CUESTIONARIO AUDITORIA DE SISTEMAS

Preguntas de Auditoria de Sistemas.

1. ¿Cuál de las siguientes causas puede originar la realización de una AI?

a) Insatisfacción de los usuarios.
b) Inseguridad de los SI.
c) Debilidades económico-financieras.

JUSTIFICACIÓN: Cada una de las alternativas planteadas comprende dentro de la

necesidad de Auditar los Sistemas de Información, estas son las causas que llevan a una
AI, para implementar una mejora en la Empresa, son descoordinaciones y
desorganizaciones que influyen en el logro de los objetivos por parte de la Empresa.

2. ¿Cuál de los siguientes NO es un objetivo de una Auditoría Informática?

a) El mantenimiento de la operatividad.
b) La mejora de la eficacia.
c) La mejora de la eficiencia
d) La mejora de la seguridad.

JUSTIFICACIÓN: Los objetivos fundamentales son el mantenimiento de la operatividad y la

mejora por parte de la eficacia, y no así la mejora de la eficiencia.

3. ¿Cuál de las siguientes NO es una de las características de la eficacia de un sistema

informático?

a) Información válida.
b) Información oportuna.
c) Información completa.
d) Información económica.

JUSTIFICACIÓN: La eficacia de un sistema no se enfoca en un área como lo es la área

económica, más bien se enfoca en la totalidad de la entidad, además la eficacia mide la
capacidad de lograr nuestros objetivos, más bien en este caso que la información sirva y
debe ser válida , oportuna y completa.

4. En Auditoría Informática, la aportación de un SI de una información válida, exacta,

completa, actualizada y oportuna se conoce como:

a) Operatividad.
b) Eficacia.
c) Seguridad.
d) Rentabilidad.
JUSTIFICACIÓN: Como ya se menciono anteriormente el flujo de información debe ser
eficaz y cumplir con cada uno de los criterios mencionado, para que se haga un uso eficaz
de los recursos de Información.

5. La optimización del uso de los recursos de un SI afecta a la:

a) Operatividad.
b) Eficacia.
c) Seguridad.
d) Rentabilidad.

JUSTIFICACIÓN: Bajo el supuesto que optimizando los recursos se obtiene rentabilidad, el

buen uso de los recursos afecta directamente a la rentabilidad

6. Si una auditoria se centra en la disponibilidad del SI, se está auditando:

a) La operatividad
b) La eficacia
c) La seguridad
d) Ninguna de ellas

JUSTIFICACIÓN: La auditoría de seguridad se centra en la confidencialidad y la

disponibilidad
7. ¿Qué de lo siguiente NO debe hacer un auditor?
a) Recomendar
b) Diagnosticar en función a imposiciones
c) Ser objetivo
d) Ser competente en AI
JUSTIFICACIÓN: Un auditor por ningún motivo debe obligar ni amenazar, actuar en
beneficio propio, diagnosticar en función a imposiciones y dejar obsoletos sus
conocimientos.

8. ¿En cuántas clases se puede clasificar las actividades típicas del auditor informático?
a) 3
b)4
c) 5
d)6
JUSTIFICACIÓN: Se clasifican en cinco áreas que son: la auditoría de gestión de SI,
auditoría de los sistemas en desarrollo, auditoría de los sistemas implantados, auditoría
del CPD y apoyo a los auditores no informáticos.

9 ¿De quien depende el área de AI?

a) Responsable de Informática
b) Administrador de seguridad
c) Director Administrativo
d) Ninguno de ellos
 JUSTIFICACIÓN: El área de AI puede depender de la Dirección general o del Jefe del
Director de Informática.

10. La auditoría que analiza la adecuación de los procedimientos establecidos, de las

funciones y las responsabilidades en función a las necesidades y problemas de la empresa
es la auditoría.

a) Informática
b) De calidad
c) Organizativa
d) Ninguna de ellas.

JUSTIFICACIÓN: La auditoría organizativa es la cual analiza los procedimientos

establecidos, y las responsabilidades frente a los problemas que presente la empresa.

11.- ¿Qué tipo de auditoría es la que analiza la adecuación de los procedimientos

establecidos?

a)      Auditoría de gestión

b)      Auditoria de Calidad
c)       Auditoria informática
d)      Auditoria organizativa

JUSTIFICACIÓN: Es la Organizativa ya analiza la adecuación de los procedimientos

establecidos, de las funciones y de las responsabilidades en función a las necesidades y
problemas de la empresa.

12.- ¿cuál de las siguientes es un área general en la que pueda centrarse la auditoria:

a)      Dirección de informática

b)      Comunicaciones
c)       Usuarios
d)      Seguridad

13.- ¿Cuál de las siguientes NO es un área en que se encuentre una auditoria informática?

a)      Externa
b)      Interna
c)       Usuarios
d)      Dirección de Informática

JUSTIFICACIÓN: Las áreas generales en las que se centra una auditoría informática son
dirección de informática, usuarios, interna y seguridad.

14.- ¿Cuál de los siguientes NO es un ámbito de aplicación de la AI?

a)      De datos de salida
b)      De cifras
c)       De procedimientos
d)      De gestión informática

JUSTIFICACIÓN: Según el ámbito de aplicación se pueden distinguir tres tipos de

auditoría (de cifras, de procedimientos y de gestión informática). Y en ninguna parte se
menciona de datos de salida.

15.- ¿Cuál es la fase 3 de la metodología para la realización de una Auditoria Informática?

a)      Determinación de Recursos

b)      Elaboración del plan
c)       Estudio Previo
d)      Realización

JUSTIFICACIÓN: Las etapas son Definición de ámbito y objetivos, Estudio previo, Determinación de
recursos, Elaboración del Plan, Ejecución y Elaboración del informe final. Y precisamente la tercera es la
alternativa A

16.- La cuarta fase de una metodología típica de auditoría informática es:

a)      Estudio Previo

b)      Definición de ámbito y objetivos.
c)       Determinación de recursos
d)      Elaboración del plan.

JUSTIFICACIÓN: Las etapas son Definición de ámbito y objetivos, Estudio previo,

Determinación de recursos, Elaboración del Plan, Ejecución y Elaboración del informe final.

17.- ¿Cuál de las siguientes NO es una técnica a utilizar en la ejecución de una auditoría?

a)      Entrevista.
b)      Cuestionarios escritos.
c)       Muestreos.
d)      Simulaciones.

JUSTIFICACIÓN: Los cuestionarios o check list han de ser contestados oralmente, a fin de
que el auditor pueda aclarar la respuesta del entrevistado.

18.- La entrevista en una auditoría informática debe…

a)      Seguir un plan predeterminado.

b)      Basarse en un cuestionario específico.
c)       Tomar la forma de una conversación formal.
d)      Buscar una finalidad concreta.
JUSTIFICACIÓN: La entrevista tiene que ser correcta sin llegar a formal, y aunque se
prepare concienzudamente no debe seguir ni un plan predeterminado ni un cuestionario.
Las preguntas deben de surgir de las repuestas del entrevistado, buscando una finalidad
concreta no general.

Publicado por esthefany escobar en 10:05 No hay comentarios:

Enviar por correo electrónicoEscribe un blogCompartir con TwitterCompartir con
Facebook

sábado, 9 de junio de 2012

FORMULARIO DE AUDITORIA DE SISTEMA DE INFORMACIÓN
 RECOMENDACIONES PARA MEJORAR EL SISTEMA.

 
(1)Una de las falencias encontradas por el equipo de Auditoria es en cuanto al Hardware,
una vez realizado el formulario de Auditoria de Sistema de Información, específicamente a
LPC1, pudimos detectar el incumplimiento de la seguridad de los equipos, ya que no se
cuenta con el material necesario para brindar seguridad al equipo (Candado de Seguridad
de PC)
Recomendación: Se sugiere que en el caso de no existir los recursos necesarios para
adquirir los candados exista un lugar físico donde el equipo no pueda sufrir ningún daño
ni hurto, por ejemplo la confección en el escritorio de una caja adaptada al equipo con
seguro.
(2) En cuanto a la distribución de los equipos a la sala LPC1, detectamos que existe el
riesgo de no brindar seguridad, respecto al espacio entre los equipos, ya que en caso de
emergencia, esto dificultaría el desplazamiento de los usuarios al retirarse de la Sala.
Recomendación: El equipo sugiere, la disminución de Equipos en sala, para mejorar el
espacio físico, de esta forma contribuir con los usuarios en cuanto a comodidad, y
desplazamiento dentro del laboratorio, sin dificultad.
(3)En cuanto al software, no existe un sistema de Control Interno, que nos permita saber
quien opera en un equipo dentro del laboratorio, esto hace que el equipo quede expuesto a
posibles, fallas de sistemas, virus, etc.
Recomendación: Implementar un sistema identificatorio, el cual nos permita saber, quien
es el usuario que opera en cada equipo, el tiempo que este ocupa el PC, y que arroje un
informe en cuanto a daños provocados en el sistemas, en el caso de que el usuario deje
problemas en Sistemas.
Publicado por esthefany escobar en 09:47 No hay comentarios:
Enviar por correo electrónicoEscribe un blogCompartir con TwitterCompartir con
Facebook

sábado, 2 de junio de 2012

ISACA

¿Qué es I.S.A.C.A?Es un líder mundialmente reconocido, proveedor de conocimiento,

certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas
de información, gobierno empresarial, administración de TI así como riesgos y
cumplimiento relacionados con TI, además es una entidad sin fines de lucro, de
investigación independiente que proporciona orientación a la comunidad mundial de
negocios sobre temas relacionados con el gobierno empresarial de los activos de TI. El
ITGI fue establecido en 1998 por ISACA, asociación de miembros sin fines de lucro.

¿Cuál es el objetivo de ISACA?

Brindar a nuestros asociados y a la comunidad internacional, el acceso a herramientas y
técnicas actualizadas en auditoria, control y seguridad de tecnología de información.

¿Qué ganancia podría tener un auditor al tener un conocimiento acabado de este

término?Abre la puerta a un vasto conjunto de oportunidades de desarrollo profesional,
investigación, conocimiento, comunidad y liderazgo.
1- Compartir información con los miembros de la Organización de todo el mundo.
2- Crear conocimiento acabado de ciertos temas profesionales que no se poseen
3- Certificarse en las Tecnologías de Información a través de I.S.A.C.A
4- Conexión de los profesionales de T.I a través de una variedad de industrias.
5- ISACA nos entrega valor como profesionales en el ámbito de Auditorias de información,
ya que en la Tecnología de información, un factor determinante es la actualización en el
tema.
6- Se miembro de ISACA y conocer ISACA nos entrega un reconocimiento profesional,
credibilidad y nos da un alto potencial de ingresos.

Publicado por esthefany escobar en 09:13 No hay comentarios:

Enviar por correo electrónicoEscribe un blogCompartir con TwitterCompartir con
Facebook

jueves, 31 de mayo de 2012

JUEGO DE ROLES Especificación de cargos

CARGO : Auditora del control Interno de los Sistemas Informaticos

Esthefany Escobar

Responsabilidad
Me encargo de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos
que tiene nuestra empresa para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de los sistemas de información.

Para asi dar reportes a la alta gerencia para mejorar o lograr un adecuado control interno
en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y
administrativa
 Funciones
1. Participación en el desarrollo de nuevos sistemas:
         evaluación de controles
         cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
         respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
         resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
         fraudes
         control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
         utilitarios.
         control sobre la utilización de los sistemas operativos
         programas utilitarios.

8. Auditoría de la base de datos.

         estructura sobre la cual se desarrollan las aplicaciones...
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software
capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento
de datos.

AUDITOR ENCARGADO
GERENTE GENERAL YMEJ Y ASOCIADOS
JUAN ROJAS V.
Responsabilidad Auditor En cargado del Equipo de Auditoria de Sistemas.
-Verificación del control interno, tanto de las aplicaciones como de los sistemas
informáticos, centrales y periféricos.
-Análisis de la gestión de los sistemas de información desde un vista de riesgo de
seguridad, de gestión y de efectividad de la gestión.
-Análisis de la integridad, fiabilidad y certeza de la información a través delanálisis de las
aplicaciones.
-Auditoría del riesgo operativo de los circuitos de información.
-Análisis de la gestión de los riesgos de la información y de la seguridad implícita.
-Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los
auditores financieros)
-Análisis del estado del arte tecnológico de la instalación revisada y de las consecuencias
empresariales que un desfase tecnológico pueda acarrear.
-Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la organizació

Funciones
a) Integrar los equipos de trabajo para realizar auditorías de tecnologías de información
encomendadas, proponiendo recomendaciones, ejecutando los planes de trabajo y
cumpliendo los procedimientos de control establecidos.
b) Desarrollar el Programa de Auditoría aprobado (pruebas de cumplimiento y/o
sustantivas, según sea aplicable.
c) Obtener información y documentación necesaria de los sistemas o programas
automatizados, a través del relevamiento y/o actualización de los flujogramas o narrativos
que registren la operativa de la institución /proyecto (ciclos y cuentas del balance
vinculadas).
d). Analizar la información tecnológica junto con las normas de reglamentaciones
aplicables, dependiendo del trabajo encomendado.
e). Preparar los papeles de trabajo correspondientes para sustentar debidamente el
trabajo realizado.
f). Identificar los asuntos significativos descubiertos en la auditoría.
g). Realizar las pruebas sustantivas de cierre y asistir en la preparación de las relaciones
analíticas al cierre.
h) Completar los procedimientos de auditoría y la información correspondiente a los
legajos del trabajo, permanente y transitoria.
i) Preparar los borradores de hallazgos de auditoría con los elementos o atributos
respectivos, debidamente sustentados, los mismos que deben ser expuestos de manera
legible en los papeles de trabajo.
j) Evaluar los descargos, por los hallazgos elaborados y determinar su levantamiento o
inclusión como observación en el informe, elaborando las correspondientes
recomendaciones para alcanzarlo al encargado de la comisión.
k) Efectuar el seguimiento y evaluación de medidas correctivas.
 Cargo: Auditor Supervisor.
Nombre: Yasmín Vilches

 Supervisar y Revisar  la seguridad, el control interno, la efectividad, la

gestión del cambio y la integridad de la información.
 Mantener en la medida de lo posible los objetivos de revisión que le
demande la organización. Luego que se hayan establecido estos , el auditor
supervisor debe revisar los controles y evaluar los resultados de su
revisión para determinar las áreas que requieran correcciones o mejoras.
 Así como la verificación del control interno, tanto de las aplicaciones como
de los sistemas informáticos, centrales y periféricos.
 Debe hacer un análisis de la integridad, fiabilidad y certeza de la
información a través del análisis de las aplicaciones.
 Auditar el riesgo operativo de los circuitos de información.
 Hacer una verificación del nivel de continuidad de las operaciones
(conjuntamente con los auditores financieros).
 Analizar el Estado del arte tecnológico de la instalación revisada y de
aclarar las consecuencias empresariales que un desfase tecnológico pueda
acarrear.
 Debe dar un diagnóstico sobre el grado de cobertura que dan las
aplicaciones  a las necesidades estratégicas y operativas de información de
la organización.

Cargo

Mario Farías Mendoza

Director de Auditoria y/o Jefe de Auditoria.

Nuestra auditoría va a ser desarrollada por un equipo de dos o más personas, yo como
responsable del programa de auditoría de información deberé nombrar a uno de los
auditores como jefe del equipo, en caso de mí participación seré el jefe. Este tendrá
responsabilidades particulares que asumir,  estas responsabilidades no deben ignorarse en
el caso de un auditor único ni debe pensarse que no tienen importancia en el caso de una
auditoria.
Dentro de este rol se debe realizar las siguientes funciones:
  Determina la cantidad de trabajo.
  Nombrar a los miembros del equipo. La base de la selección debe ser siempre que el
líder confíe y pueda trabajar bien, además debe pensar en la necesidad de conocimiento o
cualificación especial, desarrollo personal o necesidades de formación. Debido a las
molestias que las auditorias suponen, es recomendable  que se escoja el número de
miembros suficientes para completar el trabajo en no más de tres días.
  Fija una fecha con el candidato que asegure la disponibilidad de todas las partes.
Obviamente, la notificación de las  auditorias debe hacerse siempre a los auditados.
   Comunicar a los miembros del equipo todos los detalles de la logística, objetivos de
la  auditoria y métodos.
  Asignar tareas a los miembros del equipo.
  Se asegura que los miembros del equipo están completamente preparados.
Publicado por esthefany escobar en 17:19 No hay comentarios:
Enviar por correo electrónicoEscribe un blogCompartir con TwitterCompartir con
Facebook

sábado, 26 de mayo de 2012

Outsourcing y Analisis del CASO 26-05-2012

Outsourcing : Consite en movilizar recursos hacia una empresa externa a través de un

contrato.
De esta forma, la compañía subcontratada desarrollará actividades en nombre de la
primera. Por ejemplo: una empresa que ofrece servicios de acceso a internet puede
subcontratar a otra firma para que realice las instalaciones.
 CASO 1
Un distribuidor de artículos para oficina tiene todo un conjunt de criterios para prepara
los precios que ofrece a sus clientes e compras tanto al mayoreo com al menudeo.
Cuando el cliente solicita un pedido, un miembro del grupo de ventas lo prepara y elabora
la factura. Si no existe cantidad suficiente de artículos, se elabora una forma de pedido
que ampara la cantidad faltante de artículos. Los artículos en existencia se envían junto
con su correspondiente factura. La catidad de artículos faltantes se cobra cuando éstos son
enviados al cliente.
La compra de artículos por encima de cierta cantidad recibe un descuento. Sin embargo, el
descuento se ofrece sólo en compras al mayoreo.
Los clinetes que compran al menudeo no reciben ningún descuento, aun si compran
cantidades mayores de cierto nivel mínimo.
Todos los compradores al menudeo pagan impuestos es sus pedidos. Los clientes que
compran al mayoreo no pagan impuestos siempre y  cuando cuenten con registro de
excepción otrogado por el gobierno, enun archivo (de otra forma, también pagan los
impuestos  de sus pedidos).
Todos los cobros se envían a los clinetes por correo, a menos que éstos decidan pagar el
monto del pedido cuando reciban la mercadería.

¿Qué recomendaciones sugiere usted para cambiar y mejorar las funciones del área de
TI?
R= Como asesores de esta empresa, nosotros sugerimos implementar un S.I.A que permita
generar la Facturación en conjunto con una Orden de Pedido  y que permita dejar el
espacio suficiente, para agregar mas productos de los solicitados, para resolver el
problema de hacer otra orden de pedido por lo faltante, además que el sistema deje
pendiente los artículos que aun no se entregan, además de implementar un sistema de
Inventario que permita rebajar la existencias del inventario cada vez que se haga una
venta, además de mejorar la política de Cobro, atravez de un Sistema o modulo que
permita identificar fácilmente quien debe y además de forma automática enviar un correos
a los clientes que mantienen deudas.
Identifique cada uno de los procesos que tiene su caso. 
1º Solicitud de Productos a través de “Orden de Pedido”
2º Facturación Productos y Chequeo de Productos Físicos.
3º Descuentos a Pequeños y Mayoristas en Compras.
4º Política de Cobro de Facturas.
Identifique los riesgos que existan en cada uno de los procesos antes mencionados.  
1º En la solicitud de Productos existe el riesgo de pedir productos que no haigan en
inventario. Además de las diferencias de Precios que siempre surgen entre lo solicitado y
lo que efectivamente esta en el mercado.
2º Respecto la Facturación existe el riesgo de errar en los datos de la empresa a Facturar,
además de Facturar productos que no están en inventario, y errar en el precio de los
mismos.
3º El riesgo en el descuento, puede ser que no se complete la cantidad precisa de compra
para el descuento, y esto puede ocurrir debido a la mala Facturación.
4º Cuando el sistema de Cobro no representa bien o no es confiable respecto a los Clientes
que deben a la empresa, siempre existe el riesgo de no pago del Cliente, esto a raíz de que
no exista cobro por la empresa, entonces esto constituye riesgo de no filtrar bien quien
debe.
Publicado por esthefany escobar en 09:13 No hay comentarios:
Enviar por correo electrónicoEscribe un blogCompartir con TwitterCompartir con
Facebook

sábado, 12 de mayo de 2012

Actividad de clases 12-05-2012

1 Hoy sábado en la clase de auditoria de sistemas  informáticos comenzamos a crear mi

Blogger  nombrado ee-YMEJ  todo esto se realizo en el laboratorio LPC1 de la sede,
impartido por el profesor Roberto Rolando Cretton

2  En la primera  creación de mi Blogger tuve problemas, por lo cual realice todo de

nuevo

3 Mi grupo esta conformado por: Yasmin, Marío, Juan, por ello se llama YMEJ, nuestra
empresa esta dedicada a prestar asesorias  contables y administrativas a distintas
empresas del País

4 Tareas a desarrollar la proxima clase:

   -Definir objetivos y metas de nuestra empresa
   -Definir roles de cada uno dentro de la empresa
   -Creación de un plan de trabajo