1.AUDITORÍA
Examen crítico con objetivo de evaluar la eficiencia y eficiencia de un lugar y determinar cursos alternativos para mejorar y alcanzar objetivos propuestos.
2.AUDITORÍA INFORMÁTICA
Revisión y evaluación de los controles, sistemas y procedimientos de la informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente, confiable y seguro de la información que servirá para una adecuada toma de decisiones.
3.El CONTROL INTERNO
Comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adaptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provocar la adherencia a las políticas prescritas por la administración.
Objetivos básicos del control interno
Protección de los activos de la empresa. La obtención de información financiera, veraz, confiable y oportuna. La promoción de la eficiencia en la operación del negocio. Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por la administración de la empresa.
Objetivos generales
Autorización. Procesamiento y clasificación de las transacciones. Salvaguarda física. Verificación y evaluación. (5)
4.EL DEPTO DE INFORMÁTICA
SE DEBE EVALUAR DE ACUERDO A
*Objetivos, metas, planes, políticas y procedimientos. *Organización. * Estructura orgánica. *Funciones y niveles de autoridad y responsabilidad.
5.Técnicas AVANZADAS DE AUDITORIA
*Pruebas Integrales: procesamiento de datos de un departamento ficticio, comparando estos resultados con resultados determinados. *Simulación: desarrollar programas de aplicación para determinas pruebas y comprara los resultados de la simulación con la aplicación real. *Revisión de acceso: se conserva un registro computarizado de todos los accesos a determinado archivo con información de la identificación tanto de la terminal como del usuario. *Operaciones en paralelo: verificar la exactitud de la información sobre los resultados que produce un sistema nuevo que sustituye a una ya auditado. *Registros extendidos: consisten en agregar un campo de control a un registro determinado, como un campo especial a un registro extra, que puede incluir datos de todos los programas de aplicación.
6
OBJETIVOS QUE CONSTITUYEN A LA AUDITORIA INFORMÁTICA
*El controlde la función informática. *El análisis de la eficiencia de los SI y la TI. *La verificación del cumplimiento de la Normativa General de la Organización. *La verificación de los Planes, Programas y Presupuestos de los Sistemas Informáticos. *La revisión de la eficaz gestión de los recursos materiales y humanos informáticos. *La revisión y verificación de Controles Técnicos Generales y Específicos de Operatividad. *La revisión y verificación de las Seguridades: De Cumplimiento de normas y estándares, De Sistema Operativo, De Seguridad de Software, De Seguridad de Comunicaciones. De Seguridad de Base de Datos. De Seguridad de Proceso. De Seguridad de Aplicaciones. De Seguridad Física. De Suministros y Reposiciones. De Contingencias. *El análisis del control de resultados. *El análisis de verificación y de exposición de debilidades y disfunciones.
7
FASES AUDITORIA:
*Planeación
Desarrolla el Plan de Auditoria. Metas, programas de trabajo de auditoría, informe de actividades a Comprender y conocer a la entidad auditada.
*Ejecución
Examen y evaluación de la información, obtener, analizar e interpretar y documentar la información para apoyar los resultados de la auditoría (Cuestionarios, entrevistas, análisis de documentos, tabulación de información.
*Preparación y emisión del informe
Informe preliminar, informe final. Prepararlo (redacción) y presentarlo (comentar) a la administración, se debe tener capacidad refinada de la forma de expresarse.
*Seguimiento
Debe ser planeado, verificar cumplimiento, preparación y presentación (cumplíó o no, hizo lo que tenía que hacer, etc.)
8
AI DEBE ASEGURARSE DE:
Que los auditores sean supervisados en forma apropiada. *Que los informes de auditoría sean precisos, objetivos, claros, concisos, constructivos y oportunos. * Que se cumplan los objetivos de la auditoría. * Que la auditoría sea debidamente documentada y que se conserve la evidencia apropiada de la supervisión. * Que los auditores cumplan con las normas profesionales de conducta. * Que los auditores en informática posean los conocimientos, experiencias y disciplinas esenciales para realizar sus auditorías.
9. CONOCIMIENTOS Y EXPERIENCIAS QUE DEBE TENER EL AUDITOR INTERNO: *
Se requiere pericia en la aplicación de normas, procedimientos y técnicas de auditoría interna, para el desarrollo de las revisiones. *Tener habilidad para aplicar amplios conocimientos a situaciones que se le vayan presentando, reconocer las situaciones significativas y poder llevar a cabo investigaciones para llegar a soluciones razonables.
10. QUÉ DEBE DE INCLUIR UN PROGRAMA DE TRABAJO DE AUDITORÍA:
Objetivo General, Objetivo Específico, Alcance, Cronograma y Programa. Para cada auditoria específica se deberá elaborar el programa de auditoría que incluya los procedimientos a aplicarse, su alcance y personal designado para ejecutar la auditoria.
11
DEFINA PRUEBA SUSTANTIVA Y PRUEBA DE CUMPLIMIENTO: *Prueba Sustantiva:
Estas pruebas revisan los procedimientos para determinar si los resultados arrojados por el sistema son correctos (ejemplo: operaciones sencillas como suma, resta, división o multiplicación). *
Prueba de Cumplimiento:
Representan procedimientos de auditoría, diseñados para verificar si el sistema está siendo aplicado de acuerdo a las normas (manera en que se le describíó al auditor y de acuerdo a la intención de la gerencia). Si, después de la comprobación, los controles parecen estar operando efectivamente, el auditor justifica el poder tener confianza en el sistema y por consiguiente reduce sus pruebas sustantivas (5 TIPOS: *Pruebas para asegurar calidad de datos. *Pruebas para identificar inconsistencia de datos. *Pruebas para comparar con los datos físicos. *Pruebas para confirmar la adecuada comunicación. *Pruebas para determinar falta de seguridad.
12. EN MATERIA DE SISTEMAS EL LIBRO SEÑALA UN CICLO DE VIDA RECOMENDABLEMENTE AUDITABLE. REFIÉRASE A LOS PUNTOS SEÑALADOS EN EL MISMO:
Durante el ciclo de vida se deben evaluar: *La instalación *Mantenimiento *Operación.
INSTALACIÓN Y MANTENIMIENTO:
Es la primera fase del ciclo de vida del software en la cual el auditor revisara lo siguiente: *Procedimientos para iniciación, pruebas y aprobación de modificaciones al software. *Procedimiento para la generación y modificación al software. *Procedimientos usados para ejecutar software y mantenimiento del diccionario de datos. *Procedimientos de emergencia usados para dar soluciones a un problema especifico de software. *Mantenimiento y contenido de las bitácoras de auditorías de todos los DBMS y modificación del diccionario de datos. *Bitácora a los parámetros del software y de las sentencias del lenguaje de aplicaciones en ejecución. *Acceso a librerías de programas.
OPERACIÓN:
En la segunda fase del ciclo de vida del software se revisará: *Controles de acceso para programas, librerías, parámetros, secciones o archivos de software asociado. *Procedimientos diseñados para asegurar que el sistema no es instalado (carga inicial del programa) sin el software original, creando así un procedimiento de seguridad. *Disponibilidad y control de acceso a los comandos que pueden ser usados para desactivar el software. *Aéreas de responsabilidad para el control del software, operación y consistencia de capacidad de acceso. *Horas durante las cuales el software está disponible. * Control de acceso sobre consolas y terminales maestras. *Procedimiento para registrar terminación normal o errores, los cuales pueden indicar problemas en la integridad del software y documentar los resultados en programas de seguridad. *Controles de acceso sobre escrituras de programas y lenguajes de librerías de aplicaciones en ejecución. Bitácora de auditoría sobre actividades del software. *Dependencia de otro software para continuar con la operación, operaciones automatizadas o dependencia del calendario de actividades.
13. EL ESTUDIO DE FACTIBILIDAD Y CUÁL ES SU IMPORTANCIA:
La realización del estudio de factibilidad se refiere a la disponibilidad de los recursos que se requieren para llevar a cabo los objetivos propuestos, la implementación y puesta en marcha de un sistema. Su importancia es que mediante este estudio se elabora el costo/beneficio del sistema, desarrollando el modelo lógico, hasta llegar a la decisión de elaborarlo o rechazarlo, incluyendo el estudio de factibilidad técnico y las recomendaciones.
14. OBJETIVOS DE LA SEGURIDAD DEL ÁREA INFORMÁTICA: 1-
Proteger la integridad, exactitud y confidencialidad de la información.
2- Proteger los activos ante desastres provocados por la mano del hombre de actos hostiles.
3- Proteger a la organización contra situaciones externas como desastres naturales y sabotajes.
4- En caso de desastre, contar con los planes y políticas de contingencia para lograr una pronta recuperación.
5- Contar con los seguros necesarios que cubran las pérdidas económicas en caso de desastre.
15. INTEGRIDAD:
garantía de la exactitud y completitud de la información de la información y los métodos de su procesamiento.
CONFIDENCIALIDAD:
aseguramiento de que la información es accesible solo para aquellos autorizados a tener acceso.
DISPONIBILIDAD:
aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
16. ETAPAS DEL PROYECTO DEL PLAN DE CONTINGENCIAS: 1- Análisis del Impacto en la organización:
se identifican sus procesos críticos o esenciales y sus repercusiones en caso de no estar en funcionamiento.
2- Selección de la Estrategia:
en caso de desastre, se procurará trabajar los sistemas de acuerdo con sus prioridades y no como tradicionalmente se venía haciendo.
3- Preparación del Plan:
debe ser proyectado y probado. Requiere de la participación del personal para asegurar que estén disponibles cuando este se lleve a la práctica.
4- Prueba del Plan diseñado:
para asegurar que se trabaja en forma eficiente.
5- Mantenimiento:
se debe asegurar que después de creado el plan se le de seguimiento y mantenimiento regularmente para que refleje los cambios en la organización o modificaciones, adaptando los procedimientos.
17. Porque es importante controlar la seguridad de la información (PED) hoy en día. Explique. Refiérase a uno de los riesgos de seguridad ya que tiene una ocurrencia de un 80% en la empresa:
Dentro del PED el acto que maneja una ocurrencia de un 80% se trata de la sustracción o robo de información a lo interno. Esto básicamente que dentro de la empresa existen factores los cuales extraen información y esto es una problemática que destruye a lo interno de la organización creando así un ambiente poco seguro dentro de la empresa. Es importante controlar la seguridad de la información (PED) porque es un motor de la empresa ya que representa una gran herramienta estratégica que nos brinda un poder dependiendo el uso que le demos, y es importante y necesario que las empresas destinen presupuesto a la seguridad interna ya que en la parte interna de la seguridad es donde más problemas se presentan éstos, pueden ser maliciosas o no maliciosos, incluso pueden provocar grandes pérdidas para la empresa, estos de todo tipo económicos, financieros más que todo esos, es importante también el crear una cultura organizacional y personal en los empleados ya que estos juegan el papel más importante para la seguridad de la información(PED). Para llegar a tomar decisiones oportunas de la empresa.
18. CUÁL ES LA LABOR DEL AUDITOR:
Constante y dinámica, Evaluando si existen prácticas y procedimientos que aseguren la calidad y confiabilidad de la información, Midiendo el grado de cumplimiento de los objetivos propuestos y el uso adecuado de los recursos.
19. IMPORTANCIA DE UN PLAN ESTRATÉGICO O MAESTRO DE TI:
El Plan Estratégico de TI, nos servir de herramienta para acompañar a la alta gerencia en la toma decisiones, tanto en las inversiones de TI por cada paso estratégico realizado en el negocio que facilite el flujo de la información por medio de redes de comunicación, como el de conocer el impacto de las decisiones del negocio con respecto a las nuevas tecnologías que signifiquen una ventaja competitiva para la empresa, así como tener una idea clara del beneficio tangible e intangible a obtener y una aproximación de los costos y plazos para cada orientación en hardware y software de la empresa o de los desarrollos internos de sistemas que se realicen. Es decir que todo se fundamente en algo sólido que sirva de respaldo a la empresa, ya que es una responsabilidad de todos, eliminando la improvisación dando como resultado un camino seguro y claro a seguir.
20. EL PLAN DE AUDITORIA QUE ELEMENTOS DEBE CONTENER O MENCIONE COMPONENTES EN LA PLANEACIÓN DE LA AUDITORIA: *
Establecimiento de los objetivos y el alcance del trabajo. *La obtención de información de apoyo sobre las actividades que se auditaran. *La determinación de los recursos necesarios para realizar la auditoria *Establecimiento de la comunicación necesaria con todos los involucrados en la auditoria. *Un programa o calendarización del proceso. *Inspección física. * *Uso de técnicas. *Informe final de hallazgos
21. CUALES SON ALGUNOS CONTROLES GENERALES:
Preinstalación. *Control de la documentación. *Estructura organizativa en T.I. *Control de la Operación de Sistemas. *Control del desarrollo de Sistemas. *Control de contratos
22. CLASIFICACIÓN DE LOS CONTROLES:*
Preventivos
Cuando se dispara el evento prevengo (todo lo que sucede para prevenir en un momento dado: Cortes de fluido eléctrico UPS, Procedimientos de respaldos, Dispositivos redundantes en los equipos; discos de espejo. *
Detectivos:
cuando se dispara el evento lo detecto (sucede en el momento: Validación de la entrada # de cuenta, Intentos fallidos de acceso de usuarios, Alarmas de humo.
*Correctivos:
cuando se dispara el evento lo corrijo (el evento ya sucedíó: Retrasmisión de datos por cortes del sistema, Restauración de datos respaldos, Conversión de datos fechas, Aplicación de parches.
23.
TIPOS DE PLANES DE AUDITORIA. O MEJOR DICHO TIPOS DE EVALUACIONES DE PROCESOS DE UN PLANEAMIENTO: *Plan estratégico(Es responsabilidad de todos, elimina la improvisación, definiendo un norte claro-Planes maestros definidos a largo plazo 5 años – Define la orientación en hardware y software-Desarrollo de sistemas- Nuevas tecnologías-Redes). *
Plan operativo (Traduce la visión del Plan estratégico en actividades en el corto plazo, un año-Debe tener una estrecha vinculación con el Plan estratégico-Debe ser coordinado con las áreas usuarias-Debe evaluarse su cumplimiento con los objetivos planteados). *
Planeamiento de los proyectos de TI (Uno de los mayores problemas en T.I. Duración de los proyectos-Uso de administración de proyectos PMBOCK, y uso de herramientas de seguimiento-Etapas: concepción, inicio, actividades a desarrollar, recursos, entregables, riesgos, cambios, costos, fechas, cierre.-Uso de gráficos de GANT, PERT-CMP). *
Plan de capacitación (Derivado de la evolución de la tecnología y al continuo cambio la capacitación debe ser continua-La Dirección de T.I. Debe proponer planes de actualización de los colaboradores y de los usuarios en las nuevas tecnologías-Capacitación en nuevas tendencias del mercado en T.I. (analfabetismo tecnológico)). *
Plan de adquisición (Compra de software y hardware que responda a las necesidades cambiantes-Calendarización precisa de los cambios-Uso de herramientas de proyectos-Evaluar los planes para evitar la obsolescencia tecnológica-Pruebas, medidas de rendimiento-Consistente a los planes evitando la improvisación). *
Plan de conversión (Cambios en servidor central, dispositivos: memoria, discos, procesadores.-Cambio, versiones del software: sistema operativo, base de datos-Cambio en versiones de aplicaciones-Debe usar administración de proyectos: calendarización, respaldos, pruebas, información a usuarios, responsables). *
Plan de continuidad (Nace del nivel de dependencia-Identificar que actividades tienen probabilidad de parar la operación diaria-Priorizar las actividades críticas de operación para su atención-Deben probarse o simular los planes de continuidad)
24
CITE LOS PASOS EN FORMA ORDENADA DE LO QUE DEBE CONTENER UN INFORME DE AUDITORÍA DETALLADO
1. Los problemas detectados. 2. Posibles causas, problemas y fallas que originaron la situación presentada 3. Repercusiones que pueden tener los problemas detectados 4. Alternativas de solución 5. Comentarios y observaciones de la dirección de informática y de usuarios sobre las soluciones propuestas.
25
QUE SON LOS REQUERIMIENTOS. SUS TÉCNICAS. CITE 3 PROBLEMAS MÁS FRECUENTES:
Un requerimiento es una necesidadque un sistema de información debe satisfacer. Son descripciones de: el qué debe hacer el sistema de información y tanto el cómo debe comportarse. (Técnicas: ·
Entrevistas. · Cuestionarios · Revisión de Registros · Observación · Juicio de Expertos · Lluvia de ideas · Análisis de mercado/competencia.) (Problemas: ·
Se instalan tardíamente · Con estimaciones presupuestarias que se quedan muy cortas · Los sistemas no realizan lo que los usuarios realmente desean.)
26. EXPLIQUE QUE DEBE EVALUAR EL AUDITOR CON LOS 3 NIVELES DE LA PIRÁMIDE PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE INFORMACIÓN: 1- Nivel estratégico (sistemas de apoyo a la toma decisiones): que es utilizado por los mandos altos contiene sistemas más complicados que afectan en la toma de decisiones.
2- Nivel táctico (sistemas gerenciales): que es utilizado por mandos medios es más específico porque ayuda a la toma de decisiones.
3- Nivel operativo (sistemas transacciones): que es transaccional, las entradas de información que se dan en un alto volumen y por este motivo deben ser confiables, los reportes que se pueden generar desde este nivel.
27. MENCIONE LOS 4 SÍNTOMAS QUE SE PRESENTAN EN LA ORGANIZACIÓN PARA LANECESIDAD DE UNA AUDITORIA DE SISTEMAS:1- Descoordinación y desorganización (·
No coinciden los objetivos de T.I. Con los de la compañía · Los estándares de productividad han bajado · Continúas caídas de los sistemas · Obsolescencia tecnológica · Escasa participación de T.I en la programación de proyectos) 2-
Mala imagen e insatisfacción de los usuarios (
· No se atienden las peticiones de cambios de los usuarios · No se reparan averías de Hardware en plazos razonables · Constantes fallas en los sistemas · Falta de atención a sistemas críticos · El usuario percibe que está abandonado) 3-
Debilidades económico-financiero (
· Incremento desmesurado de los costos de operación · Falta de credibilidad de las inversiones en T.I. · Desarrollo de proyectos de T.I. Que sobrepasan en tiempo y costos) 4-
Inseguridad (
· Seguridad lógica · Seguridad Física · Inseguridad en la confiabilidad de los datos · Inseguridad en el uso de los recursos y suministros.)
28. CITE 3 DIRECTORES PRINCIPALES Y SU FUNCIÓN: 1-
Director de Usuarios
Es el que se encarga que el usuario utilice los sistemas sobre todo en el periodo de prueba pero también tiene que velar porque se cumplan las disposiciones que involucran al usuario. 2-
Director ejecutivo
Es el representado de la empresa, tiene poder de decisión. 3-
Director de T
I: que a pesar de que participan en el proyecto diferentes funcionarios de TI.
29. HERRAMIENTAS DE LA AUDITORIA MENCIONE 3 DE ELLAS USADAS Y EN QUÉ CASOS SE USA EL CHECK LIST DE RANGO: El Check list de rango se usa cuando se desea evaluar una tarea
Entrevistas – cuestionario – Check list
30. EN LA SEGURIDAD FÍSICA Y LÓGICA, COMO DEBEN SER LAS POLÍTICAS DE SEGURIDA: 1- Holísticas: o sea que haya seguridad en su totalidad no en partes. 2- Realistas: que sean totalmente alcanzables. 3- Continuas: que se mantengan actualizadas o sea no dejarlos ni olvidarlas.
31. RECURSOS QUE SE DETERMINAN EN LA REALIZACIÓN DE UNA AUDITORÍA: 1- Recursos materiales de SW: programas o sistemas de monitoreo. 2- Recursos materiales de HW: equipo de cómputo. 3- Recursos humanos: equipo de trabajo, experto en redes, sistemas, comunicaciones.
32
CUÁLES SON LOS 4 DOMINIOS DEL COBIT:
1-
Planeación y elaboración
Este dominio es el encargado de planear y definir los objetivos y alcances también recursos que se van a usar como se van a realizar los objetivos tener calendario de todo como está conformado la elaboración. 2-
Adquisición e información:
en este dominio vemos lo referente a cómo vamos adquirir la auditoria ya sea mediante desarrolladores locales (internos) si necesitaremos Outsourcing para realizarla. Aquí también analizamos como se va a dar la implementación. 3-
Entrega y soporte:
es en esta etapa donde daremos al usuario y se le hará entrega de la aplicación finalizada completamente y se analizarán aspectos sobre el debido soporte al cual estarán necesitando para el debido mantenimiento en las diferentes áreas. 4-
Monitoreo:
es en esta etapa donde se visualizan todas las actividades y correspondiente monitoreo de todo el proceso.
33. DENTRO DE LA AUDITORÍA EN TI SE PRACTICAN 6 EVALUACIONES COMENTE LOS COMPONENTES DE CADA UNA DE ELLAS:
1- Administrativa: · Su organización, · Funciones, · Estructura, · Cumplimiento de los objetivos. · Recursos humanos. · Normas y políticas. · Capacitación
2- Sistemas: ·
Evaluación del análisis y sus diferentes etapas. · Evaluación del diseño lógico del sistema. · Evaluación del desarrollo físico. · Facilidad para la elaboración de los sistemas. · Control de proyectos
3- Ambiente de operación de los equipos: ·
Adquisición, estudios de viabilidad y costo-beneficio. · Capacidades. · Utilización. · Estandarización. · Controles. · Nuevos proyectos de adquisición. · Almacenamiento
4- Proceso de datos
· Controles de datos fuente y manejo de cifras. · Control de la operación. · Control de la salida. · Control en los procesos de matemáticos. · Control de medios de almacenamientos masivos. · Control de medios de comunicación.
5- Seguridad: ·
Seguridad física y lógica. · Confidencialidad. · Respaldos. · Seguridad personal. · Seguros. · Seguridad en la utilización de los equipos. · Plan de contingencia. · Restauración de equipo y sistemas.