Este documento presenta una serie de preguntas y respuestas sobre temas relacionados con la auditoría de sistemas. Aborda conceptos como la modernización de sistemas, las herramientas de auditoría, la verificación del cumplimiento de normas y requisitos, la evidencia de auditoría, los planes de auditoría, los controles de sistemas y los procedimientos de auditoría.
Una auditoría de la Seguridad en redes es una evaluación técnica medible manual o sistemática de un sistema o aplicación. Evaluaciones manuales incluyen entrevistas al personal, la realización de análisis de vulnerabilidades de seguridad, la revisión de la aplicación y de acceso al sistema operativo controles y analizar el acceso físico a los sistemas.
Una auditoría de la Seguridad en redes es una evaluación técnica medible manual o sistemática de un sistema o aplicación. Evaluaciones manuales incluyen entrevistas al personal, la realización de análisis de vulnerabilidades de seguridad, la revisión de la aplicación y de acceso al sistema operativo controles y analizar el acceso físico a los sistemas.
AUTOEVALUACIONES Y EVALUACIONES DE: CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN, METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SI YDEPARTAMENTO DE AUDITORÍA DE SI - DASI - Y ÉTICA DEL AUDITOR DE LOS SI.
Autoevaluaciones de la guia didáctiva y evaluaciones del texto basico de CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN. 3: DEPARTAMENTO DE AUDITORÍA DE SI - DASI - Y ÉTICA DEL AUDITOR DE LOS SI.
1. UNIVERSIDAD JOSE CARLOS
MARIATEGUI
FACULTAD DE CIENCIAS JURIDICAS EMPRESARIALES Y PEDAGOGICAS
CARRERA PROFESIONAL DE CONTABILIDAD
CURSO : AUDITORIA DE SISTEMAS
TEMA : AULA VIRTUAL
ALUMNO : FABIOLA PAOLA QUISPE ZEGARRA
DOCENTE : ING. JUAN ALBETO SEMINARIO MACHUCA
TACNA – PERU
2. 2
2015
TRABAJO VIRTUAL DE AUDITORIA DE SISTEMAS
1. En qué consistenlamodernizaciónde lossistemas?
En todo tipo de empresa es primordial prestar especial atención a las arquitecturas de los
sistemas de Tecnología de Información, ya que se necesita que sean flexibles y a la vez
robustas,de maneraque puedan resistir el crecimiento y los constantes cambios a los que se
enfrentanlasorganizaciones.Pues,se esperaque lainformaciónylosprocesosse ajustena las
operaciones financieras sin interrupciones, supliendo las demandas de competitividad,
desempeño financiero, productividad y rapidez.
Por lotanto,es necesarialainversiónenmodernizaciónfinanciera, con sistemas que ofrezcan
la máximaconsolidaciónyutilizaciónde recursosde TI,tantoenescalabilidady disponibilidad
como ensolidezy agilidad en el procesamiento de las transacciones, lo que evitará caídas de
servicioenhoraspico.Se hace imperativalaimplementaciónde una arquitectura que permita
la más prontaadaptacióna loscambiosy desafíosque vendránenlos próximos años o incluso
meses.
2. Las herramientasque utilizanlossistemasde informaciónde que maneradebenresponder?
Con frecuencia,el auditordebe verificarque los programas,tantode los Sistemascomode
usuario, realizanexactamente lasfuncionesprevistas,yno otras.Para ello se apoyaen
productosSoftware muypotentesymodularesque,entre otras funciones,rastreanlos
caminosque siguenlosdatos a travésdel programa.
Las herramientasutilizadasenel paraapoyanlasdiferentesactividadesque deberealizarel
auditor,enpro de obtenerunaauditoriaeficiente yconel mínimoriesgoyla máxima
objetividad.
3. Segúnel auditorse verificael cumplimiento?
Verificarel cumplimientode lasnormasde contabilidadyde lasadecuaciones,que parala
entidad,hayansidoestablecidas,apartirdel clasificadorde cuentaenvigor.
Extensiónconque sonseguidaslaspolíticas,reglas,buenasprácticasde negocios,principios
contablesgeneralmente aceptados,leyes,regulacionesdel gobiernoyhastael sentidocomún.
4. Cuálessonlas evidenciasde auditoria?
3. 3
Información,registrosodeclaracionesde hechosverificables.Laevidenciade auditoríapuede
sercualitativaocuantitativa,esutilizadaporel auditorparadeterminarcuandose cumple con
el criteriode auditoría.
La evidenciade auditoríase basatípicamente enentrevistas,revisiónde documentos,
observaciónde actividadesycondiciones,resultados de medicionesypruebas.
EvidenciaFísica:muestrade materiales,mapas,fotos.
EvidenciaDocumental:cheques,facturas,contratos,etc.
EvidenciaTestimonial:obtenidade personasque trabajanenel negociooque tienen
relaciónconel mismo.
EvidenciaAnalítica:datoscomparativos,cálculos,etc.
5. Con base a que se verificael cumplimientode losrequisitos?
•Verificarlacalidad,eficienciayconfiabilidadde lossistemasde procesamientoelectrónicode
la información,conénfasisenel aseguramientode lacalidadde sucontrol internoy
validación.
•Analizarmediante laaplicaciónde lasdiferentestécnicasde Auditoríalagestiónempresarial,
con el objetivode determinarsueconomía,eficienciayeficacia.
6. Que me permite planificardesde el puntode vistade laadministración?
Dado el ambiente de trabajoenque se desempeñael áreade sistemas,ysuinfluenciaen
todoslossectoresde la empresa,se reconoce lanecesidadde implantarnormas
administrativasparauncontrol eficaz.Sin embargo,enlarealidadse olvidadictaryhacer
cumplirnormasde control interno,destacándose debilidadestalescomo:
• Inadecuadasegregaciónde funciones
• Fácil acceso al hardware / software
• Escasa supervisiónde lasactividades
7. La plataformaestratégicase considerade largoplazoyporque?
Para poderencontrarIndicadoresde impacto (de éxito, externos, de impacto, o de objetivos;
loscualespermitenlavaloraciónde loscambiosenlasvariables socioeconómicas propiciados
por la accióninstitucional) relacionados conloslogrosa largo plazo y las contribuciones de los
planes, programas y proyectos al cumplimiento de la misión u objetivo superior de la
institución y/o del grupo
4. 4
Los indicadores de Logro son “hechos” concretos, verificables, medibles, evaluables, que se
establecen a partir de cada objetivo. Este tipo de indicadores permite la valoración de la
Eficacia de los planes, programas, actividades de la institución, entre otros para resolver los
problemas y necesidades del grupo y la región con quien se adelanta los logros y metas
previstas.
8. El objetivode losplanesson?
Descripciónde lasactividadesyde losdetallesacordadosde unaauditoria.
Verificarque el SistemaIntegradode Gestión -SIGE- se haimplementadoyse mantiene de
maneraeficaz,eficiente yefectivaparasatisfacerlosrequisitosdelcliente,yesconforme con
losrequisitosde lasnormasNTCISO 9001:2008 y NTCGP1000:2009, NTC14001: 2004, NCT
18001:2007 Y NTCISO 27001:2006,legales y losdel SIGE establecidosporel ICBF.
• Determinar la conformidad del sistema de gestión con los requisitos de la norma de
sistema de gestión.
• Evaluar la capacidad del sistema de gestión para asegurar el cumplimiento de los
requisitos. legalesyreglamentariosaplicables al alcance del sistema de gestión y a la
norma de requisitos de gestión.
• Determinar la eficaz implementación y mantenimiento del sistema de gestión
• Identificar oportunidades de mejora en el sistema de gestión
9. Tres limitantesdel enfoque tradicional?
• Consiste enrealizarlosprocedimientosde verificaciónutilizandolosdatosde
entradaal sistemaysometerestosdatosal procesológicoque se realizaenesa
etapaespecíficade procesamiento.
• Con estoselementosse obtienendatosde salidaprocesadosmanualmente;se
comparan con losgeneradosporel sistemayse concluye si el procesamiento
electrónicollegaaresultadosrazonables(pormuestreo).
• Desarrolloe implantaciónsonmáscostosos,esmásdifícil implementarcontrol
interno,puesse minimizaladocumentacióndel procesamiento,entrada
Relacióndirectaentre el usuarioyel equipo
10. Técnicasmas comunesdel control?
Técnicas de control
físico
Dispositivos de protección para terminales (cerraduras, lectoras)
Ubicación de terminales en áreas supervisadas
Desconexión de terminales en determinado horario
Acceso a archivos en determinado horario
Desconexión automática de terminales no usadas
Técnicas de control
lógico
Contraseñas para el acceso
No-display de contraseñas
Establecer parámetros de niveles de autorización
Desconexión automática de terminales ante “X” intentos
infructuosos de acceso
Técnicas de control Transmisiones cifradas o codificadas
5. 5
de
telecomunicaciones
Usar detectores de intercepción de información
Distribución y control de número telefónico para estaciones de
llamada
11. Procedimientosparael control?
Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los
riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de
control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de
auditoriaexige que el auditorde sistemasreúnaevidencia,evalúe fortalezas y debilidades de
los controles existentes basado en la evidencia recopilada, y que prepare un informe de
auditoría que presente esos temas en forma objetiva a la gerencia.
Asimismo,lagerencia de auditoria debe garantizar una disponibilidad y asignación adecuada
de recursospara realizarel trabajode auditoriaademásde lasrevisionesde seguimientosobre
las acciones correctivas emprendidas por la gerencia.
Aspectos del medio ambiente informático que afectan el enfoque de la auditoria y sus
procedimientos.
Complejidad de los sistemas.
Uso de lenguajes.
Metodologías, son parte de las personas y su experiencia.
Centralización.
Controles del computador.
Controles manuales, hoy automatizados (procedimientos programados).
Confiabilidad electrónica.
Debilidades de las máquinas y tecnología.
Transmisión y registro de la información en medios magnéticos, óptico y otros.
almacenamiento en medios que deben acceder a través del computador mismo.
Centros externos de procesamiento de datos.
Dependencia externa.
12. Donde o comose verificalagarantía de losprincipalesactivosde empresa?
En un inventariode caráctergeneral debidoaque se hace un recuentode losactivosde la
empresayde susinstalación , bienes inmuebles,mueblesconexioneseléctricas,de
comunicaciónde acceso personal de laseguridadde losempleadosydemásaspectos
relacionadosconlosedificios,oficinas,sinembargoel auditorde sistemasrealizaeste
inventariodebidoalaspropiascaracterísticasde los sistemas,yaque verificasi se cuentacon
losactivosinmuebles,mueblesequipose instalacionesadecuadosparael funcionamientode
lossistemasque satisfacenlanecesidadde comunicaciónde laempresa,redes,transiciónde
información,proteccionesde sistemas
6. 6
13. Que se lesaplicaa lascuentaso hallazgos másrelevantes?
Los hallazgosenlaauditoría,se definencomoasuntosque llamanlaatencióndel auditoryque
ensu opinión,debencomunicarse alaentidad, yaque representandeficienciasimportantes
que podrían afectarenforma negativa,sucapacidadpara registrar,procesar,resumiry
reportarinformaciónconfiable yconsistente,enrelaciónconlasaseveracionesefectuadaspor
la administración.
Se refiere ala situaciónactual encontradaporel auditoral examinarunaárea,actividad,
funciónuoperación,entendidacomo“loque es”.
Criterio:Comprendelaconcepciónde “lo que debe ser“, con locual el auditormide la
condicióndel hechoosituación.
Efecto:Es el resultadoadversoopotencial de lacondiciónencontrada,generalmente
representalapérdidaentérminosmonetariosoriginadosporel incumplimientoparael logro
de la meta,finesyobjetivosinstitucionales.
Causa: Es la razónbásica (olas razones) porlocual ocurrióla condición,otambiénel motivo
del incumplimientodel criteriode lanorma.Suidentificaciónrequierede lahabilidadyel buen
juiciodel auditory,esindispensable parael desarrollode unarecomendaciónconstructivaque
prevengalarecurrenciade lacondición.
Si al evaluarloshallazgosde auditoríase concluye que losinformesde gestiónyfinancieros,
entre otrosestánsignificativamente distorsionadosyel erroracumuladosuperael límite
establecidoparalasignificatividad,esnecesariorealizarlosiguiente:
- Proponerlascorreccionesolosajustesnecesarios.
- Ampliarel trabajoparaobtenerunamejorestimacióndel errormásprobable.
- Incluirenel informe de auditoríalaslimitacionesysalvedadeso emitiruninforme adverso.