la red y que las especificaciones para su seguridad Inventario de los activos de red Manteni miento preventivo de los activos Controles de los mensajes de salida se validan rutinariamente, para verificar si poseen direcciones de destino validas Controle s de seguridad lgica: acceso a red, establecer perfiles de usuario Cifrado de inf ormacin sensible que circula en la red Procedimientos automticos de cierre del sis tema Monitorizar la eficiencia de la red Disear el razado fsico y medidas de segur idad de la lneas de comunicacin local dentro de la organizacin Detectar la correcta o mala recepcin de los mensajes Identificar los mensajes por clave de usuario, p or terminal y numero de secuencia de los mensajes Revisar el contrato de manteni miento y el tiempo del servicio del proveedor Determinar si el equipo multiplexo r/concentrador/procesador frontal remoto tiene lgica redundante y poder de respal do con alimentacin automtica en caso de fallo Asegurar procedimientos de recuperac in y reinicio Asegurarse que existan pistas de auditoria que puedan usarse en la reconstruccin de los archivos de datos y transacciones de los diversos terminales , debe existir la capacidad de rastrear datos entre terminales de usuario. Consi derar circuitos de conmutacin que usen rutas alternativas para diferentes paquete s de informacin provenientes del mismo mensaje, como norma de seguridad en caso d e interceptarse los mensajes. 8. Que controles se deber establecer en las aplicaciones? Control de entrada de d atos Controles de tratamiento de datos para asegurar que no se dan de alta, modi fican o borran datos no autorizados para garantizar la integridad de los mismos. Control de salida de datos 9. Cmo justificara ante un directivo de empresa la inv ersin necesaria en control y auditoria informtica? Que pese a que la inversin fuese medianamente costosa, los resultados de implementarla seran mayores (Costo < ben eficio) ya que beneficiara a la empresa al mantener el activo ms importante de la misma (La informacin) bajo estrictos controles y auditorias. Siendo la informacin el activo ms importante, ya que al tener aplicaciones que funcionen de manera ano rmal aunque sea por poco tiempo tendra repercusiones 5

UNIVERSIDAD AUTONOMA DE QUITO UNAQ graves para la empresa, ponindola incluso en riesgo de desaparecer debido a la en orme dependencia de los sistemas informticos. Adems el hecho que varias todas las oficinas o sucursales de una organizacin se manejen en red hace an ms precario no t ener controles o auditorias de informacin. Por lo que las consecuencias de una an omala podra extenderse a toda la empresa e incluso al usuario (Cliente). Por ello es necesario hacer inversiones para implantar sistemas de controles internos que garanticen la eficiencia y seguridad suficientes del activo informtico. Lo que e videntemente aumenta la necesidad de implantar en las empresas el control y audi toria informtica que impongan medidas preventivas, detectivas y correctivas. 10. Describa la informtica como modo de estructuracin de las empresas. La informtica ha dejado de ser algo visto de lejos o con recelo en las empresas, es ahora algo q ue es parte primordial y vinculante en las organizaciones pblicas y privadas, es ahora parte de su estructura misma. El hecho que este en todas partes como infor macin y la creciente variedad de aplicaciones de negocios y medios distribuidos l a hacen estratgicamente necesaria. La que la implementacin de la informtica permite mejorar sustancialmente los resultados econmicos pese a los costes de su impleme ntacin, costos que son retribuidos a la empresa debido a que la plena funcionalid ad de la informtica hace que la misma sea ms rentable, segura, eficaz, eficiente y sobre todo rinda ganancias a las organizaciones. Esto debido a que racionaliza los costos, mejora la capacidad de toma de decisiones e implementacin de servicio s al cliente que la hace competitiva en el mercado. CAPITULO 3 METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA Cuestiones de Repaso 1. Q u diferencias y similitudes existen entre las metodologas cualitativas y las cuant itativas? Qu ventajas y que inconvenientes tienen? Metodologa Cuantitativa, se bas ada en modelo matemtico numrico ayuda a la realizacin del trabajo, mientras que la Metodologa Cualitativa se basa en el 6

UNIVERSIDAD AUTONOMA DE QUITO UNAQ criterio y raciocinio humano capaz de definir un proceso de trabajo, para selecc ionar en base a la experiencia acumulada. Ventajas Cuantitativa: Enfoca pensamie nto usando nmeros Facilita la comparacin de vulnerabilidades distintas Proporciona cifras justificantes para cada contramedida Cualitativa Enfoque cuan amplio se desee Plan de trabajo flexible y reactivo Se concentra en la identificacin de eve ntos Incluye factores intangibles Inconvenientes Cuantitativa: Estimacin de proba bilidad depende de estadsticas fiables existentes Estimacin de las prdidas potencia les (si son cuantificables) Metodologas estndares Difciles de mantener o modificar Dependencia de un profesional Cualitativa Depende fruentemente de la habilidad y calidad del personal involucrado Puede excluir riesgos significantes desconocid os Dependencia de un profesional 2. Cules son los componentes de una contramedida o control (Pirmide de la segurida d)? Qu papel desempea las herramientas de control? Cules son las herramientas de co ntrol ms frecuentes? a) Estndares (polticas) b) Funciones (procedimientos, planes) c) Informtica (usuarios) d) Hardware, software Papel de la herramienta de control .- Permiten definir uno o varios procedimientos de control para cumplir una norm ativa y un objetivo de control Herramientas de control ms frecuentes: Son herrami entas d software. 7

UNIVERSIDAD AUTONOMA DE QUITO UNAQ 3. Qu tipos de metodologa de Plan de Contingencia existen? En que se diferencian? Qu es un Plan de Contingencias? Tipos de metodologa del Plan de Contingencia exist en: a) Risk Anlisis.b) Bussines Impact En que se diferencian: Risk Anlisis, se bas a en el estudio de posibles riesgos desde el punto de vista de la probabilidad d e que los mismos sucedan, mientras que, Bussines Impact, se basa en el estudio d el impacto (prdida econmica o de imagen) que ocasiona la falta de algn recurso de l os que soporta la actividad del negocio. Que es un Plan de Contingencia.- Es una estrategia planificada constituida por: conjunto de recursos de respaldo, una o rganizacin de emergencia y procedimientos de actuacin encaminada a conseguir una r estauracin progresiva y gil de los servicios de negocios afectados por una paraliz acin total o parcial de la capacidad operativa de la empresa. 4. Qu metodologas de Auditoria Informtica existen? Para que se usa cada una? Las Auditorias de Control es Generales y las Metodologas del auditor interno. Para que se usa cada una: Las Auditorias de Controles Generales, sirven para dar opiniones sobre la fiabilida d de los datos del computador para la auditora financiera Las Metodologas del audi tor interno, es una gua para desarrollar un programa real de trabajo de la audito ria (crea sus propias metodologas) 5. Qu es el nivel de exposicin y para qu sirve? P uede ser una marca (un nmero por ejemplo) definido subjetivamente, sirve para det erminar por ejemplo la suma significativa de factores como impacto, peso de rea, situacin de control del rea. Puede inclusive determinar la rebaja de nivel de un re a a auditar porque est muy bien y no merece la pena revisarla continuamente. 6. Q u diferencias existen entre las figuras de auditora informtica y control interno in formtico? Cules son las funciones ms importantes de este? El control informtico, com ta los controles y la auditoria informtica evalua el grado de control. 8

UNIVERSIDAD AUTONOMA DE QUITO UNAQ La auditora informtica: Tiene la funcin de vigilancia y evaluacin, y de todas las me todologas van encaminadas a esta funcin, Tiene sus propios objetivos distintos a l os auditores de cuentas Opera segn el plan de auditor Utiliza metodologas de evalu acin de tipo cualitativo Establece planes quinquenales como ciclos completos Sist emas de evaluacin de repeticin de la auditoria por nivel de exposicin del rea audita da y el resultado de la ltima auditoria del rea. Funcin de soporte informtico de tod os los auditores Control Interno Informtico: Tiene funciones propias Funciones de control dual en otros departamentos Funcin normativa y cumplimiento del marco jurdico Opera segn pr ocedimientos de control en los que se ven involucrados y que luego se desarrolla ran Pude ser soporte informtico del control interno no informtico Funciones ms impo rtantes del Control Interno Informtico: Definir propietarios y perfiles segn clasi ficacin de la informacin Administracin delegada en control dual de seguridad lgica R esponsable del desarrollo y actualizacin del plan de contingencia, manual de proc edimientos y plan de seguridad Dictar normas de seguridad informtica Definir proc edimientos de control Control de entorno de desarrollo Control de soportes magnti cos segn clasificacin de informacin Control de microinformtica y usuarios Control de costos Control de calidad del servicio informtico Control de soportes fsicos Cont rol de cambios y versiones Vigilancia del cumplimiento de las normas Definicin de seguridad de proyectos nuevos Control de medidas de seguridad fsica Responsable de datos personales 9

UNIVERSIDAD AUTONOMA DE QUITO UNAQ Otras funciones y controles que se le asignen 7. Cules son las dos metodologas ms importantes para control interno informtico? Par a qu sirve cada una? PRIMA y La Obtencin de los Procedimientos de Control. PRIMA.De tipo cualitativo/subjetivo tiene listas de ayuda de concepto abierto, es dec ir permite aadir herramientas niveles o jerarquas, estndares y objetivos a cumplir por nivel y ayudas de contramedidas. Sirve para proteger informacin restringida y confidencial vital para la subsistencia de la empresa y para la implantacin del control sobre los entornos distribuidos. La Obtencin de los Procedimientos de Con trol.- son manuales de procedimientos de todas las reas de la empresa que explica n las funciones y como se realizan cada tarea. Y que son necesarios para que los auditores realicen las distintas tareas diariamente, ayuda a evaluar que los pr ocedimientos sean correctos estn aprobados y sobre todo se cumplan. 8. Qu papel ti enen las herramientas de control en los controles? Las herramientas de control s on software y tienen como papel vertebrar un control de una manera ms actual y ms automatizada, es decir una herramienta de control automatiza y mejora el control para ms tarde definir todo el control con la herramienta incluida y al final doc umentar los procedimientos de las distintas reas involucradas para que estas los cumplan y sean auditadas. 9. Cules son los objetivos de control en el acceso lgico ? Segregacin de funciones entre los usuarios del sistema Integridad de los Log e imposibilidad de desactivarlos por ningn perfil para poder revisarlos Gestin centr alizada de las seguridad Contrasea nica para los distintos sistemas de la red La c ontrasea y archivos con perfiles y derechos inaccesibles a todo, incluye al admin istrador de seguridad El sistema debe rechazar a los usuarios que no usan clave o los derechos de uso correctamente, inhabilitando y avisando a Control, para me didas oportunas Separacin de entornos El Log o los Log de actividad no podrn desac tivarse a voluntad 10

UNIVERSIDAD AUTONOMA DE QUITO UNAQ El sistema debe obligar al usuario a cambiar la contrasea de manera que solo la c onozca el Es frecuente encontrar mecanismos de auto-logout que expulsan del sist ema a la terminal que permanece inactiva por un tiempo determinado. 10. Que es Single Sign On? Porque es necesario un software especial para el cont rol de acceso en los entornos distribuidos? Single Sing On.- Que es necesario so lamente un password y un User ID para un usuario, para acceder y usar su informa cin y sus recursos, de todos los sistemas como si de un solo entorno se tratara. Es necesario porque debe ser un software que cope todo el control de entorno dis tribuido, pues debe ser un producto que resuelva las situaciones nuevas de segur idad lgica. CAPITULO 4 AUDITORIA INFORMATICA: UN ENFOQUE PRCTICO Cuestiones de Repaso: 1. Qu diferencia e xiste entre evidencia suficiente y evidencia adecuada? La evidencia suficiente, es de tipo cuantitativo para soportar la opinin profesional del auditor; mientras que, la evidencia adecuada, es de tipo cualitativo que afecta las conclusiones del auditor. 2. Qu diferencia existe entre prueba de cumplimiento y prueba sustan tivo? La prueba de cumplimiento se realiza con el fin de obtener evidencia de auditori a sobre la efectividad operativa de los controles para prevenir, y corregir, rep resentaciones errneas de importancia relativa a nivel de aseveracin La prueba sust antiva son procedimientos de auditoria realizados para detectar representaciones errneas de importancia relativa a nivel de aseveracin.. 3. Las normas IFAC son vinculantes en Espaa? Si, por ser parte de la Unin Europea. 4. Las normas ISACF son vinculantes en Espaa? 11

UNIVERSIDAD AUTONOMA DE QUITO UNAQ SI, Como la auditoria informtica en este pas se encuentra en proceso de informacin se vienen adaptando Directivas de la Unin Europea en las legislaciones y Normas p ertinentes. . 5. Qu diferencia existe entre opinin desfavorable y opinin denegada? Que la Opinin desfavorable o adversa se aplica en casos de: Identificacin de irreg ularidades y el incumplimiento de la normativa legal y profesional que afecten s ignificativamente los objetivos de la auditoria informtica; mientras que, la Opin in denegada, puede tener origen en: limitaciones al alcance de la auditoria, ince rtidumbres significativas de modo que impidan al auditor formarse una opinin irre gularidades y el incumplimiento de la normativa legal y profesional. 6. Que sign ifica importancia relativa? Y materialidad? La importancia relativa y materialid ad tiene que ver con los riesgos que existen en la empresa es cuando no se anali zan los problemas de la empresa con exactitud sino se dejan llevar por la aparie ncia de las cosas y esto puede llevar a un anlisis equivocado, por ello la opinin del auditor se basara en evidencias justificadas 7. Qu significado tiene la respo nsabilidad civil del auditor informtico emisor del informe de auditora informtica y firmante del mismo? Cuando el auditor informtico detecta irregularidades signifi cativas, errores como fraudes en la empresa, debe actuar de forma inmediata, deb e de cumplir con su responsabilidad civil de auditor y debe presentar un informe previo de auditoria explicando la situacin actual. Una vez elaborado el informe de auditora debe ser firmado por el mismo auditor. Si es individual o por un soci o, que podra ser el Jefe de Auditoria en caso de formar parte de una sociedad de auditoria 8. Cul es la utilidad del documento denominado Declaraciones de la Dire ccin? En que dicho documento forma parte de la documentacin sobre la que se basa e l informe de auditora por lo tanto sirve como sustento. 9. Qu diferencia existe en tre experto informtico y auditor informtico? La diferencia est en que el auditor se encarga de establecer el control para los trabajos del experto informtico quien a su vez se encarga de implementarlos. 12

UNIVERSIDAD AUTONOMA DE QUITO UNAQ 10. Qu diferencia existe entre auditor interno y auditor externo? El auditor exte rno es un profesional independiente de la empresa y que el auditor externo otorg a fe pblica a la confiabilidad de los estados financieros y la credibilidad de la gerencia que los prepar operaciones financieras de la empresa; mientras que el i nterno, son profesionales que laboran en la empresa encargado de verificar las f ortalezas y suficiencia de los controles que se aplican dentro de la empresa. Su estudio debe tener un alcance total de la empresa. 13