Capítulo 1: La Informática como Herramienta del Auditor Financiero.
1) Cuáles son los elementos fundamentales del concepto de auditoria?
El contenido proviene de una opinión con una condición profesional, sustentada en determinados procedimientos, una determinada información obtenida de un soporte y su finalidad es determinar si presenta adecuadamente la realidad o esta responde a las expectativas que le son atribuidas, es decir, su fiabilidad.
2) Cuantas clases diferentes de auditoria existen?
Financiera, Informática, Gestión y Cumplimiento.
3) Qué sector es uno de los principales usuarios de las auditorias?
Las bancas a partir del siglo XX.
4) Que ventajas aporta el computador respecto al trabajo manual?
Bajo costo de explotación y operación, rendimiento constante y excelente consistencia.
5) Que significan las siglas CAAT?
Técnicas de Auditoria Asistidas por Computador
6) En que afecta los auditores la introducción de las TI en los sistemas de información?
Cambia el soporte del objeto de su actividad y posibilita la utilización de medios informatizados (CAATs) para la realización de sus procedimientos.
7) Qué diferencia hay entre auditoría y consultoría?
La auditoría es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumplen las definiciones que le han sido prescritas mientras que la consultoría consiste en dar asesoramiento o consejo sobre lo que se ha de hacer o como llevar adecuadamente una determinada actividad para obtener los fines deseados.
8) Cuáles son las ventajas de la informática como herramienta de la auditoría financiera?
Inspección: como la comparación de datos en dos archivos o cuentas distintas, conciliaciones Cálculo: de amortizaciones, provisiones, ratios, etc.
Análisis: regresiones o datos que cumplan determinadas condiciones. Confirmación: calculo estadístico, selección y emisión de muestras, cumplimiento, etc.
9) Que pueden aportar los sistemas expertos a la auditoria informática?
Es en el análisis y evaluación del control interno.
10) Cuáles son las razones de la baja utilización de las TI como herramienta de la auditoría financiera?
10- Costo Económico: falta de convencimiento en cuanto a la diminución de los costos.
Complejidad Técnica: se depende de los técnicos, no se puede revisar los trabajos de los técnicos, problemas de comunicación entre el técnico y auditor, costos de los técnicos.
Falta de Entrenamiento y Experiencia: es innegable que la utilización de las
técnicas de auditoria asistidas por computador requieren un mínimo de entrenamiento y conocimiento.
Capítulo 2: Control Interno y Auditoria Informática.
1- Que cambios en las empresas provocan tensión en el control existente?
2- Cuáles son las funciones del control interno informático?
3- Cuáles son los objetivos de la Auditoria Informática?
4- Cuáles son las semejanzas y diferencias entre el Control Interno y Auditoria
Informática?
5- Ponga ejemplo de controles correctivos en diversas áreas informáticas.
6- Cuáles son los principales controles en el área de desarrollo?
7- Que procesos definiría para controlar la informática distribuida y las redes?
8- Que controles se deberían establecer en las aplicaciones?
9- Como justificaría ante un directivo de empresa la inversión necesaria en control y auditoria informática?
10- Describa la informática como modo de estructuración de las empresas.
Respuestas
1) La reestructuración de los procesos empresariales, la gestión de calidad total, el redimensionamiento por reducción y/o aumento del tamaño hasta el nivel correcto, la contratación externa y la descentralización.
2) Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de la Auditoria informática, así como las de auditoria externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio de informática.
Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades operativas.
3) Objetivos de Protección de activos e integridad de datos y Objetivos de gestión que abarcan, no solo de protección de activos, sino también los de eficacia y eficiencia.
4) SIMILITUDES: conocimientos especializados en TI, verificación de cumplimiento de
Controles internos, normativa y procedimientos establecidos por la Dirección Informática y la Dirección General por los sistemas de información. DIFERENCIAS:
Control Interno Informático: análisis de controles en el día a día, informa a la
Dirección del departamento de informática, solo personal interno, el alcance de sus funciones es únicamente sobre el departamento de informática.
Auditoria Informática: análisis de un momento informático determinado, informa
A la Dirección General de la Organización Personal interno y/o externo, tiene cobertura sobre todos los componentes de los sistemas de información de la organización.
5) Por ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad.
6) Objetivo de Control de Mantenimiento: asegurar que las notificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas.
Objetivo de Control de Seguridad de Programas: garantizar que no se pueden efectuar cambios no autorizados en los procedimientos programados.
7) Cabe mencionar algunos de estos controles: Planes adecuados de implantación, conversión y pruebas de aceptación para la red. Existencia de un grupo de control de red. Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida. Procedimientos que definan las medidas y controles de seguridad a ser usados en la red informática en conexión con la distribución del contenido de bases de datos entre los departamentos que usan la red. Existencia de inventario de todos los activos de red. Procedimientos de respaldo del hardware y software de la red.Existencia del mantenimiento preventivo de todos los activos.
8) Control de entrada de datos.
Controles de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados.
Controles de salidas de datos.
9) >Racionalización de los Costos. Mejora de la capacidad de toma de decisiones, haciendo estas más rápidas y de menos riesgo, al contar, de manera inmediata, con la información precisa. Mejora de la calidad de servicios debido al incremento de la capacidad para adaptarse dinámicamente al mercado. Nacimiento de servicios a clientes basados en la nueva tecnología sin cuyo uso serían imposibles de ofrecer.
10) La informática no es algo neutro en la empresa, sino que tiene un efecto estructurante que, añadido a su carácter cada vez más intensivo, a la variedad creciente de aplicaciones y a los de medios distribuidos, la hacen estratégica. Todo ello ha permitido mejorar, de manera sustancial, los resultados económicos al tiempo que se han disparado los costes de las inversiones informáticas.
Capítulo 3: Metodologías de Control Interno, Seguridad y Auditoria Informática.
1-Que diferencias y similitudes existen entre las metodologías cualitativas y las cuantitativas? Qué ventajas y que inconvenientes tienen?
2- Cuales son los componentes de una contramedida o control? Que papel se
Desempeñan las herramientas control? Cuáles son las herramientas control más frecuente?
3- Que tipos de metodologías de plan de contingencia existen? En que se diferencian? Que es un plan de contingencia?
4- Que metodologías de auditoria existen? Para que su usa cada una?
5- Que es el nivel de exposición y para qué sirve?
6- Que diferencias existen entre las figuras de auditoria informática y control interno informática? Cuáles son las funciones más importantes para este?
7- Cuales son las dos metodologías más importantes para control interno informático? Para que sirve cada una?
8- Que papel tienen las herramientas de control en los controles?
9- Cuales son los objetivos de control en el acceso lógico?
10-Que es el Single SignOn? Por qué es necesario un software especial para el control de acceso en los entornos distribuidos?
Respuestas:
1) Las cuantitativas están basadas en un modelo matemático numérico que ayuda a la realización del trabajo mientras que las cualitativas están basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia seleccionada. PROS de la Metodología Cuantitativa: Enfoca pensamientos mediante el uso de números Facilita la comparación de vulnerabilidades muy distintas. Proporciona una cifra justificante para cada contramedida.
PROS de la Metodología Cualitativa:
>>Enfoque lo amplio que se desee.
>>Plan de trabajo flexible y reactivo.
>>Se concentra en la identificación de eventos.
>>Incluye factores intangibles.
CONTRAS de la Metodología Cuantitativa:
>>Estimación de probabilidad depende de estadísticas fiables inexistentes.
>>Estimación de las pérdidas potenciales solo si son valores cuantificables.
>>Metodologías estándares.
>>Difíciles de mantener o modificar.
>>Dependencia de un profesional.
CONTRAS de la MetodologíaCualitativa:
>>Depende fuertemente de la habilidad y calidad del personal involucrado.
>>Puede excluir riesgos significantes desconocidos.
>>Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas al calcular.
>>Dependencia de un profesional.
2) Fase 1 es la definición de objetivos de control, la Fase 2 definición de los controles y la Fase 3 es implantación de los controles.
Las herramientas de control permitente son elementos software que por sus características funcionales permiten vertebrar un control de una manera más actual y automatizada.
Las herramientas de control más comunes son:
-Seguridad lógica de sistema.
-Seguridad lógica complementaria al sistema.
-Seguridad lógica para entornos distribuidos.
-Control de acceso físico.
-Control de copias.
-Gestión de soportes magnéticos.
-Gestión y control de impresión y envío de listados por red.
-Control de proyectos. Control de versiones. Control y gestión de incidencias.-Control de cambios.
3) El plan de Contingencia es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos para restauración progresiva. La metodología que componen el plan de contingencia es:
>>Fase I: Análisis y Diseño.
>>Fase II: Desarrollo del Plan.
>>Fase III: Pruebas y Mantenimientos.
Se agrega en que en una práctica habitual es realizar la Fase I y contratar un servicio de back up sin desarrollar las fases I y III. Esto no solo constituye un error conceptual, sino que en realidad solo tiene un estudio y un contrato de servicios pero no un plan de contingencias.
4) Controles Generales: es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera.
Auditores Internos: se encargan de demostrar con pruebas todas sus afirmaciones, y por ellos siempre debe contener el apartado de las pruebas.
5) Es un número definido subjetivamente y que permite en base a la evaluación final de una auditoría realizada definir la fecha de repetición de esa misma auditoria. Este número no se debe confundir con ningunos de los parámetros de análisis de riesgo. El valor nivel de exposición significa la suma de factores como impacto, peso del área, situación de control en el área. O sea se puede incluso rebajar el nivel de un área auditada porque está muy bien y no merece la pena de revisarla a menudo.
6) La Auditoria informática: Tiene la función de vigilancia y evaluación mediante dictámenes, y todas sus metodologías van encaminadas a esta función. Tiene sus propios objetivos distintos a los auditores de cuentas, aunque necesarios para que estos puedan utilizar la información de sus sistemas para sus evaluaciones financieras y operativas. Evalúan eficiencia, costo y seguridad en su más amplia visión, esto es todos los riesgos informativos, ya sean los clásicos, o los costos y los jurídicos, dado que ya no hay una clara separación en la mayoría de los casos.
7) –Definición de propietarios y perfiles según clasificación de la información.
• -Administración delegada en control dual de la seguridad lógica.
• -Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan de seguridad.
o Promover el plan de seguridad informática al comité de seguridad
• -Dictar normas de seguridad informática.
• -Definir los procedimientos de control.
• -Control del entorno de desarrollo.
• -Control de soportes magnéticos según la clasificación de la información.
• -Control de soportes físicos.
• -Control de información comprometida o sensible.
• -Control de microinformática y usuarios.
• -Control de calidad de software.
• -Control de Calidad de servicio informático.
• -Control de costes, etc.
8) Las herramientas de control son elementos software que por sus características funcionales permiten vertebrar un control de una manera más actual y más automatizada.
9) Objetivos de Control de Acceso Lógico
• Segregación de funciones entre los usuarios del sistema.
• Integridad de los log e imposibilidad de desactivarlos por ningún perfil para poder revisarlos. Fácilmente legibles e interpretables por control informático.
• Gestión centralizada de la seguridad o al menos única.
• Contraseña única para los distintos sistemas de la red.
• El sistema debe rechazar a los usuarios que no usan la clave o los derechos de uso correctamente, inhabilitando y avisando a control, que tomara las medidas oportunas.
• Separación de entornos.
• El log, o los log’s, de actividad no podrán desactivarse a voluntad, y si se duda de su integridad o carencia, resolver con un terminal externo lo controlado.
• El sistema debe obligar al usuario a cambiar la contraseña, de forma que solo la conozca el, que es la única garantía de autenticidad de sus actos.
• Es frecuente encontrar mecanismos de auto-logout, que expulsan del sistema a la terminal que permanece inactiva más de un tiempo determinado, que son ayudas adicionales a la seguridad.
10) El Single Sign ON.
Este concepto podemos definirlo como: “Que es necesario solamente un password y un User ID, para un usuario, para acceder y usar su información y sus recursos, de todos los sistemas como si de un solo entorno se tratara.” Tras los pasos anteriores, no queda más que comprar el producto e instalarlo, así como implantar el nuevo esquema de seguridad lógica. Y tras esto, dar la formación apropiada a los implicados y desarrollar los procedimientos de control, que generan procedimientos operativos para los usuarios de aplicaciones, los usuarios informativos y los administradores de seguridad lógica. Todo este complejo proceso es vital hacerlo de modo ordenado y usando un método que permita en todo momento saber que se quiere y que se puede conseguir con los productos existentes de control de entornos, tratando de suplir con procedimientos de control los huecos de la tecnología.
