CAPTULO 11

AUDITORA DE LA EXPLOTACIN 1. Cules son los componentes de un SI segn el proyecto COBIT? Datos: En general se considerarn datos tanto los estructurados como los no estructurados, las imgenes, los sonidos, etc. Aplicaciones: Se incluyen las aplicaciones manuales y las informativas. Tecnologa: El software y el hardware; los sistemas operativos; los sistemas de gestin de base de datos; los sistemas de red, etc. Instalaciones: En ellas se ubican y se mantienen los sistemas de informacin. Personal: Los de conocimiento especficos que ha de tener el personal de los sistemas de informacin para planificarlos, organizarlos, administrarlos y gestionarlos. 2. Cul es el fin de la carta de encargo? Las responsabilidades del trabajo de auditora deben quedar recogidas en un contrato o carta de encargo antes de comenzar su realizacin (la Norma General nmero 12 de ISACA "Draft Standard #12" se refiere a este aspecto slo en el caso de la auditora interna; pero tambin es de aplicacin a la auditora externa, como queda de manifiesto en otros tipos de auditora=. En ese documento debe quedar reflejado de la forma ms clara posible, entre otros aspectos, cul ser el alcance del trabajo del auditor. 3. Cules son las fases de la planificacin de la auditora? Planificacin estratgica. Planificacin administrativa. Planificacin tcnica.

4. Qu categoras se pueden distinguir en los controles generales? Controles Operativos y de Organizacin Controles sobre el desarrollo de programas y su documentacin Controles sobre Programas y los Equipos Controles de acceso

Controles sobre los procedimientos y los datos

5. Defina control. Cmo se evalan los controles? Se define control como las normas, los procedimientos, las prcticas y las estruct uras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn. Para evaluar los controles es necesario buscar evidencia sobre: La terminacin completa de todos los procesos. La separacin fsica y lgica de los programas fuentes y objetos y de las bibliotecas de desarrollo, las pruebas y la produccin. La existencia de normas y procedimientos para pasar los programas de una biblioteca a otra. Las estadsticas de funcionamiento, donde al menos se incluya: - Capacidad y utilizacin del equipo central y de los perifricos - Utilizacin de la memoria - Utilizacin de las comunicaciones Las normas del nivel de servicios de los proveedores. Los estndares de funcionamiento interno. El mantenimiento y revisin de los diarios de explotacin (Operations Logs). La realizacin del mantenimiento peridico de todos los equipos. La evidencia de la rotacin de los turnos de los operadores y de las vacaciones tomadas

6. Qu diferencias existen entre las pruebas sustantivas y las de cumplimiento? Pruebas de cumplimiento: Se realizan sobre los manuales, consiste en comprobar que se estn cumpliendo las normas establecidas. Pruebas Sustantivas: Revisar las aplicaciones que se han pasado de desarrollo a explotacin y revisar que antes de pasarlas han sido sometidas a un lote de pruebas y las han superado satisfactoriamente. Que esas pruebas cumplen los requisitos y estndares del sector. Que el traspaso ha sido autorizado por una persona con la suficiente autoridad.

7. Cules son los tipos de informes de auditora?

Favorable Desfavorable Con salvedades Denegacin de opinin

8. Cmo estructurara un informe de auditora? La elaboracin y el contenido de los informes de auditora deben ajustarse a las Normas de Auditora de Sistemas de informacin Generalmente Aceptadas y Aplicables NASIGAA, a la hora preparar el informe se debe tener en cuenta las siguientes
necesidades y caractersticas: Debe contener un prrafo en el cual indique los objetivos que se pretende cumplir, si alguno de los objetivos no se pudiera alcanzar, se debe indicar en el informe. El informe de auditora debe mencionar cules son las NASIGAA que se ha seguido para realizar el trabajo de auditora. Tambin las excepciones en el seguimiento de estas normas, el motivo de no seguirlas, y debe indicar los efectos potenciales que pudiera tener en los resultados de la auditora. Se debe mencionar el alcance de la auditora, as como describir la naturaleza y la extensin del trabajo de la auditora, en el prrafo debe indicar el rea/proceso, el periodo de la auditoria, el sistema, las aplicaciones y los procesos auditados. Indicarn las circunstancias que haya limitado el alcance cuando, en opinin del auditor no se haya podido completar todas las pruebas y procedimientos diseados o cuando el auditario haya puesto restricciones o limitaciones al trabajo de la auditora. El auditor debe expresar en el informe su opinin sobre el rea o proceso auditado. El informe de auditora debe presentarse de una forma lgica y organizada. Debe contener la informacin suficiente para que sea comprendido por el destinatario y este pueda llevar a cabo las acciones pertinentes para introducir las correcciones oportunas que mejoren el sistema.

9. Defina los tipos de archivos parciales y el contenido de cada uno Archivo permanentes: Contiene todos aquellos papeles que tienen un inters continuo y una validez plurianual como: Caractersticas de los equipos y de las aplicaciones. Manuales de los equipos y de las aplicaciones. Descripcin del Caractersticas de los equipos y de las aplicaciones. Manuales de los equipos y de las aplicaciones.

Descripcin del control interno. Organigramas de la empresa en general. Organigramas del Servicio de Informacin y divisin de funciones. Cuadro de planificacin plurianual de auditora. Escrituras y contratos. Consideraciones sobre el negocio. Y en general toda aquella informacin que puede tener una importancia para auditoras posteriores. Archivo corriente: A su vez se suele dividir en archivo general y en archivo de reas o de procesos. Archivo general: Los documentos que se suelen archivar aqu son aquellos que no tienen cabida especfica en algunas de las reas/procesos en el que hemos dividido le trabajo de auditora tales como: - El informe del auditor. - La carta de recomendaciones - Los Acontecimientos posteriores. - El Cuadro de planificacin de la auditora corriente. - La correspondencia que se ha mantenido con la direccin de la empresa. - El tiempo que cada persona del equipo ha empleado en cada una Archivo por reas/procesos: Se debe preparar un archiv para cada uno de las reas o procesos en los que se hayan dividido el trabajo e incluir en cada archivo todos los documentos en hayan necesitado para realizar el trabajo de esa rea/proceso concreto. Al menos deber incluirse los siguientes documentos. o Programa de auditora de cada una de las reas/procesos. o Conclusiones del rea/proceso en cuestin. o Conclusiones del procedimiento en cuestin. 10. Explique algunos objetivos de control a revisar en la auditoria de la explotacin de los sistemas informticos
Comprobar que la empresa tiene normas escritas de cmo deben hacerse los traspasos de programas en desarrollo a programas en explotacin. Verificar la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar que el desarrollo de SI se ha llevado a cabo segn estos principios. Obtener un conjunto de especificaciones formales que describan las necesidades que deben ser cubiertas. Mejorar de la calidad del Software como factor de xito.