You are on page 1of 4

CAPITULO 11 AUDITORIA DE LA EXPLOTACION Cuestiones de Repaso: 1. Cuáles son los componentes de un SI según el proyecto CobiT ? • • • • • Datos.

En general se consideran datos tanto los estructurados como los no estructurados, las imágenes, los sonidos, etc. Aplicaciones. Se incluyen las aplicaciones manuales y las informativas Tecnología. El software y el hardware, los sistemas operativos, los sistemas de gestión, los sistemas de red, etc. Instalaciones. En ellas se ubican y se mantienen los sistemas de información Personal. Los conocimientos específicos que ha de tener el personal de los sistemas de información para planificarlos, organizarlos, administrarlos y gestionarlos.

2. Cuál es el fin de la carta de encargo? El fin es recoger o plasmar las responsabilidades de un trabajo de auditoría; además, determinar el alcance del trabajo de auditoría. 3. Cuáles son las fases de la Planificación de la Auditoría? • • • Planificación estratégica Planificación administrativa Planificación técnica

4. Que categoría se puede distinguir en los controles generales? • • • • • Controles operativos y de organización Controles sobre el desarrollo de programas y su organización

Controles sobre los programas y los equipos Controles de acceso Controles sobre los procedimientos y los datos

5. Defina “control”. Como se evalúan los controles? • Según COSO control es: Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de las empresas se alcanzaran y que los eventos no deseados se preverán, se detectarán y se corregirán. • Para evaluar los controles es necesario encontrar evidencia sobre: o La terminación total de todos los procesos.

. utilización de la memoria. 8. 7. El auditor no posee los suficientes elementos de juicio para emitir su opinión. el sistema auditado es válido pero posee fallas que no lo invalidan • Informe de denegación de opinión. o La existencia de normas y procedimientos para pasar los programas de una biblioteca a otra. el alcance que vaya a tener. las debilidades encontradas y las conclusiones a las que se lleguen. el sistema auditado es satisfactorio • Informe desfavorable.o La separación física y lógica de los programas fuente y objetos y de las bibliotecas de desarrollo. Que diferencias existen entre las pruebas sustantivas y las de cumplimiento? Las Pruebas de cumplimiento consisten en comprobar que se están cumpliendo las normas previamente establecidas en los manuales. de pruebas y de producción. Cuáles son los tipos de informes de auditoría? • Informe favorable. El informe es un instrumento que debe contener: Los objetivos de la auditoría. utilización de las telecomunicaciones. o Las estadísticas de funcionamiento. El sistema auditado tiene múltiples fallas • Informe con salvedades. Como se estructura un informe de auditoría? Para estructurar un informe de auditoría se debe utilizar las Normas de Auditoría de Sistemas de Información Generalmente Aceptadas y Aplicables (NASIGAA) y además tener en cuenta las normas 9 y 10 emitidas por ISACA. pero las Pruebas sustantivas son aquellas que se usan cuando no existen manuales o normas establecidas. 6. donde se incluya: Capacidad y utilización del equipo central y de los periféricos. o Las normas de nivel de servicios de los proveedores o Los estándares de funcionamiento interno o El mantenimiento y revisión de los diarios de explotación o La realización del mantenimiento periódico de todos los equipos o La evidencia de la rotación de los turnos de los operadores y de las vacaciones tomadas. Además el informe debe contener información adicional.

para que le permita al auditado poner en ejecución inmediata las recomendaciones del mismo. . Programa de auditoria de cada una de las áreas/procesos Conclusiones del área/proceso en cuestión Conclusiones del procedimiento en cuestión. El informe debe contener la entidad que se audita y la fecha de emisión. este se subdivide en: o Archivo general y archivos de áreas de proceso. contiene todos los papeles que tienen un interés continuo y una validez plurianual. Archivo corriente. además contener las restricciones de distribución del documento para que el informe no llegue a manos indebidas. El informe debe presentarse de manera lógica y organizada y debe ser comprensible para el auditado El informe debe ser emitido en el momento apropiado. así como las causas y sus efectos y las recomendaciones para mejorar o eliminar las debilidades. o Archivo general: Son aquellos que no tiene cabida específica en algunas de las áreas/procesos en que hemos dividido el trabajo de auditoria. tales como: o Característica de los equipos y de las aplicaciones o Manuales de los equipos y de las aplicaciones o Organigrama de la empresa en general o Organigramas del servicio de información y división de funciones o Cuadro de planificación plurianual de auditoria o Escrituras y contratos o Consideraciones obres el negocio o Consideraciones sobre el sector o Y toda aquella información que pueda tener importancia para auditorias posteriores. el motivo de no seguirlas y cuando proceda indicar los potenciales efectos que pudiera tener en los resultados de la auditoría. Defina los tipos de archivos principales y contenido de cada uno? • Archivo permanente. Indicando las excepciones en el seguimiento de estas normas técnicas. El informe del auditor La carta de recomendaciones Los acontecimientos posteriores El cuadro de aplicaciones de la auditoria corriente Correspondencia que se ha mantenido con la dirección de la empresa El tiempo que cada persona del equipo a empleado en cada área/proceso o Archivos por áreas/procesos: Se debe prepara un archivo para cada área o proceso en que hayamos dividido el trabajo e incluir en cada archivo los documentos que hayamos necesitado para realizar el trabajo de esa área/proceso concreto.El informe debe plasmar cuales son las NASIGAA que se han seguido para realizar el trabajo. 9. El informe debe contener las debilidades detectadas en el SI del auditado.

Planificación administrativa (planificación técnica: programa de trabajo). . establecimiento de objetivos). • Revisiones de informes: Revisión del trabajo. distribución de informes. Especifique algunos objetivos de control a revisar en la auditoria de la explotación de los sistemas informáticos. • Realizar el trabajo: actualización del programa de trabajo.10. elaboración de informes. • Fin: archivar los papeles de trabajo. pruebas sustantivas. • Inicio: contrato o carta de encargo • Planificación: Planificación estratégica (estudio y evaluación de riesgos. pruebas de cumplimiento.