GUIA DE AFI UNIDAD IV

Guía Administración de la Función Informática  Unit IIII

1. - Es un proceso que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

Auditoria Informática

2. ¿Qué permite la auditoria informática?

 Detectar de forma sistemática el uso de los recursos y los flujos de información

3.-Define  “Auditar”.

a) Estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen los objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

4. Es un objetivo de la auditoria informática

 Analizar la eficiencia de los Sistemas Informáticos

5. ¿Qué características de la empresa se pueden mejorar con la auditoria informática?

Desempeño, Fiabilidad, Eficacia y Rentabilidad

6. ¿Generalmente en qué áreas se desarrolla la auditoria informática?

Gobierno corporativo, Servicios de Entrega y Soporte así como  Administración del Ciclo de vida de los sistemas

7. Que prácticas se han desarrollado para el ejercicio de la auditoria informática

COBIT, COSO e ITIL

8. Que certificación consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

CISA

9. Cuál de los siguientes No es un tipo de Auditoria de Sistemas.

 Auditoria de acceso a la información publica

10.  Que audita la Auditoria de las bases de datos

 Controles de acceso, de actualización, de integridad y calidad de los datos.

11. Que audita la Auditoria de los datos

 Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.

12. Que audita la Auditoria de la seguridad física

 Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta.

13. Que audita la Auditoria de  seguridad lógica

Comprende los métodos de autenticación de los sistemas de información.

14. Que audita la seguridad

Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio

15. ¿Qué pruebas realiza el auditor en la realización de una auditoria informática?

Pruebas sustantivas y de cumplimiento

16. ¿Qué hacen las pruebas sustantivas?

Verifican el grado de confiabilidad del SI del organismo

17. ¿Qué hacen las pruebas de cumplimiento?

Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra

18. Son herramientas de las que dispone un auditor informático

Observación, Realización de cuestionarios, Entrevistas a auditados y no auditados, Muestreo estadístico y Flujogramas

19. Porque es importante definir los alcances y objetivos en la auditoria Informática

Porque debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

20. Que se realiza en la etapa de definición de Alcance y Objetivos.

Se definen los alcances y objetivos de la auditoria y   una vez definidos los objetivos, éstos se añadirán a los objetivos generales y comunes de  toda la auditoria Informática.

21. ¿Qué debe realizar el auditor para realizar la auditoria?

Organización, Aplicaciones bases de datos y ficheros, Determinación de recursos de la auditoria Informática,  Recursos materiales y Recursos Humanos

22. ¿En que debe fijarse el equipo auditor para conocer quién ordena, quién diseña y quién ejecuta?

Organigrama, Departamentos, Relaciones Jerárquicas y funcionales entre órganos de la Organización, Flujos de Información, Número de Puestos de trabajo y Número de personas por Puesto de Trabajo.

23. ¿Qué es el organigrama?

Expresa la estructura oficial de la organización a auditar.

24. ¿Qué son los Departamentos?

Los órganos que siguen inmediatamente a la Dirección.

25. ¿Qué son las Relaciones Jerárquicas y funcionales entre órganos de la Organización?

Expresa la estructura oficial de la organización a auditar.

26. ¿Qué extremos debe determinar el auditor para debe poseer una adecuada referencia del entorno en el que va a desenvolverse?

Arquitectura y configuración de Hardware y Software, Inventario de Hardware y Software y Comunicación y Redes de Comunicación:

27. ¿Qué hará el auditor en el inventario de Hardware y Software?

Recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación.

28. ¿Qué hará el auditor en la Situación geográfica de los Sistemas?

Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa.

29. ¿Qué hará el auditor en la Arquitectura y configuración de Hardware y Software?

Deben tener en su poder la distribución e interconexión de los equipos.

APUNTE PARA (miercoles 20/Agosto/2014

FASES DE LA AUDITORIA INFORMÁTICA

Fase I:   Conocimientos del Sistema

Fase II:    Análisis de transacciones y recursos

Fase III:   Análisis de riesgos y amenazas

Fase IV:   Análisis de controles

Fase V:    Evaluación de Controles

Fase VI:   El Informe de auditoria

Fase VII:   Seguimiento de las Recomendaciones

FASE I: CONOCIMIENTOS DEL SISTEMA

1.1. Aspectos Legales y Políticas Internas.

Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación.

1.2.Características del Sistema Operativo.

ü  Organigrama del área que participa en el sistema

ü  Manual de funciones de las personas que participan en los procesos del sistema

ü  Informes de auditoría realizadas anteriormente

1.3.Características de la aplicación de computadora

ü  Manual técnico de la aplicación del sistema

ü  Funcionarios (usuarios) autorizados para administrar la aplicación

ü  Equipos utilizados en la aplicación de computadora

ü  Seguridad de la aplicación (claves de acceso)

ü  Procedimientos para generación y almacenamiento de los archivos de la aplicación.

FASE II: ANÁLISIS DE TRANSACCIONES Y RECURSOS

2.1.Definición de las transacciones.

Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos.  La importancia de las transacciones deberá ser asignada con los administradores.

2.2.Análisis de las transacciones

ü  Establecer el flujo de los documentos

En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.

2.3.Análisis de los recursos

ü  Identificar y codificar los recursos que participan en el sistemas

2.4.Relación entre transacciones y recursos

FASE III: ANÁLISIS DE RIESGOS Y AMENAZAS

3.1.Identificación de riesgos

ü  Daños físicos o destrucción de los recursos

ü  Pérdida por fraude o desfalco

ü  Extravío de documentos fuente, archivos o informes

ü  Robo de dispositivos o medios de almacenamiento

ü  Interrupción de las operaciones del negocio

ü  Pérdida de integridad de los datos

ü  Ineficiencia de operaciones

ü  Errores

3.2.Identificación de las amenazas

ü  Amenazas sobre los equipos:

ü  Amenazas sobre documentos fuente

ü  Amenazas sobre programas de aplicaciones

3.3.Relación entre recursos/amenazas/riesgos

La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.

FASE IV: ANÁLISIS DE CONTROLES

4.1. codificación de controles

Los controles  se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.

4.2.Relación entre recursos/amenazas/riesgos

La relación con los controles debe establecerse para cada tema(Rec/Amz/Rie) identificado.  Para cada tema debe establecerse uno o más controles.

4.3.Análisis de cobertura de los controles requeridos

Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos

FASE V: EVALUACIÓN DE CONTROLES

5.1.Objetivos de la evaluación

ü  Verificar la existencia de los controles requeridos

ü  Determinar la operatividad y suficiencia de los controles existentes

5.2.Plan de pruebas de los controles

ü  Incluye la selección del tipo de prueba a realizar.

ü  Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.

5.3.Pruebas de controles

5.4.Análisis de resultados de las pruebas

FASE VI: INFORME DE AUDITORIA

            Informe detallado de recomendaciones

6.2.     Evaluación de las respuestas

6.3.     Informe resumen para la alta gerencia

Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la áreas.

ü  Introducción: objetivo  y contenido del informe de auditoria

ü  Objetivos de la auditoría

ü  Alcance: cobertura de la evaluación realizada

ü  Opinión: con relación a la suficiencia del control interno del sistema evaluado

ü  Hallazgos

ü  Recomendaciones. 

 

TRABAJO FINAL UNIDAD III
 Elaborar una propuesta a partir de un estudio de caso que contenga:

1.-Planeación de la Auditoría Informática

2.-Instrumentos

3.-Resultados de  la Auditoría.

 Instrucciones:

- El trabajo se hará en equipos de 3 integrantes.

- El documento se realizara en Word y en formato PDF.

- El formato de la fuente será arial 11, interlineado 1.5, títulos arial 14, justificado.

- El documento deberá contener una portada donde incluya lo siguiente:

·         Nombre de la universidad.

·         Nombre de la materia.

·         Tema.

·         Nombre completo de los integrantes.

·         Lugar y fecha.

- El  documento debera ser subido a la nube y posteriormente pegar la liga del trabajo en esta entrada del blog. 

- El nombre de documento deberá cumplir con el siguiente formato: A3_AP_nombre del equipo, por ejemplo:

·         A3_AP_Desarrollo_e_innovación.

- Al final del documento cada alumno redactara su propia conclusión a cerca del trabajo y su desempeño durante la realización del mismo.

-La fecha de entrega de este trabajo es el día 21/ Agosto del 2014 antes de las 16:00 hrs.

Rubrica: Se evaluara de acuerdo a:

Criterio	Ponderación
Calidad del contenido	70
Ortografía	15
Puntualidad en la entrega	15

AUDITORIA INFORMÁTICA (Tarea Miércoles 13/08/2014)

 Objetivos

•          Presentar recomendaciones en función de las fallas detectadas.

•           Determinar si la información que brinda los Sistemas de Informáticos es útil.

•           Inspeccionar el Desarrollo de los Nuevos  Sistemas.

•           Verificar que se cumplan las normas y políticas de los procedimientos.

Tipos

Interna: Aplicada con el personal que labora en la empresa.

Externa: Se contrata a una firma especializada para realizar la misma.

Aspectos Fundamentales en la Auditoría de los Sistemas de Información

·         Auditoría Informática de Desarrollo de  Aplicaciones

Cada una de las fases del desarrollo de las nuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, así como también insatisfacción de los usuarios.

·         Auditoría de los Datos de Entrada

Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas.

·         Auditoría Informática de Sistemas

Sistema Operativo: Verificar si la versión instalada permite el total funcionamiento del software que sobre ella se instala, si no es así determinar la causa.

Software de Aplicación: Determinar el uso de  las aplicaciones instaladas.

Comunicaciones: Verificar que el uso y el rendimiento de la red sea el más adecuado .

·         Técnicas de Auditoría

Existen varias técnicas de Auditoría Informática de Sistemas, entre las cuales se mencionan:

Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo.   Entre los datos que se deben incluir en una prueba

se tienen:

1.       Datos de Excepción.

2.       Datos Ilógicos.

3.       Transacciones Erróneas

Auditoría para el Computador: Permite determinar  si el uso de los equipos de computación es el idóneo.  Mediante esta técnica, se detectan  equipos sobre y subutilizados.

      Prueba de Minicompañía: Revisiones periódicas  que se realizan a los Sistemas a fin de determinar nuevas necesidades. 

Peligros Informáticos

•          Incendios: Los recursos informáticos son muy sensibles a los incendios, como por  ejemplo reportes impresos, cintas, discos. 

•          Inundaciones: Se recomienda que el Departamento  de computación se encuentre en un nivel alto. La Planta Baja y el Sótano son lugares propensos a las  inundaciones. 

•          Robos: Fuga de la información confidencial de la   empresa. 

•          Fraudes: Modificaciones de los datos dependiendo de intereses particulares.