Post on 09-Aug-2015
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
1
AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade
ALUMNO : Jesús Cisneros Valle
FECHA : Quito, 16 de septiembre del 2012
CURSO : 10ASM
RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 11 y 12 DEL
LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.
CAPITULO 11
AUDITORIA DE LA EXPLOTACION
Cuestiones de Repaso:
1. Cuáles son los componentes de un SI según el proyecto CobiT?
• Datos. En general se consideran datos tanto los estructurados como los no
estructurados, las imágenes, los sonidos, etc.
• Aplicaciones. Se incluyen las aplicaciones manuales y las informativas
• Tecnología. El software y el hardware, los sistemas operativos, los sistemas de
gestión, los sistemas de red, etc.
• Instalaciones. En ellas se ubican y se mantienen los sistemas de información
• Personal. Los conocimientos específicos que ha de tener el personal de los sistemas
de información para planificarlos, organizarlos, administrarlos y gestionarlos.
2. Cuál es el fin de la carta de encargo?
El fin es recoger o plasmar las responsabilidades de un trabajo de auditoría; además,
determinar el alcance del trabajo de auditoría.
3. Cuáles son las fases de la Planificación de la Auditoría?
1. Planificación estratégica 2. Planificación administrativa 3. Planificación técnica
4. Que categoría se puede distinguir en los controles generales?
1. Controles operativos y de organización
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
2
2. Controles sobre el desarrollo de programas y su organización 3. Controles sobre los programas y los equipos 4. Controles de acceso 5. Controles sobre los procedimientos y los datos
5. Defina “control”. Como se evalúan los controles?
• Según COSO control es: Las normas, los procedimientos, las prácticas y las
estructuras organizativas diseñadas para proporcionar seguridad razonable de que
los objetivos de las empresas se alcanzaran y que los eventos no deseados se
preverán, se detectarán y se corregirán.
• Para evaluar los controles es necesario encontrar evidencia sobre:
o La terminación total de todos los procesos.
o La separación física y lógica de los programas fuente y objetos y de las
bibliotecas de desarrollo, de pruebas y de producción.
o La existencia de normas y procedimientos para pasar los programas de una
biblioteca a otra.
o Las estadísticas de funcionamiento, donde se incluya: Capacidad y
utilización del equipo central y de los periféricos, utilización de la memoria,
utilización de las telecomunicaciones.
o Las normas de nivel de servicios de los proveedores
o Los estándares de funcionamiento interno
o El mantenimiento y revisión de los diarios de explotación
o La realización del mantenimiento periódico de todos los equipos
o La evidencia de la rotación de los turnos de los operadores y de las
vacaciones tomadas.
6. Que diferencias existen entre las pruebas sustantivas y las de cumplimiento?
Las Pruebas de cumplimiento consisten en comprobar que se están cumpliendo las
normas previamente establecidas en los manuales; pero las Pruebas sustantivas son
aquellas que se usan cuando no existen manuales o normas establecidas.
7. Cuáles son los tipos de informes de auditoría?
• Informe favorable, el sistema auditado es satisfactorio
• Informe desfavorable, El sistema auditado tiene múltiples fallas
• Informe con salvedades, el sistema auditado es válido pero posee fallas que no lo invalidan
• Informe de denegación de opinión, El auditor no posee los suficientes elementos de
juicio para emitir su opinión.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
3
8. Como se estructura un informe de auditoría?
Para estructurar un informe de auditoría se debe utilizar las Normas de Auditoría de
Sistemas de Información Generalmente Aceptadas y Aplicables (NASIGAA) y además
tener en cuenta las normas 9 y 10 emitidas por ISACA. Además el informe debe
contener información adicional.
El informe es un instrumento que debe contener: Los objetivos de la auditoría, el
alcance que vaya a tener, las debilidades encontradas y las conclusiones a las que se
lleguen.
El informe debe plasmar cuales son las NASIGAA que se han seguido para realizar el
trabajo. Indicando las excepciones en el seguimiento de estas normas técnicas, el
motivo de no seguirlas y cuando proceda indicar los potenciales efectos que pudiera
tener en los resultados de la auditoría.
El informe debe contener las debilidades detectadas en el SI del auditado, así como las
causas y sus efectos y las recomendaciones para mejorar o eliminar las debilidades.
El informe debe presentarse de manera lógica y organizada y debe ser comprensible
para el auditado
El informe debe ser emitido en el momento apropiado, para que le permita al auditado
poner en ejecución inmediata las recomendaciones del mismo.
El informe debe contener la entidad que se audita y la fecha de emisión, además
contener las restricciones de distribución del documento para que el informe no llegue
a manos indebidas.
9. Defina los tipos de archivos principales y contenido de cada uno?
• Archivo permanente, contiene todos los papeles que tienen un interés continuo y
una validez plurianual, tales como:
o Característica de los equipos y de las aplicaciones
o Manuales de los equipos y de las aplicaciones
o Organigrama de la empresa en general
o Organigramas del servicio de información y división de funciones
o Cuadro de planificación plurianual de auditoria
o Escrituras y contratos
o Consideraciones obres el negocio o Consideraciones sobre el sector
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
4
o Y toda aquella información que pueda tener importancia para auditorias
posteriores.
• Archivo corriente, este se subdivide en: Archivo general y archivos de áreas de proceso.
o Archivo general: Son aquellos que no tiene cabida específica en algunas de
las áreas/procesos en que hemos dividido el trabajo de auditoria.
� El informe del auditor
� La carta de recomendaciones
� Los acontecimientos posteriores
� El cuadro de aplicaciones de la auditoria corriente
� Correspondencia que se ha mantenido con la dirección de la
empresa
� El tiempo que cada persona del equipo a empleado en cada área/proceso
o Archivos por áreas/procesos: Se debe prepara un archivo para cada área o
proceso en que hayamos dividido el trabajo e incluir en cada archivo los
documentos que hayamos necesitado para realizar el trabajo de esa
área/proceso concreto.
� Programa de auditoria de cada una de las áreas/procesos
� Conclusiones del área/proceso en cuestión
� Conclusiones del procedimiento en cuestión.
10. Especifique algunos objetivos de control a revisar en la auditoria de la explotación de los sistemas informáticos.
• Inicio: contrato o carta de encargo
• Planificación: Planificación estratégica (estudio y evaluación de riesgos,
establecimiento de objetivos); Planificación administrativa (planificación técnica:
programa de trabajo).
• Realizar el trabajo: actualización del programa de trabajo, pruebas de
cumplimiento, pruebas sustantivas.
• Revisiones de informes: Revisión del trabajo, elaboración de informes, distribución
de informes.
• Fin: archivar los papeles de trabajo.
CAPITULO 12
AUDITORIA DEL DESARROLLO
Cuestiones de Repaso:
1. Que factores contribuyen a la importancia de la auditoria de desarrollo?
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
5
• El desafío mas importante y principal factor de éxito de la informática es la mejora
de la calidad del software.
• El gasto dedicado al software es mayor que el destinado al hardware.
• La crisis del software incluye problemas asociados con el desarrollo y
mantenimiento del software y esto afecta a un gran número de organizaciones. En
el área del hardware no se presentado este tipo de crisis.
• El software como producto es muy fácil de validar, en un mayor control en el
proceso del mismo incrementa la calidad y disminuye los costos.
• El índice de fracasos en desarrollo de software es muy alto, lo que denota la
inexistencia o mal funcionamiento de los controles en este proceso.
• Las aplicaciones informáticas que son el producto final del desarrollo, pasan a ser
herramientas de trabajo principal de las áreas informatizadas, convirtiéndose en un
factor crucial de gestión y toma de decisiones.
2. Que aspectos se deben comprobar respecto a las funciones del área de desarrollo?
• Planificación del área y participación, elaborar el plan estratégico de informática,
• Desarrollo de nuevo sistemas, incluye el análisis, diseño, construcción e
implantación.
• Estudios de nuevos lenguajes, técnicas, metodologías, estándares, herramientas
relacionadas con el desarrollo
• Establecimiento de un plan de formación para el personal adscrito al área
• Establecimiento de normas y controles para todas las actividades que se realizan en
el área y comprobar su observancia
3. Comente la importancia, desde el punto de vista de la auditoria, de la formación
que deben poseer los profesionales de desarrollo.
El personal de desarrollo es muy importante y debe contar con una formación
adecuada para realizar su trabajo. Deben existir procedimientos de contratación
objetivos, que permitan seleccionar al personal y verificar si cumplen con los
requisitos para el puesto que acceden. Ha de existir un plan de formación que vaya de
la mano con los objetivos tecnológicos del área, planes de capacitación a corto,
mediano y largo plazo, incluir información relevante de cada formativa, las actividades
formativas deber ser evaluadas por los asistentes y debe ser tenida en cuenta a la hora
de redefinir el plan de formación. Debe contemplar la formación de todos los
empleados y el puesto que ocupan, además el plan de trabajo del área debe tener en
cuenta los tiempos de formación. Ha de implementarse un protocolo de
recepción/abandono para las personas que se incorporan o dejan el área, este protocolo
debe respetarse, la incorporación debe incluir estándares definidos, manuales del área,
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
6
etc. y en los abandonos del personal se debe garantizar la protección del área. Debe
contarse con bibliotecas actualizadas, accesibles y de prestigio para el personal del área
y que estén disponibles.
4. Qué procedimiento utilizaría para valorar la motivación del personal de
desarrollo?
Se podría hacer encuestas al personal para que sin identificarse puedan indicar lo que
les incomoda en su área de trabajo y que aspectos deberían mejorarse de manera
inmediata. Realizar talleres de motivación donde se expongan nuevas formas de
motivación ocupacional y además que se expongan las inquietudes de manera
respetuosa y organizada de ser posible con las posibles soluciones para valorarlas y de
ser el caso implementarlas.
5. Qué repercusiones tiene la existencia de herramientas CASE en el ámbito del
desarrollo?
El desarrollo de sistemas de información debe hacerse aplicando principios de
ingeniería de software ampliamente aceptados, debe de implantarse una metodología
de desarrollo de sistemas de información soportadas por herramientas de ayudas
(CASE), debiéndose comprobar que: la metodología cubre todas las fases del
desarrollo y es adaptable a distintos proyectos.
• La metodología y las técnicas a la misma están adaptadas al entorno tecnológico y
de organización del área de desarrollo.
• Se ha adquirido, homologado e implantado según normas del área una herramienta
CASE que se adapta a la metodología elegida y cumple con los requisitos mínimos
exigibles.
• Se ha formado al personal sobre esta metodología y su adaptación así como
técnicas asociadas y herramientas CASE.
• Existe un procedimiento que permita determinar en que proyectos se puede usar
CASE y es ventajoso usarlo.
• Debe estar claro de que forma el uso de esta herramienta altera las fases de
desarrollo normales
• La herramienta CASE es capaz de mantener el diccionario de datos
• La herramienta CASE mantiene requisitos de confidencialidad necesarios sobre la
documentación asociada al proyecto
6. Describa diversos procedimientos de análisis, evaluación y selección de
herramientas de desarrollo que haya utilizado o conozca?
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
7
• Una de las herramientas principales que he usado es programación orientada a
objetos VB.Net por ejemplo, para elegirla se analizó su potencialidad de desarrollo
de software y la compatibilidad del sistema que se desarrolló con los SO actuales,
es decir tratar que a más de solventar las necesidades de procesamiento tenga
compatibilidad con los diversos SO que pudieran tener los usuarios. Es decir
analizarlo, evaluarlo y seleccionarlo fue algo circunstancial y a la vez se basó más
en la necesidad y conocimiento del uso de la herramienta de desarrollo.
7. Que riesgos entraña la subcontratación del desarrollo?
• Riesgos como que el personal no esté capacitado y haya que capacitarlo con los
inconvenientes de gastos extra presupuestados en el proyecto.
• Que el personal no se acople a las exigencias o políticas del trabajo
• Que se pueden ver afectadas las normas implantadas para el desarrollo de software,
dando inconvenientes a la seguridad del proyecto que se desarrolle.
8. Como afecta el modelo de ciclo de vida que se adopte en un proyecto a la
auditoria a realizar sobre el mismo?.
El ciclo de vida afecta si no se lo ha elegido apropiadamente para el tipo de proyecto
que se trate, se ha de dimensionar históricamente el proyecto y sus riesgos como para
seleccionar el ciclo de vida, se debe poner especial atención si se elige un ciclo de vida
basado en prototipado, en este caso deben cumplirse los requisitos necesarios para
aplicarlo con éxito y debe existir un acuerdo con los usuarios sobre el alcance del
prototipo y el objetivo que se persigue con el mismo.
9. Cree que la “trazabilidad” de los requisitos resulta importante en un desarrollo
informático?
Si es importante porque permitirá desde el inicio, el desarrollo y definición de
objetivos, desarrollo del software en todas sus fases, evaluación del producto por los
usuarios y luego la explotación, una cadena de controles y normas que deben de
cumplirse para obtener un producto optimo y de calidad.
10. Exponga como debería ser la participación del usuario a lo largo de las distintas
fases de la metodología métrica.
• En el proyecto deben participar los usuarios de todas la áreas que afecte el nuevo
sistema, esta participación será normalmente a través de entrevistas que tendrán
especial importancia en la definición de requisitos del sistema.
• El grupo de usuarios por medio de las entrevistas permitirán conocer o darán a
conocer cómo valoran el sistema actual y los que esperan del nuevo sistema.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
8
• Los usuarios deben contar con todos los recursos necesarios
• Los usuarios deben comparar con los recursos existentes y se ha planificado todos
los recursos necesarios
• El sistema debe ser aceptado por los usuarios antes de ponerse en explotación, las
pruebas de aceptación son realizadas por los usuarios, se evalúan los resultados de
las pruebas y se toman decisiones correctoras necesarias para solventar las
incidencias encontradas, actualizándose el proyecto
• El grupo de usuarios y el comité de dirección firman su conformidad con las
pruebas de aceptación.