• Author / Uploaded
• Christian Romero Cayo

Citation preview

AUDITORÍA INFORMÁTICA CUESTIONARIO

1. ¿Cuál es la diferencia entre Auditoría Informática y Auditoría Sistemas?

de

Auditoria de Sistemas: El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Auditoria Informática: La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. 2. ¿Cuáles son los beneficios tangibles e intangibles de la Auditoría Informática? Los beneficios tangibles:  Mejora la productividad de los procesos y el personal  Reducir el costo de los productos y servicios adquiridos  Libro y la reducción de costes de envío  Reducción de inventarios  Reducción del tiempo de lead  Reducción de la obsolescencia de valores  Más rápido del producto / servicio de look-up y el tiempo de ordenar el ahorro y el dinero  Automatizado de pedidos y los costos de pago, el procesamiento de pagos y la reducción de papel Los beneficios intangibles:  Aumenta la transparencia organizativa y responsabilidad  Precisa y un acceso más rápido a los datos para tomar decisiones oportunas  Puede llegar a más vendedores, productores de las ofertas más competitivas.  Mejora la respuesta del cliente  Ahorra tiempo y esfuerzo enorme en la entrada de datos;  Más controles lo que reduce el riesgo de mala utilización de los recursos

 

Facilita la planificación estratégica Para los informes de acuerdo a los estándares mundiales

3. ¿Qué elementos componen la tecnología Informática considerada una herramienta estratégica? Los elementos que componen la tecnología informática son: Hardware, software, redes, bases de datos, etc. 4. Porqué es tan importante auditar y/o evaluar la función informática? El progreso de la tecnología de la computación y la informática, está mejorando día a día, esto a la vez genera problemas en el desarrollo de oportunidades y lleva a cometer errores. Entonces para que no suceda eso es necesario revisar e inspeccionar los proyectos que es el trabajo de la auditoria para poder brindar un mejor trabajo de control a la sociedad. La oficina de la auditoria trabaja bajo inspección de las regulaciones y leyes propias de auditoria, en la construcción de sistemas de control para la ejecución de proceso, almacenamiento de datos, revisión, etc. Debido a la probabilidad de cometer errores es sugerido a las instituciones que estén bajo inspección por lo menos una vez al año y que tengan clases sobre el control y manejo de sistemas, de esta forma se puede evitar la pérdida de datos por un mal manejo.

5. ¿Por qué es tan importante que la Alta Dirección se involucre en políticas de buen uso de la tecnología informática? Es importante que la alta dirección se involucre en las políticas de buen uso de la tecnología informática porque así alta dirección va a realizar una buena y la correcta utilización de la tecnología de información de esta forma se podrá optimizar el uso los recursos informáticos.

6. Por qué la Auditoría Informática es un proceso metodológico? La auditoría informática es el proceso metodológico que se desarrolla de manera permanente en las organizaciones para el análisis, evaluación, selección, implementación y actualización de los recursos humanos,

conocimientos, habilidades, normas, etc., tecnológicos (hardware, software, etc.), materiales (escritorios, edificios, accesorios, etc.) y financieros (inversiones) encaminados al manejo de la información, buscando que no se pierdan los propósitos, confiabilidad, oportunidad, integridad y veracidad, entre otros.

7. ¿Cuáles son las tareas realizadas por un auditor?  Identificar áreas de mejora. El auditor debe recoger datos e información relevante de todos los departamentos de la organización para llegar a conclusiones válidas y fiables sobre su funcionamiento. A partir de los métodos, políticas, procesos, etc. instalados en la empresa, se trata de proponer oportunidades de mejora y mecanismos de control para corregir posibles ineficiencias en el sistema.  Priorizar acciones de optimización. Dado que su principal objetivo es la mejora de la productividad en los procesos internos de la empresa, el auditor, con la Dirección General y el CFO (Dirección Financiera) como máximo responsable, impulsa acciones para optimizar la actividad en busca de un producto o servicio competitivo y eficiente (en cuanto al uso de recursos, incluidas también las personas y el tiempo disponible).  Establecer políticas y procedimientos. Estas acciones deben encuadrarse en un marco regulado dentro de la organización. Esto conlleva establecer procedimientos, protocolos o políticas internas, dentro de la normativa y legalidad vigente del país, bajo un criterio objetivo, a la vez que aprobado por la Dirección General o Financiera.  Implementar y evaluar. El auditor, bajo la supervisión y responsabilidad directa de la Dirección General o Financiera, supervisa la implementación de estas políticas y procedimientos. De este modo, identifica, en un proceso de evaluación y de mejora continua, los posibles errores y malas prácticas, para actualizar y renovar acciones de mejora.  Dotar de visión. El auditor, una vez evaluados los resultados de las políticas, procedimientos y acciones propuestas por él mismo, facilita a la Dirección alternativas de futuro factibles para alcanzar los objetivos estratégicos de la organización.

8. Por qué los niveles operativo, táctico y estratégico, en un Negocio se apoyan en los Sistemas de Información?

9. ¿Cuáles son las etapas de una metodología para auditar?  Identificar el origen de la auditoria

 Visita Preliminar al Área informática  Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria son: -

El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en él se plantean todos los aspectos que se pretende evaluar.

-

Los objetivos específicos que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.

 Determinar los Puntos que serán evaluados  Elaborar Planes, programas y Presupuestos para Realizar la auditoria  Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos necesarios para la Auditoria  Asignar los Recursos y Sistemas computacionales para la auditoria 10. ¿Cuáles son las preguntas que deben responderse cuando se aplica una buena metodología para auditar? 

Define el alcance del proceso. qué aspectos del proceso de compras se va verificar



Describe el proceso: ¿Entradas?, ¿Salidas? ¿Cómo se resuelven los concursos, adjudicaciones, pedidos?



¿Cómo se verifica el cumplimiento por parte de los proveedores de las condiciones establecidas en los contratos?



¿Me puedes enseñar un "pliego de condiciones de contratación"?. Verificar si son completos y definen con claridad las características de los bienes o servicios a adquirir. Otro aspecto importante es que deben recoger el plazo máximo de entrega de las ofertas y la forma de presentarlas (en sobre cerrados, vía e-mail,…) y la persona o Unidad en donde deben presentarse.



¿Existe un listado de proveedores? ¿Cada cuánto se revisa? ¿cumplen las condiciones de las ofertas adjudicadas? Y si no, ¿qué se hace?



Las ofertas (por parte de proveedores) ¿se adecuan a los pliegos de condiciones, las condiciones ofertadas (plazo, calidad, etc.)?



¿Conoces la política de calidad de la empresa? ¿dónde está publicada?



¿Sabes dónde encontrar el manual de calidad?



¿Conoces los procedimientos que te aplican? ¿Puedes enseñármelos?



¿Qué instrucciones técnicas utilizas en tu trabajo? ¿Me dices dónde están si necesitas consultarlas? ¿Me las puedes enseñar?



¿Cómo compruebas que lo entregado se ajusta a lo pedido?



Revisar si la facturación emitida por el Proveedor, y atendida por la Organización, se ajusta a los términos del contrato.



¿Manejas registros al realizar tu trabajo? ¿Sabes cómo están identificados?



¿Cómo controlas los documentos con los que trabajas?

11. Cuáles son las herramientas de apoyo que se pueden utilizar para auditar? 

Backup y copias espejos de discos duros y medios removibles.



Software de búsqueda de archivos.



Google Desktop. - Software de Recuperación de archivos borrados.



Análisis de la memoria RAM.



Análisis de la red. - Actividad del equipo.



Borrado definitivo



Búsqueda de mails, historial de internet, chats.



Otros: Encase Forensic, CondorLinux, Maltego, impresiones.

12. ¿Por qué COBIT no es útil para auditar?      

BENEFICIOS COBIT Mejor alineación basada en una focalización sobre el negocio. Visión comprensible de TI para su administración. Clara definición de propiedad y responsabilidades. Aceptabilidad general con terceros y entes reguladores. Entendimiento compartido entre todos los interesados basados en un lenguaje común. Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO. Sin embargo: Los estándares no cubren todos los temas en el detalle No existe un estándar que abarque todos los temas (gestión, calidad, desarrollo, continuidad, etc.). SE requiere un esfuerzo de la organización , para adoptar los estándares.

13. ¿Cuáles son las tareas de los profesionales en TI? Las tareas de los profesionales de TI son:     

Instalar aplicaciones, Diseñar redes de computación y bases de datos Administrar datos, redes, ingeniería de hardware Diseñar programas y bases de datos y Administrar y dirigir de los sistemas completos.

14. ¿Por qué es valiosa la información para la toma de decisiones? La importancia de la información para las organizaciones radica en que es un recurso esencial, éstas la utilizan al desempeñar sus operaciones diarias y de manera estratégica para la búsqueda de un alto nivel competitivo y crecimiento.

15. ¿Cuáles son los atributos de la Información que le dan tanto valor? Completa: Si la información se pierde u oculta al que toma la decisión, el resultado de la decisión será pobre. Exacta: Errores en la entrada, conversión o procesos puede dar como resultado conclusiones inválidas que darán lugar a decisiones erróneas. Autorizada: La información puede ser semánticamente correcta, pero representar transacciones inválidas o no autorizadas. Auditable: La información debe ser seguible a través de los documentos fuente o su ejecución seguida mediante sistemas de control monitorizados y preverificados. Económica: El coste de producir la información debería no cuando se utiliza Adecuada: Información específica debe solamente para aquellos que la necesitan para asegurar una Demasiada información irrelevante a disposición de quién debe puede ocultar el proceso.

exceder su valor estar disponible gestión eficiente. tomar la decisión

Oportuna o Puntual: La información pierde su valor cuando a quién tiene que tomar la decisión, se le entrega después de que la necesita. Segura: La información debe ser protegida de su difusión a personas no autorizadas, sin ello puede dar lugar a pérdidas económicas en la organización. Debe estar protegida contra destrucciones accidentales o voluntarias 16 ¿Cuáles son los objetivos de la Auditoría Informática?    

El control de la función informática El análisis de la eficiencia de los sistemas informáticos La verificación y el cumplimiento de la normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos.

17. ¿Existen tipos de Auditoría Informática? ¿Cuáles son? 

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.



Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.



Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujos gramas.



Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.



Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.



Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.



Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.



Auditoría de las comunicaciones. Se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación.



Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

18. ¿La ética es importante para el auditor informático? ¿Por qué? •El

auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá, en todo momento, actuar conforma a las normas, implícitas o explícitas, de dignidad de la profesión y de corrección en el trato personal. •Para ello deberá cuidar la moderación en la exposición de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisión y exactitud en sus comentarios. •El comportamiento profesional exige del auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias, debiendo eludir las injerencias no solicitadas por él, de profesionales de otras áreas, en temas relacionadas o que puedan incidir en el resultado da la auditoría. •El auditor debe asimismo guardar un escrupuloso respeto por la política empresarial del auditado, aunque ésta difiera ostentablemente de las del resto el sector en las que desarrolla su actividad. •Igualmente debe evitarse realizar actos que simulen aplicaciones de tratamientos ficticios, encubran comportamientos no profesionales o den publicidad a metodologías propias o ajenas insuficientemente contrastadas y garantizadas.