Auditora Informtica, un enfoque prctico (Piattini y Del
Peso)-Captulo 4: Informe de auditora
Preguntas con una respuesta de mltiples opciones1. Los cambios
tecnolgicos hacen ms prctico el modelo legislativo:a) Latinob)
Europeoc) Norteamericanod) Asitico
2. Hay organismos que pretenden unificar la normas y promocionar
estndares, como:a) Comit Europeo de Normalizacin (CEN)b)
Organizacin de Estndares Internacionales (ISO)c) Asociacin de
Control y Auditora de Sistemas de Informacin (ISACA)d) Todas las
anteriores
3. La evidencia se considera relevante por:a) Ser vlida y
objetivab) Tener relacin con objetivos de la Auditorac) Soportar la
opinin del auditord) Afectar conclusiones del auditor
4. Si en el proceso de Auditora se detecta fraude:a) Conviene
consultar al asesor jurdicob) El auditor es responsable primario de
detectar irregularidadesc) El costo de la auditora no varad) Se
suspende el proceso de auditora
5. La opinin del Auditor es desfavorable si:a) No puede el
auditor dar su opininb) Realiz un trabajo sin limitaciones de
alcance y sin incertidumbrec) Encuentra ciertas irregularidades
poco significativasd) Detecta gran cantidad de errores
importantes
Preguntas con respuesta de V (Verdadero) o F (Falso)1. De
existir fraude, conviene omitir la lectura del Cdigo Penal( F )2.
La evidencia es adecuada si afecta las conclusiones del auditor( V
)3. La tica ampla desfase entre expectativas del usuario y el
informe de auditores( F )4. Normativa aplicada se refiere a normas
legales y profesionales utilizadas( F )5. Redactar Informe previo
es recomendable si no se han detectado irregularidades( F )
Completar la expresin1. Existen previos al informe aspectos
como: normas, evidencias, irregularidades, papeles de trabajo.2.
Hay dos tendencias legislativas: la anglosajona con pocas leyes y
generales; y la latina que es muy detallada.3. La evidencia debe
ser relevante, fiable, suficiente y adecuada.4. Si se detecta
fraude al realizar la Auditora, se debe consultar a: la Comisin
Deontolgica Profesional y al asesor jurdico; as como leer el Cdigo
Penal.5. La opinin puede ser: favorable, con salvedades,
desfavorable o denegada.
Preguntas de desarrollo1. Explique la diferencia entre las dos
tendencias legislativas. Cul considera ms prctica y porque?La
diferencia radica en que la legislacin anglosajona tiene pocas
leyes y jurisprudencia relevante, mientras que la legislacin latina
es muy detallada. Los cambios tecnolgicos hacen ms prctica la
legislacin anglosajona, porque en Estados Unidos tanto la Auditora
como la Informtica tienen un desarrollo muy experimentado, y sobre
todo, adaptativo.
2. Mencione y explique los calificativos de la evidencia.
Evidencia relevante, que tiene una relacin lgica con los objetivos
de la auditora. Evidencia fiable, que es vlida y objetiva, aunque
con nivel de confianza. Evidencia suficiente, que es de tipo
cuantitativo para soportar la opinin profesional del auditor.
Evidencia adecuada, que es de tipo cualitativo para afectar a las
conclusiones del auditor.
3. Qu son irregularidades? Explique quien tiene la
responsabilidad de detectar irregularidadesSon los fraudes y los
errores, especialmente los primeros que se encuentran durante una
Auditora. En los organismos y las empresas, la Direccin tiene la
responsabilidad principal y primaria de la deteccin de
irregularidades, fraudes y errores.
4. En qu consiste la documentacin, a qu informacin se
refiere?Tambin conocido como papeles de trabajo es la totalidad de
documentos preparados o recibidos por el auditor, de manera que, en
conjunto, constituyen un compendio de la informacin utilizada y de
las pruebas efectuadas en la ejecucin de su trabajo, junto con las
decisiones que ha debido tomar para llegar a formarse su
opinin.
5. Explique los 4 tipos de opinin que puede tener el informe.
Favorable, sin salvedades o limpia, se manifiesta de forma clara y
precisa, y es el resultado de un trabajo realizado sin limitaciones
de alcance y sin incertidumbre. Con salvedades, cuando las
salvedades son significativas en relacin con los objetivos de la
auditora, describindose con precisin la naturaleza y razones.
Desfavorable, cuando se han identificado irregularidades, existe
incumplimiento de la normativa legal y profesional que afecta
significativamente a los objetivos de la auditora informtica
estipulados. Denegada, cuando hay limitaciones en el alcance de la
auditora, incertidumbres significativas que impiden al auditor
formar una opinin, existen irregularidades, incumplimiento de la
normativa legal y profesional.
Captulo 8: Auditora de Seguridad Fsica
Preguntas con una respuesta de mltiples opciones1. La Auditora
Fsica comprende a ms de comprobar la existencia de los medios
fsicos:a) Comprobar su funcionalidadb) Comprobar su racionalidadc)
Comprobar su seguridadd) Todas las anteriores
2. Actividades que suelen realizarse al ejecutar un plan de
contingencia.a) Revisar la potencia elctrica y sistemas contra
incendio b) Establecer un tiempo crtico de reanudacin de procesos
antes de sufrir prdidasc) Revisar contratos de seguros que tiene la
empresad) Establecer elementos de construccin utilizados en
edificio
3. Entre las reas que el auditor informtico prefiere apoyo de
peritos tenemos:a) Infraestructura del edificio b) Instalaciones
del centro de procesamiento de datosc) Acceso adecuado a los
respaldos de datos d) Administracin de redes
4. Entre las fuentes de informacin para realizar una adecuada
Auditoria Fsica, el Auditor podra no solicitar:a) Polticas y normas
de seguridad de la empresab) Informe sobre entradas y salidas del
personal c) Plan de contingencia y valoracin de pruebasd) Ninguna
de las anteriores
5. El auditor informtico emplea tcnicas al realizar su trabajo
como:a) Cmara de video b) Cuaderno de apuntesc) Entrevistas a
directivos y personald) Grabadora de audio
Preguntas con respuesta de V (Verdadero) o F (Falso)1. Definir
un Centro de Proceso alterno es una actividad del Plan de
Contingencia( V )2. La observacin es una herramienta utilizada por
el auditor al realizar su labor( F )3. Organigrama le permite al
Auditor conocer el cargo y ubicacin del personal( V )4. Un Auditor
informtico externo acostumbra efectuar auditorias imprevistas( F
)5. Una fase de Auditoria es discutir el informe preliminar con
responsables del rea( V )
Completar la expresin1. La seguridad fsica garantiza la
integridad de los activos humanos, lgicos y materiales de un Centro
de Procesamiento de Datos.2. Desastre es cualquier evento que al
ocurrir interrumpe el normal proceso de una empresa.3. Los
contratos de seguros compensan las perdidas, gastos y
responsabilidades para el Centro de Procesamiento de Datos.4. Los
objetivos de la auditora fsica son: edificio, instalaciones,
equipos y telecomunicaciones, datos, personas.5. Entre las tcnicas
de auditora tenemos observacin, revisin de polticas, entrevistas
con el personal.
Preguntas de desarrollo1. Qu significa mantener un nivel
adecuado de seguridad fsica?Significa un conjunto de acciones
utilizadas para evitar el Fallo o, en su caso, aminorar las
consecuencias que de l se pueden derivar.
2. En qu consiste un desastre? Describa 4 puntos a considerar en
un plan de contingencia.Un desastre es cualquier evento que, cuando
ocurre, tiene la capacidad de interrumpir el normal proceso de una
empresa. El Plan de Contingencias ante un desastre debe: Realizar
un Anlisis de Riesgos de Sistemas Crticos que determine la
Tolerancia de los Sistemas. Establecer un Perodo Crtico de
Recuperacin en el cual los procesos deben ser reanudados antes de
sufrir prdidas significativas o irrecuperables. Determinar las
Prioridades de Proceso, por das del ao, que indiquen cuales son las
Aplicaciones y Sistemas Crticos en el momento de ocurrir el
desastre y el orden de proceso correcto. Designar, entre los
distintos tipos existentes, un Centro Alternativo de Proceso de
Datos.
3. Mencione y explique sobre 4 tipos de seguros existentes.
Centro de proceso y equipamiento: Se contrata cobertura sobre dao
fsico en el CPD y el equipo contenido en l. Reconstruccin de medios
de software: Cubre el dao producido sobre medios soft tanto los que
son propiedad del tomador del seguro como aquellos que constituyen
su responsabilidad. Interrupcin del negocio: Cubre las prdidas de
beneficios netas causadas por las cadas de los medios informticos o
por la suspensin de las operaciones. Transporte de medios:
Proporciona cobertura ante prdidas o daos a los medios
transportados.
4. Explique 3 reas de inters para el auditor con relacin a la
seguridad fsica. Organigrama de la empresa: Por l se conocern las
dependencias organices, funcionales y jerrquicas de los
departamentos y de los distintos cargos y empleos del personal.
Centro de Procesamiento de Datos: Entorno en el que encuentra
incluso el CPD como elemento fsico y en el que debe realizar su
funcin informtica. Equipos y comunicaciones: Son los elementos
principales del CPD; Host, terminales, computadoras personales,
equipos e almacenamiento masivo de datos, impresoras, medios y
sistemas de telecomunicaciones. Seguridad fsica del personal:
Accesos y salidas seguras as como medios y rutas de evacuacin,
extincin de incendios y medios utilizados para ello, sistema de
bloqueo de puertas y ventanas, zonas de descanso y de
servicios.
5. Explique sobre objetivos y fuentes de auditora fsicaLa
seguridad fsica es mucho ms amplia y alcanza otros objetivos tales
como: edificio, instalaciones, equipamiento y telecomunicaciones,
datos, personas.Las fuentes son la informacin necesaria para
organizar y desarrollar la auditora, por ejemplo en un Centro de
Proceso de Datos se debe tener acceso a las polticas, normas y
planes de seguridad.
6. Explique sobre 2 tcnicas y 2 herramientas del
auditor.Tcnicas: Observacin de las instalaciones, sistemas,
cumplimiento de Normas y Procedimientos, etc. Entrevistas con
directivos y personal, fijo o temporal.Herramientas Cuaderno de
campo / grabadora de audio. Mquina fotogrfica / cmara de video.
7. Explique 3 responsabilidades del auditor informtico interno.
Revisar los controles relativos a Seguridad Fsica. Evaluar Riesgos.
Revisar el cumplimiento de las Polticas y Normas sobre Seguridad
Fsica.
8. De las 10 fases de auditora fsica, explique 3 de ellas.
Adquisicin de Informacin General Resultado de las Pruebas
Conclusiones y Comentarios
Captulo 9: Auditora Ofimtica
Preguntas con una respuesta de mltiples opciones1. El correo
electrnico es una herramienta de oficina considerada como:a)
Herramienta para la gestin de tareasb) Herramienta para la gestin
de documentosc) Herramienta de trabajo en grupod) Herramienta para
la gestin econmica
2. Entre los controles de economa, eficacia y eficiencia
tenemos:a) Determinar si la generacin del respaldo garantiza la
recuperacin de informacinb) Determinar el grado de exposicin ante
virusc) Determinar si existen garantas que protejan los accesos no
autorizados a la informacind) Determinar el procedimiento de
adquisicin de equipos y aplicaciones
3. La poltica de mantenimiento de equipos y aplicaciones en la
empresa se refiere a:a) Verificar existencia de equipos adquiridos
que tengan garantab) Comprobar que en contrato se define tiempo
mximo de respuestac) Comprobar que usuarios conozcan como
efectivizar las garantasd) Todas las anteriores
4. Al realizar cambios de versiones y aplicaciones, el auditor
determina controles como:a) Existencia de un plan para la formacin
de usuario finalesb) Existencia de procedimientos adecuados para
adquirir nuevos equiposc) Existencia de procedimientos adecuados
para generar respaldos de informacind) Existencia de un plan de
mantenimiento de aplicaciones
5. Entre los controles sobre uso de copias ilegales en las
empresas, tenemos:a) Existencia de sistemas de alimentacin
ininterrumpidab) Inhabilitacin de puertos de entrada y salidac)
Periodicidad con que se realizan las copias de respaldo de
informacind) Evaluacin de la aplicacin desarrollada
Preguntas con respuesta de V (Verdadero) o F (Falso)1. Los
procesadores de texto son sistemas de trabajo en grupo( F )2.
Evaluar cambio de versiones y aplicaciones es un control de
eficiencia( V )3. Verificar si sistema se ajusta a necesidades de
empresa es un control de seguridad( F )4. Por seguridad se deben
establecer sistemas que necesitan energa continua( V )5. Verificar
si usuarios tienen documentacin suficiente es un control de
seguridad( F )
Completar la expresin1. Escritorio virtual es la pantalla del
computador con herramientas necesarias para realizar las
actividades de un oficinista.2. Las dos caractersticas de los
entornos ofimticos son: distribucin de aplicaciones en la empresa y
traslado de responsabilidad sobre controles informticos al usuario
final.3. Un inventario poco fiable posibilita sustraccin de equipos
informticos o de licencias de programas contratados.4. Cuando
personal de cada departamento (no sistemas) desarrolla
aplicaciones, el auditor verifica si la metodologa y pruebas
empleadas se ajustan a lo dispuesto en la empresa.5. Auditor revisa
al generar copias de respaldo: la suficiente periodicidad, correcta
asignacin de responsabilidades y adecuado almacenamiento de los
soportes.
Preguntas de desarrollo1. Explique los paradigmas escritorio
virtual y trabajo cooperativo. Escritorio virtual.- es un nico
panel representado por la pantalla del computador, que sustituye a
la mesa de trabajo tradicional, y en donde se encuentran
disponibles todas las herramientas para desarrollar las actividades
del oficinista, la interfaz debe parecer natural al usuario y debe
ser fcil de aprender y utilizar. Trabajo corporativo (CSCW).- es
una extensin del concepto de integracin de aplicaciones. Se lo
define como una multiplicidad de actividades coordinadas,
desarrolladas por un conjunto de participantes y soportados por un
sistema informtico.
2. Mencione y explique dos controles de auditora relacionados
con economa, eficacia y eficiencia Evaluar la correccin de
procedimientos existentes para la realizacin de los cambios de
versiones y aplicaciones.- los cambios de aplicaciones o de
versiones pueden producir fallas en la integracin e
incompatibilidad en los nuevos productos instalados y en los
existentes. El auditor determinar la existencia de procedimientos
formalmente establecidos para la autorizacin, aprobacin, adquisicin
de nuevas aplicaciones y cambios de versiones, tambin comprobar si
todos los cambios han seguido los trmites exigidos en el
procedimiento establecido. Determinar si los usuarios cuentas con
suficiente formacin y la documentacin de apoyo necesaria para
desarrollar sus tareas de un modo eficaz y eficiente.- un
conocimiento deficiente de las funcionalidades de las aplicaciones
por parte de los usuarios finales pueden ocasionar prdida de
eficacia y eficiencia en la utilizacin de las mismas por esto el
equipo auditor determinar la existencia de un plan de formacin para
garantizar que todo el personal conoce los productos que tiene que
utilizar.
3. Mencione y explique dos controles de auditora relacionados
con la seguridad. Determinar si el procedimiento de la generacin de
las copias de respaldo es fiable y garantiza la recuperacin de la
informacin en caso de necesidad.- el auditor examinar el
procedimiento de copias de seguridad, verificando la suficiencia de
la periodicidad, la correcta asignacin de responsabilidades y el
adecuado almacenamiento de los soportes. Controlar la eficacia del
procedimiento definido para la recuperacin de copias de seguridad.
Determinar el grado de exposicin ante la posibilidad de intrusin de
virus.- el auditor analizar la proteccin establecida en c/u de los
puntos del sistema por los que podrn introducirse virus, y revisar
la normativa para la instalacin y actualizacin peridica de
productos antivirus. Analizar la configuracin de los equipos y la
instalacin de programas que permitan detectar l existencia de
virus.
4. Mencione y explique dos controles de auditora relacionados
con las normas vigentes. Determinar si en el entorno ofimtico se
producen situaciones que puedan suponer infracciones a lo dispuesto
en la ley orgnica 51/1999, de proteccin de datos de carcter
personal (LOPD).- el equipo auditor deber comprobar la existencia
de un inventario de archivos que manejan datos de carcter personal
y constatar que este inventario contiene todos los archivos
gestionados en los entornos ofimticos. La tarea del equipo auditor
consistir en determinar que los archivos que gestionan datos
personales en entornos ofimticos se encuentran bajo control y que
han sido notificados al registro general de la agencia de proteccin
de datos. Determinar si en el entorno ofimtico se producen
situaciones que puedan suponer infracciones a lo dispuesto en el
Real Decreto Legislativo 1/1996, de 12 de Abril, sobre la propiedad
intelectual.- el auditor deber elaborar una relacin exhaustiva de
las aplicaciones, residentes en equipos ofimticos, que precisan
licencia para su utilizacin. El auditor se ocupar de verificar la
definicin y aplicacin de medidas con carcter preventivo, tales
como: la existencia de un rgimen disciplinario que sea conocido por
todos los empleados, la inhabilitacin de las disqueteras y otros
puertos de E/S, y las limitaciones en el acceso a redes externa de
la organizacin. Comprobar la definicin de medidas correctivas tales
como: la eliminacin de las copias ilegales que se localicen; los
procedimientos para determinar el modo de intrusin.
5. Cmo debera ser un procedimiento para la realizacin de cambios
de versiones de paquetes ofimticos?No debe realizarse de modo
independiente, nos parece ms adecuada la integracin de los
controles ofimticos dentro de un plan de auditora de mayor alcance,
principalmente por motivos de eficacia y eficiencia en la
preparacin y desarrollo de la misma.
6. Escriba un procedimiento para la utilizacin de equipos
ofimticos que pueda ser entendido por usuarios finalesAbrir el
procesador de texto, redactar lo que se quiera escribir, darle
formato de acuerdo a lo convenga, mandar a imprimir o guardar el
archivo para su envi luego.
Captulo 10: Auditora de la Direccin
Preguntas con una respuesta de mltiples opciones1. Evaluar
sistemas a desarrollarse, cambios tecnolgicos y recursos a corto
plazo, se refiere al:a) Plan de arquitectura de la informacinb)
Plan operativo anualc) Plan de recuperacin ante desastresd) Plan
estratgico empresarial
2. Entre las funciones que MENOS realiza un Comit de Informtica
tenemos:a) Controlar el uso eficiente de los recursos tecnolgicos
por parte del usuario.b) Fijar prioridades de los proyectos
informticos.c) Ser intermediario entre Depto. Informtica y usuarios
de la empresa.d) Realizar seguimiento a las actividades del Depto.
Informtica.
3. La ubicacin del Depto. Informtica en la empresa es
normalmente bajo:a) rea Administrativab) rea Legalc) rea
Financierad) Ninguna de las anteriores
4. El Control sobre la Gestin del recurso humano est relacionado
con:a) Distribuir costos segn el uso de los recursos humanos y
tecnolgicosb) Cobertura de seguros para los sistemas informticos de
recursos humanosc) Revisar rendimiento del empleado en base a
estndaresd) Revisar vacaciones acumuladas del recurso humano
5. En la empresa deben cumplir normas legales relacionadas
con:a) Coberturas de segurosb) Seguridad e higiene en el trabajoc)
Propiedad intelectual del softwared) Todas las anteriores
Preguntas con respuesta de V (Verdadero) o F (Falso)1. Plan de
recuperacin ante desastres es afectacin de servicios informticos
por robo( V )2. La Direccin de informtica es responsable de
establecer el Comit de Informtica( F )3. El Depto. Informtico debe
estar bajo la Direccin General( V )4. Los costos tecnolgicos en
empresa deben ser asumidos por Direccin Informtica( V )5. El
desarrollo del plan estratgico se debe controlar con estndares de
rendimiento( V )
Completar la expresin1. Plan de recuperacin ante desastres evala
afectacin del servicio informtico ante incendio, inundacin, robo,
sabotaje, terrorismo, etc.2. El Depto. Informtico debe estar bajo
la Direccin General y debe tener autoridad e independencia
atendiendo a los Departamentos Usuarios.3. El presupuesto econmico
est alineado con polticas y procedimientos de empresa, as como
planes operativos y estrategias del Dpto. Informtico.4. Conocer los
sistemas existentes permite establecer consumo de mquina, lneas
impresas en papel utilizado, horas de programacin.5. En la empresa
se deben cumplir normas legales relacionadas con propiedad
intelectual del software.
Preguntas de desarrollo1. Mencione y explique 3 de las
actividades que un auditor debe realizar para evaluar un plan
estratgico de sistemas de informacin. Lectura de actas de sesiones
del comit de informtica dedicadas a la planificacin estratgica
Identificacin y lectura de los documentos intermedios prescritos
por la metodologa de planificacin Realizacin de entrevistas al
Director de Informtica y a otros miembros del Comit de Informtica
participantes en el proceso de elaboracin del plan estratgico.
Tambin tener entrevistas con representantes de los usuarios con el
fin de evaluar su grado de participacin y sintona con el contenido
del plan.
2. Describa las funciones de un comit de informtica. Explique qu
objetivo tiene para los usuarios su presencia al comit Aprobacin
del plan estratgico de sistemas de informacin. Aprobacin de las
grandes inversiones en tecnologa de la informacin. Fijacin de
prioridades entre los grandes proyectos informticos. Vehculo de
discusin entre la Informtica y sus usuarios. Vigila y realiza el
seguimiento de la actividad del departamento de informtica.El
objetivo es que permite a los usuarios conocer las necesidades del
conjunto de la organizacin y participar en la fijacin de
actividades.
3. Describa las ventajas de tener procedimientos. Elabore un
procedimiento para disear un sistema o un procedimiento para
programar.La ventaja de tener procedimientos es que existen pasos
para realizar una tarea, mientras ms detallados estos, existirn
menos errores que se puedan cometer.Un procedimiento para disear un
sistema, primero es definir lo que se quiere hacer, planificar
todas las actividades de costos, tiempos, recursos, planes de
trabajo, etc. Luego comenzar a desarrollar el sistema dndole el
seguimiento respectivo, luego implementarlo y una vez en
funcionamiento darle mantenimiento peridicamente.
4. Que evidencias debe usar el auditor para poder evaluar si las
necesidades de los usuarios son tomadas en cuenta de manera
adecuada Para evaluar esto ser muy til realizar entrevistas con el
director de informtica y directores de algunos departamentos
usuarios para conocer su conocimiento sobre el grado de
independencia y atencin del departamento de informtica. Entrevistas
a los representantes de los usuarios, miembros del comit, para
conocer si entienden y estn de acuerdo con su papel en el
mismo.
5. Qu ventajas de control genera la existencia de la funcin de
aseguramiento de la calidad?Independencia de la funcin frente al
resto de reas operativas del departamento de informtica, su dotacin
a recursos humanos, la experiencia de los mismos, la existencia de
procedimientos formales de actuacin, etc.
6. Describir los objetos de control a ser evaluados por el
auditor en la gestin de recursos humanos del Dpto. de informtica.
La seleccin de personal se basa en criterios objetivos y tiene en
cuenta la formacin, experiencia y niveles de responsabilidad
anteriores. El rendimiento de cada empleado se evala regularmente
en base a estndares establecidos y responsabilidades especficas del
puesto de trabajo. Existen procesos para determinar las necesidades
de formacin de los empleados en base a su experiencia, puesto de
trabajo, responsabilidad y desarrollo futuro personal y tecnolgico
de la instalacin. Existen procesos para la promocin de personal que
tienen en cuenta su desempeo profesional.7. Qu tareas debe realizar
un auditor para evaluar el plan de formacin de del Dpto. de
informtica? Examen del organigrama del Dpto. de informtica e
identificacin de las grandes unidades organizativas. Revisin de la
documentacin existente para conocer la descripcin de las funciones
y responsabilidades. Realizacin de entrevistas a los directivos de
c/u de las grandes unidades organizativas y que estas responden a
las descripciones existente en la documentacin correspondiente.
Observacin de las actividades del personal del dpto. a analizar, en
la prctica las funciones realizadas, la segregacin entre las mismas
y el grado del cumplimiento con la documentacin analizada.
8. Relacionar las actividades que realiza un auditor para
evaluar el precio de transferir el reparto de costos entre el dpto.
de informtica y los usuarios.El auditor deber evaluar la
conveniencia de que exista o no un sistema de reparto de costes
informtico y de que este sea justo, incluya los conceptos adecuados
y de que el precio de transferencia aplicado est en lnea o por
debajo del disponible en el mercado.
9. Cules son las reas legales cuyo cumplimiento es el ms
importante de auditar?Las reas legales son: seguridad e higiene en
el trabajo, normativa laboral y sindical, proteccin de datos
personales, propiedad intelectual del software, requisitos
definidos en la cobertura de seguros, contrato de comercio
electrnico, transmisin de datos por lneas de comunicaciones, as
como normativa emitida por rganos reguladores sectoriales.
Captulo 12: Auditora de Desarrollo
Preguntas con una respuesta de mltiples opciones1. Entre las
etapas del ciclo de vida al desarrollar un software tenemos:a)
Mantenimiento b) Explotacin o Uso c) Construccind) Eliminacin
2. Funcin NO asignada tradicionalmente a la seccin Desarrollo:a)
Participar en la elaboracin del plan estratgico empresarial y del
rea.b) Estudiar nuevos lenguajes, metodologa y estndares para
usarlos de ser necesarios.c) Establecer un plan de formacin para el
personal de la seccin.d) Elaborar un Plan de mantenimiento
preventivo de equipos tecnolgicos.
3. El proyecto normalmente es liderado por:a) Personal del rea
de desarrollob) Personal del rea afectada por el proyectoc)
Personal del rea de auditorad) Personal del rea no afectada por el
proyecto
4. En la fase de desarrollo o construccin:a) Se definen
procedimiento para que usuarios utilicen bien el nuevo sistema.b)
El Sistema debe ser aceptado formalmente por usuarios antes de ser
usado.c) Se define una arquitectura fsica coherente con el entorno
tecnolgico elegido.d) El usuario afectado establece claramente los
requisitos del nuevo sistema.
5. En la fase de implantacin:a) Se definen mecanismos para
resolver problemas que se presentan durante el proyecto.b) Se debe
realizar un plan detallado de entrevistas con usuarios del
proyecto.c) Los mdulos deben desarrollarse usando tcnicas de
programacin correctas.d) El usuario acepta formalmente el nuevo
sistema.
Preguntas con respuesta de V (Verdadero) o F (Falso)1. La seccin
Desarrollo realiza todo el ciclo de vida del software, incluyendo
su uso( F )2. El principal factor de xito de la informtica es
mejorar la calidad del software( V )3. Personal de la seccin
Desarrollo normalmente lidera los proyectos empresariales( F )4.
Los responsables de areas afectadas por proyectos deben participar
en su gestin( V )5. Al final del proyecto, recursos humanos y
materiales no regresan al Dpto. origen( F )Completar la expresin1.
El ndice de fracasos en proyectos de desarrollo es sumamente alto,
reflejando la inexistencia o mal funcionamiento de controles en
este proceso.2. Desarrollo de nuevos sistemas comprende: Incluir
para cada uno de los sistemas, anlisis, diseo, construccin e
implantacin.3. El plan de formacin del personal debe ser de acuerdo
con los recursos tecnolgicos de la seccin Desarrollo.4. En todo
proyecto informtico se deben definir objetivos, restricciones y
unidades afectadas.5. En el proyecto deben ser entrevistados los
usuarios de todas las reas afectadas por el nuevo sistema
informtico.
Preguntas de desarrollo1. Qu factores contribuyen a la
importancia de la auditoria del desarrollo? El gasto destinado a
Software es cada vez superior al que se dedica a Hardware. A pesar
de la juventud de la informtica ya se produjo la crisis del
Software, pero en el rea del Hardware aun no se ha dado una crisis
equivalente. El Software como producto es difcil de validar. El
ndice de fracasos en proyectos es demasiado alto, lo cual denota la
inexistencia o mal funcionamiento de los controles en ese proceso.
Las aplicaciones informticas pasan a ser de trabajo principal de
las reas informatizadas, convirtindose en un factor esencial para
la gestin y toma de decisiones.
2. Cules son las funciones asignadas tradicionalmente al rea de
desarrollo? Planificacin del rea y participacin, en la medida que
corresponda, en la elaboracin del plan estratgico de informtica.
Desarrollo de nuevos sistemas, esta es la funcin principal.
Estudios de nuevos lenguajes, tcnicas, metodologas, estndares,
herramientas, etc. Relacionados con el desarrollo y adopcin de los
mismos cuando se considere oportuno para mantener un nivel de
vigencia adecuada a la tecnologa del momento. Establecimiento de un
plan de formacin para el personal adscrito al rea. Establecimiento
de normas y controles para todas las actividades que se realizan en
el rea y comprobacin de su observancia.
3. Qu aspectos se deben comprobar respecto a las funciones del
rea de desarrollo?El rea de desarrollo debe llevar su propio
control de presupuesto, adems debe de tener y difundir sus planes a
corto, mediano y largo plazo, debe existir un documento que
contenga las funciones en un rea de desarrollo y debe de
especificarse un organigrama en base a los puestos del rea, as
tambin el personal y sus puestos de trabajo.
4. Comente la importancia, desde el punto de vista de auditora,
de la formacin que deben tener los profesionales de desarrollo.
Deben existir procedimientos de contratacin objetivos. Debe existir
un plan de formacin que este en consonancia con los objetivos
tecnolgicos que se tenga en el rea. Debe existir una biblioteca y
una hemeroteca accesibles por el personal del rea. Debe existir un
protocolo de recepcin abonado para las personas que se incorporan o
dejan el rea.
5. Qu procedimientos utilizara para valorar la motivacin del
personal de desarrollo? Existe algn mecanismo que permita a los
empleados hacer sugerencias sobre las mejoras en la organizacin del
rea. No existe una gran rotacin de personal y hay un buen ambiente
de trabajo. El rendimiento del personal no cae por debajo de unos
mnimos razonables y el absentismo laboral es similar al resto de la
organizacin.
6. Qu repercusiones tiene la existencia de herramientas CASE en
el mbito del desarrollo? Las metodologas y tcnicas asociadas a las
mismas estn adaptadas al entorno tecnolgico y de organizacin del
rea de desarrollo. Se ha adquirido, homologado e implantado segn
las normas del rea una herramienta CASE que se adapta a la
metodologa elegida y que cumple con los requisitos mnimos exigibles
a una herramienta de este tipo. Existe un procedimiento que permita
determinar en qu proyectos el uso de la herramientas CASE es
ventajoso. Est claramente verificado de qu forma el uso de la
herramienta altera las fases de desarrollo tradicionales La
herramienta CASE es capaz de mantener el diccionario de datos. La
herramienta CASE mantiene los requisitos de confidencialidad
necesarios sobre la documentacin asociada al proyecto.
7. Describa procedimientos de anlisis, Evaluacin y seleccin de
herramientas de desarrollo que conozca o que ha utilizado.
Asesorarse sobre herramientas de desarrollo para el proyecto que se
quiere implementar. Evaluar las opciones encontradas. Seleccionar
la mejor opcin que le conviene al proyecto, verificando costos y
tecnologa. Adquirir las herramientas de desarrollo.
8. Qu riesgos implica la subcontratacin del desarrollo? Existe
el protocolo, est aprobado y se hace uso de l. La seleccin del
proveedor se hace de forma objetiva y evita situaciones de
monopolio por parte de un nico proveedor. El protocolo incluye un
contrato-tipo que prevea los riesgos ms frecuentes cuando se
contratan servicios externos, y en todo caso incorpora
personalizaciones en caso de incumplimiento de contrato por parte
del proveedor. El personal externo que intervendr en los proyectos
cumplir, al menos, los mismos requisitos que se exigen a los
empleados del rea. Una persona del rea supervisar el trabajo
realizado, certificndolo antes del pago. Debe ser compatible con
los estndares establecidos en el rea.
9. Cmo afecta el modelo de ciclo de vida que se adopte en un
proyecto, a la auditora a realizar sobre el mismo? Se ha catalogado
y dimensionado el proyecto segn las normas establecidas Se han
evaluado los riesgos asociados al proyecto, especialmente cuando se
van usar tecnologas no usadas hasta el momento Se ha elegido el
ciclo de vida ms adecuado al tipo de proyecto de que se trata Se h
hecho uso de la informacin histrica que se dispone tanto para
dimensionar el proyecto y sus riesgos como para seleccionar el
ciclo de vida Se prestar especial atencin si se elige un ciclo de
vida basado en prototipo.
Captulo 14: Auditora de Base de Datos
Preguntas con una respuesta de mltiples opciones1. El ciclo de
vida al crear una base de datos se compone de varias fases, una de
esta no pertenece:a) Estudio de viabilidad y plan de trabajo b)
Concepcin de la Base de Datos y Seleccin de Equipoc) Diseo y Carga
de la Base de Datosd) Mantenimiento de la Base de Datos
2. Se recomienda una separacin de funciones entre:a)
Administrador de la base de datos y Administracin de la seguridad
b) Diseador de Base de datos y quienes cargan la Base de datos c)
Quienes realizan estudio de viabilidad y quienes elaboran un Plan
de trabajo.d) Quienes conciben la Base de datos y seleccionan el
equipo
3. El diseo de los datos debera ser aprobado por:a) Los usuarios
b) Los usuarios, director Informtico y Alta Direccinc)
Administrador de la base de datos d) Director Informtico y Alta
Direccin
4. Analizar el rendimiento de la base de datos para realizar
ajustes necesarios NO abarca:a) Rediseo fsico o lgico de la base de
datos b) Adecuar ciertos parmetros del sistema operativoc) Revisin
de conocimientos del Administrador de Base de Datosd) Acceso de las
transacciones a la base de datos
5. En el proceso de Revisin despus de la implementacin, se evala
si:a) Se consiguieron los resultados esperadosb) Se satisfacen las
necesidades de los usuarios c) Los costos y beneficios coinciden
con los previsto d) Todas las anteriores
Preguntas con respuesta de V (Verdadero) o F (Falso)1. La
normalizacin es una tcnica de calidad aplicada a las bases de
datos( V )2. La falla en un diccionario de datos puede atentar
contra integridad de los datos( F )3. En un SGBD normalmente existe
un modulo de respaldo y recuperacin( V )4. El concepto
Datawarehouse se refiere a la base de datos operativa( F )5. El
usuario puede acceder a los datos sin conocer sintaxis del lenguaje
del SGBD ( V )
Completar la expresin1. Una de las fases del ciclo de vida de
una Base de Datos es el diseo de la Base de Datos y su proceso de
carga introduciendo o migrando datos.2. Se recomienda una separacin
de funciones entre quienes explotan los datos y quienes controlan
los datos3. Al seleccionar servidor para la base de datos se deben
considerar las necesidades priorizadas de la empresa y los
servicios que ofrecen los distintos SGBD.4. El administrador de la
base de datos es responsable de supervisar el control e integridad
de los sistemas de base de datos.5. Las bases de datos distribuidas
pueden presentar fallos de seguridad de los datos, si no se
establecen logs de auditora, que previenen interferencias de
actualizacin etc.
Preguntas de desarrollo1. Establezca objetivos de control con
respecto al diseo de una base de datos. Tomar muestras de los
elementos (tablas, vistas, ndices) y comprobar que su definicin es
completa. Planificar claramente las migraciones o conversiones de
sistemas, para evitar las prdidas de datos. Realizar pruebas en
paralelo Declaraciones escritas con lo respecta a la entrada manual
de datos.
2. Defina un procedimiento para adquirir un sistema de gestin de
Base de Datos. Consultar en el mercado las propuestas e Bases de
Datos. Analizar las propuestas. Seleccionar la mejor opcin que vaya
con que necesita la empresa. Adquirir el Sistema de Gestin de Base
de Datos.
3. Cules son las diferencias ms importantes entre las funciones
de un administrados de datos un administrador de base de
datos?Administrador de datosAdministrador de base de datos
Realiza el diseo conceptual y lgico de la B/DDiseo fsico de la
B/D
Establece estndares de diseo de la B/D, desarrollo y contenido
de la B/DSoportar el sistema de gestin de B/D
Desarrollar planes estratgicos y prcticos para la manipulacin de
datosAsegurar la seguridad y confidencialidad
Planificar la evolucin de la B/D en la redDesarrollar estndares,
procedimientos y documentos
Controlar la seguridad e integridad de datos
4. Por qu resulta tan crtico un diccionario de datos?Es crtico
porque en ellos se encuentra toda la codificacin del sistema en
conjunto con la base, son base de metadatos.
5. Qu controles establecera sobre la distribucin de listados
extrados a partir de la base de datos? Planificacin previa a la
extraccin. Correctamente realizada la documentacin de
extraccin.
6. Objetivos de control sobre la formacin del personal
relacionado con el sistema de gestin de base de datos (usuarios
finales, diseadores, etc.).Las utilidades para el administrador de
la B/D se encuentran crear usuarios, conceder privilegios y
resolver cuestiones relativas a la confidencialidad.
7. Qu riesgos adicionales implica el hecho de distribuir las
bases de datos? Que los datos no se encuentren correctamente
actualizados. Redundancia de informacin.
8. Qu controles establecera para desarrollo que emplean
lenguajes visuales que acceden a bases de datos? Debe ser capaz de
operar en el entorno de procesos de datos con controles adecuados .
Las aplicaciones desarrolladas deben seguir el mismo procedimiento
de autorizacin y peticin que los proyectos de desarrollo
convencionales. Deben sacar ventaja de las caractersticas incluidas
en los mismos.
9. Analice el soporte que ofrecen las herramientas de minera de
datos al auditor informticoEstas herramientas ofrecen soporte a la
toma de decisiones sobre datos de calidad integrados en el almacn
de datos.
Captulo 18: Auditora de Redes
Preguntas con una respuesta de mltiples opciones1. El modelo
comn de referencia en redes se llama modelo OSI, que significa:a)
Organizacin de Estndares Internacionalesb) Operacin de Sistemas
Integradosc) Optimizacin de Software Internod) Interconexin de
Sistemas abiertos
2. Una de las incidencias que se pueden presentar en las redes
por causas tecnolgicas, es la alteracin de bits, lo cual se detecta
y corrige al:a) Dar un nmero de secuencia a las tramas b) Dejar que
se corrija por s mismo c) Poner al final de la trama un cdigo de
redundancia cclico (CRC)d) Todas las anteriores
3. Fsicamente es posible interceptar la informacin, existiendo
el riesgo de indagacin, el cual consiste en:a) Un mensaje puede ser
ledo por un tercero b) Un mensaje falso puede ser enviado por un
tercero c) El contenido del mensaje puede ser alterado por un
tercero d) El mensaje puede ser eliminado por un tercero
4. El concepto de INTRANET es:a) Red privada y segura compartida
por un conjunto de empresas b) Red interna, privada y segura de una
empresac) Red pblica e insegura compartida por un conjunto de
empresasd) Red externa y pblica compartida por cualquier
persona
5. El Gerente de Redes y Comunicacin en una empresa, NO es
responsable en general de:Tener un inventario de equipos existentes
en la red y normas de conectividadControlar las comunicaciones,
registros de errores y resolucin de problemas Evaluar la
confidencialidad de los datos transmitidos por la redEvaluar
necesidades de la red, seleccin de equipos y revisin de costos
Preguntas con respuesta de V (Verdadero) o F (Falso)1. El modelo
OSI significa Organizacin de Estndares Internacionales( F )2. La
alteracin de bits se detecta y corrige poniendo al final de la
trama un Cdigo deRedundancia Cclico (CRC) ( V )3. INTRANET es una
red privada y segura compartida por un conjunto de empresas( F )4.
Indagacin se produce si un mensaje puede ser ledo por un tercero( V
)5. La encriptacin de la informacin asegura que la misma no puede
ser espiada( V )
Completar la expresin1. Proteccin y tendido adecuado de cables y
lneas de comunicacin, evitan los accesos fsicos inadecuados.2. En
el plan de recuperacin de desastres se deben poner atencin a la
recuperacin de los sistemas de comunicacin de los datos.3. Deben
existir tcnicas de cifrado de datos si existen riesgos de acceso no
autorizado a transmisiones sensibles.4. Deben existir polticas que
prohiba introducir programas personales o conectar equipos privados
a la red local.5. El software de comunicaciones para permitir el
acceso debe exigir cdigo de usuario y contrasea.
Preguntas de desarrollo1. Cules son los niveles del modelo
OSI?OSI => Interconexin de sistemas abiertos. Aplicacin: es
donde la aplicacin que necesita comunicaciones enlaza, mediante API
con el sistema de comunicaciones. Presentacin: define el formato de
los datos. Sesin: establece los procedimientos de aperturas y
cierres de sesin de comunicaciones, as como la informacin de la
sesin en curso. Transporte: comprueba la integridad de los datos
transmitidos. Red: establece la ruta por las cuales se puede
comunicar el emisor con el receptor, lo que se realiza mediante el
envo de paquetes de informacin. Enlace: transforma los paquetes de
informacin en tramas adaptadas a los dispositivos fsicos sobre los
cuales se realiza la informacin. Fsico: transforma la informacin en
seales fsicas adaptadas al medio de comunicacin.
2. Cules son las incidencias que pueden producirse en las redes
de comunicaciones? Alternacin de bits: por error en los medios de
transmisin, una trama puede sufrir variacin en parte de su
contenido. La forma ms habitual de detectar corregir este tipo de
incidencias es el CRC. Ausencia de tramas: por error en el medio, o
en algn nodo, o por sobrecarga, alguna trama puede desaparecer en
el camino E - R se suele impedir este riesgo dando un nmero de
secuencia a las tramas. Alteracin de secuencias: el orden en que se
envan y se reciben las tramas no coincide. Unas tramas han
adelantado a otras. En el receptor, mediante el nmero de secuencia,
se reconstruye el orden.
3. Cules son los mayores riesgos que ofrecen las redes?
Indagacin: un mensaje puede ser ledo por un tercero, obteniendo la
informacin que contenga. Suplantacin: un tercero puede introducir
un mensaje adulterado que el receptor cree conveniente del emisor
legtimo. Modificacin: un tercero puede alterar el contenido de un
mensaje.
4. Existe el riesgo de que se intercepte un canal de
comunicaciones?Si existe.
5. Qu suele hacerse con las contraseas de los usuarios, en la
red?Mientras que el sistema de almacenamiento de las contraseas
suelen guardarse cifradas, es inhabitual que los terminales u
computadores personales sean capaces de cifrar la contrasea cuando
se enva al computador central o al servidor.
6. Cules son los protocolos ms importantes de alto nivel? SNA:
sistema de arquitectura de redes, se encuentra en los computadores
IBM OSI: interconexin de sistemas abiertos NETBIOS: es una extensin
de la red del sistema bsico de I/O IPX: es el protocolo propietario
de Novell TCP/IP: protocolo de control de transferencia/ protocolo
de internet
7. Explique Internet, Intranet y Extranet Intranet: red interna,
privada y segura de una empresa, utilice o no medios de transporte
de terceros. Extranet: es una red privada y segura, compartida por
un conjunto de empresas, aunque utiliza medios de transportes
ajenos e inseguros, como pudiera ser Internet. Internet: es una red
de redes, metared a donde se conecta cualquier red que se desee
abrir al exterior, pblica e insegura, de alcance mundial, donde
puede comunicar cualquier pareja o conjunto de interlocutores,
dotada adems de todo tipo de servicios de valor aadido.
8. Qu es un corta fuegos? Qu es un gusano? Un firewall es un
dispositivo especialmente dedicado a la proteccin de una Intranet
ante una Extranet, y fundamentalmente ante Internet. Es una mquina
dedicada a leer exclusivamente cada paquete que entra o sale de una
red para permitir su paso o desecharlo directamente. Un gusano es
un cdigo maligno o virus.
9. Qu objetivos de control destacara en la auditoria de la
gerencia de comunicaciones? reas controladas para los equipos de
comunicaciones, previniendo as accesos inadecuados. Proteccin y
tendido adecuado de cables y lneas de comunicaciones, para evitar
accesos fsicos. Controles de utilizacin de los equipos de pruebas
de comunicaciones, usados para monitorizar la red y su trfico, que
impidan su utilizacin adecuada. Atencin especfica a la recuperacin
de los sistemas de comunicacin de datos en el plan de recuperacin
de desastres en sistemas de informacin. Controles especficos en
caso de que se utilicen lneas telefnicas normales con acceso a la
red de datos para prevenir accesos no autorizados al sistema o a la
red.
Auditora en Sistemas (Muoz)-Captulo 10: Tcnicas de evaluacin
aplicables en Auditora de Sistemas Computacionales.
Preguntas con una respuesta de mltiples opciones1. Entre las
formas de realizar pruebas de implantacin No existen:a) Pruebas
pilotob) Pruebas en paraleloc) Pruebas algortmicasd) Pruebas de
aproximaciones sucesivas
2. El auditor debe comprender que estn disponibles para personal
de sistemas, manuales tcnicos como:a) Manuales del perfil de
puestosb) Manuales e instructivos de la operacin del sistemac)
Manuales de la Estructura Organizacionald) Manuales de Recuperacin
ante Desastres
3. De los elementos mencionados seleccione aquel que es
necesario en un acta testimonial:a) Lugar donde se levanta el
actab) Descripcin de los hechosc) Aclaraciones y correccionesd)
Todas las anteriores
4. Entre los criterios para elaborar parmetros de evaluacin en
este tipo de matriz, suficiente se refiere a:a) Cumplimiento mnimo
necesario para realizar lo encomendadob) Cumplimiento del trabajo
es satisfactorioc) Cumplimiento del trabajo se realiza con la mayor
calidad posibled) Cumplimiento del trabajo no es satisfactorio
5. Entre los factores de carcter externo, que afectan
comportamiento empresarial, tenemos:a) Estrategiasb) Bienes y
serviciosc) Tecnologad) Valores y costumbresPreguntas con respuesta
de V (Verdadero) o F (Falso)1. Inspeccionar sistemas consiste en
evaluar y emitir un informe sobre el desarrollo normal de sus
funciones y operaciones.( F )2. Confirmacin ayuda al auditor a
certificar la validez de su dictamen u opinin. ( V )3. Comparacin
consiste en comprobar la veracidad y confiabilidad de los datos. (
F )4. En la matriz de evaluacin se describe el aspecto que ser
estudiado y su calificacin.( V )5. La tecnologa y las estrategias
son factores de carcter interno en una empresa.( F )
Completar la expresin1. El examen consiste en analizar la
calidad y el cumplimiento de las funciones, actividades y
operaciones realizadas en la empresa.2. Un auditor jams puede
fundamentar sus opiniones, ni emitir juicio basado en datos que no
estn certificados plenamente.3. La revisin documental se aplica al
comparar instrucciones de los manuales con el desarrollo de las
operaciones y funcionamiento del sistema.4. La matriz de evaluacin
contiene seis columnas, la primera describe el aspecto evaluado y
las otras cinco contienen un criterio de calificacin descendente.5.
La cultura empresarial es el conjunto de normas de cada empleado
que contribuye a fortalecer valores, tradiciones y comportamientos
de grupo.
Preguntas de desarrollo1. Explique en qu consisten las pruebas
de implantacin en un sistema computacional?2. Explique en qu
consiste la tcnica de inspeccin en sistemas computacionales?3.
Explique en qu consiste la tcnica de confirmacin y su importancia
en la auditora?4. Explique cul es el objetivo y la utilidad de
aplicar la tcnica de comparacin?5. Explique en qu consiste la
tcnica de revisin documental en sistemas computacionales?6.
Explique dos tipos de actas testimoniales usadas al realizar
auditoras computacionales7. Explique en qu consiste la matriz de
evaluacin?8. Explique en qu consisten las estrategias y la
estructura empresarial?
Captulo 11: Tcnicas Especiales de Auditora de Sistemas
Computacionales
Preguntas con una respuesta de mltiples opciones1. La ponderacin
se relaciona con:a) Equilibrar descomposiciones existentes entre:
sistemas computacionales con mayor importancia y aquellos con menor
importancia.b) Dar un peso especfico a cada parte que ser
evaluada.c) Buscar que todas las reas tengan un valor similar.d)
Todas las anteriores.
2. Entre los modelos de simulacin usados en la auditora de
sistemas computacionales, en cules se toma en cuenta el problema
existente?a) Ciclo de vida de los sistemas, segn Yourdon.b) Anlisis
y diseo, segn Jackson.c) Mtodo de Anlisis y Diseo Estructurado de
Sistemas.d) Fases de Desarrollo segn Jame Martin.
3. La evaluacin del diseo lgico del sistema consiste en:a)
Determinar el estado actual del sistema, bases de datos y
documentacin.b) Determinar el estado de perifricos.c) Determinar la
distribucin del mobiliario y equipos.d) Determinar estado de las
instalaciones elctricas, de comunicacin y de datos.
4. Al evaluar la funcin ergonmica de los sistemas
computacionales, NO se considera:a) Efecto de iluminacin.b) Efecto
de la alimentacin del personal.c) Efecto del mobiliario.d) Efecto
de la aireacin ambiental.
