PREGUNTAS PARA EVALUACION AUDITORIA DE SISTEMAS

1..CONTROLES GENERALES
1. Que son controles generales? Son los que se realizan para asegurar que la organizacin y sistemas operen en forma normal Separacin de funciones Acceso y seguridad. Procedimientos escritos. Controles sobre software de sistemas. Control sobre la continuidad del procesamiento. Control sobre el desarrollo y modificacin de sistemas. 2. Que son controles de aplicacin de ejemplos? So los que se realizan para asegurar la exactitud, integridad y validez de la informacin. Ejemplos: Control Control Control Control Control sobre sobre sobre sobre sobre los datos de entrada. los datos constantes o fijos. el procesamiento. los datos rechazados. los datos de salida. controles y

3 Cul es la clasificacin general de los defnalos? CONTROLES PREVENTIVOS

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso CONTROLES DETECTIVOS Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin

CONTROLES CORRECTIVOS Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en s una actividad altamente propensa a errores 4. Que son controles especiales? Son los que se realizan para asegurar la integridad, seguridad y aspectos operacionales. Ejemplos: control sobre la entrada de datos en lnea. Procedimientos de recuperacin y reenganche en sistemas en lnea. Control sobre la modificacin de programas. Control sobre el procesamiento distribuido. Control sobre sistemas integrados. Control sobre bases de datos.

5.Cul es la documentacin que debe tener todos los sistemas en los controles de sistemas en desarrollo? Informe de factibilidad Diagrama de bloque Diagrama de lgica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobacin de modificaciones Formatos de salida Resultados de pruebas realizadas 6.A qu se refieren los controles de procesamiento? Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que con lleva al establecimiento de una serie de seguridades para:

Asegurar que todos los datos sean procesados Garantizar la exactitud de los datos procesados

Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

7En cuanto a Controles automticos o lgicos cuales debemos tener en cuenta para una mayor seguridad en nuestros sistemas de computacin?
Los cambio de claves de acceso, se deben realizar peridicamente

por lo menos cada 3 meses. Combinacin de alfanumricos en claves de acceso entre estas Individual, Confidenciales, No significativas. Verificacin de datos de entrada Conteo de registros Totales de Control Verificacin de lmites Verificacin de secuencias Dgito auto verificador Utilizar software de seguridad en los microcomputadores 8 Cules son los controles de preinstalacin? Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de computacin y obviamente a la automatizacin de los sistemas existentes, los objetivo de este control es Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa, Garantizar la seleccin adecuada de equipos y sistemas de computacin, Asegurar la elaboracin de un plan de actividades previo a la instalacin 9.A que se Planificacin? refieren los Controles de organizacin y

A la definicin clara de funciones, lnea de autoridad y responsabilidad de las diferentes unidades del rea PAD, en labores tales como: 1. Disear un sistema 1. Elaborar los programas 1. Operar el sistema 1. Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operacin. Es importante la utilizacin ptima de recursos en el PAD mediante la preparacin de planes a ser evaluados continuamente 10. Que son Controles de Operacin? Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de la cinto teca y la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas on line. Los controles tienen como fin: Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso

Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD Garantizar la integridad de los recursos informticos. Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.

2. CONTROLES ESPECIFICOS

1. Diga, tres (3) atributos de los controles especficos. Autenticidad Exactitud Totalidad Redundancia Privacidad Existencia Proteccin de Activos Efectividad y Eficiencia. 2. Que son las Bitcoras de estado. Son archivos, donde se registra la informacin de las diferentes aplicaciones, en un tiempo determinado, son denominados dentro del ambiente informtico Archivos LOG. 3. Los password es un control del proceso de: a). Autenticidad. b). Mantenimiento. c). pistas de auditora. 4). Genricamente los controles de aplicacin son los controles : a). reiniciacin.

b). codificacin de datos. C. manuales como computarizados o fsicos y lgicos. 5). Bsicamente consiste en una codificacin y decodificacin de datos a travs de un protocolo que no es estndar entre dos o ms usuarios conectados a un sistema de informacin, con el objetivo de proteger la confidencialidad de la informacin o transacciones que se llevan a cabo. Este control como se denomina? Controles de encriptamiento de la informacin 6)que son las pistas de auditoria? Las pistas o huellas de auditoria consisten en un registro continuo de las actividades que realizan los usuarios que accedan a un sistema de informacin. En dichas pistas se puede determinar quien o quienes ingresan al sistema. 7) cual es el propsito de la codificacin de datos? Los controles de codificacin tienen como propsito principal el identificar en forma nica una entidad o evento, y ser ms eficientes de manipular que las descripciones de las entidades o eventos que representan. 8)para que se utilizan los controles de presentacin? Los controles de presentacin se utilizan para verificar el formato en que la informacin es comunicada a los usuarios. Estos controles buscan asegurar que la informacin entregada pueda ser utilizada en forma efectiva, que la integridad de la misma sea preservada, y que la informacin sea provista eficientemente. 9)que es un proceso de identificacin?? el usuario que requiere el acceso a un sistema se identifica y el sistema verifica que forme parte de sus registros de usuarios, caso contrario deniega el acceso. 10) por que son importantes los controles de produccin y diStribucion?? La necesidad de contar con fuertes controles de produccin y distribucin depende directamente de la sensibilidad de la informacin generada por el sistema. Diferentes tipos de controles sern utilizados si la informacin se obtiene en lnea o por lote. En trminos generales, los resultados por lote requieren de ms controles sobre la produccin y distribucin de resultados

3..PLAN DE CONTINGENCIA

1. QUE ES UN PLAN DE CONTIGENCIA? Es un plan de contingencia es una estrategia planificada con una serie de procedimientos que faciliten una solucin alternativa que permite restituir rpidamente los servicios de la organizacin ante la eventualidad de todo lo que pueda paralizar, ya sea de forma parcial o total. 2. CUALES SON CONTINGENCIA? LOS OBJETIVOS DEL PLAN DE

Garantizar la continuidad de las operaciones de los elementos considerados crticos que componen los sistemas de informacin. Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen un sistema de informacin.

3. MENCIONE ALGUNAS VENTAJAS DE IMPLEMENTAR EL PLAN DE CONTIGENCIA EN LA EMPRESA: Determinar acciones preventivas que reduzcan el grado de vulnerabilidad; por el conocimiento que se tiene de los sistemas automatizados de informacin. Cuantificar los riesgos potenciales a que estn expuestos los sistemas de informacin. Facilitar la oportuna toma de decisiones ante anomalas o fallas. Contribuir a generar una cultura de seguridad y control en las reas de sistemas e institucionalmente, haciendo nfasis en el manejo de la informacin. Asegurar la estabilidad operativa y de la organizacin, frente a la evidencia de un siniestro. Medir el grado de seguridad en los sistemas de informacin institucionales. 4. QUIENES PARTICIPAN EN LA FORMULACION DEL PLAN DE CONTINGENCIA? En la elaboracin del plan de contingencias deben de intervenir los niveles ejecutivos de la organizacin, personal tcnico de los procesos y usuarios, para as garantizar su xito, ya que los recursos necesarios para la puesta en marcha del plan de contingencia, necesariamente demandan mucho esfuerzo tcnico, econmico y organizacional.

5. CUALES SON LOS FASES A SEGUIR PARA EL DESARROLLO Y APLICACIN DEL PLAN DE CONTINGENCIA DE LOS SISTEMAS DE INFORMACION? Anlisis y valoracin de riesgos. Jerarquizacin de las aplicaciones. Establecimientos de requerimientos de recuperacin. Ejecucin. Pruebas. Documentacin. Difusin y mantenimiento.

6. EN QUE CONSISTE LA FASE DE ANLISIS Y VALORACIN DE RIESGOS EN EL PLAN DE CONTINGENCIA? El proyecto comienza con el anlisis del impacto en la organizacin. Durante esta etapa se identifican los procesos crticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. El primer componente del plan de contingencia debe ser una descripcin del servicio y el riesgo para ese servicio, igualmente se debe determinar el costo que representa para la organizacin el experimentar un desastre que afecte a la actividad empresarial. 7. EXPLIQUE BREVEMENTE LOS NIVELES DE CRITICIDAD DE LAS APLICACIONES DE LA EMPRESA: CRITICIDAD A. Todas aquellas aplicaciones que necesariamente deben ejecutarse.Esto significa que la interrupcin no deber ser mayor de 24 horas. CRITICIDAD B. Son aplicaciones que admitirn una interrupcin de medianamagnitud y que son susceptibles de: A. Permanecer interrumpidas durante un periodo. B. Ser reemplazadas parcialmente por procedimientos manuales. CRITICIDAD C. Son aplicaciones que admiten una interrupcin prolongada, no siendo indispensable la recuperacin de la informacin del proceso implicado, comprendida en eltiempo generado por la interrupcin. 8. EN QUE CONSISTE LA ETAPA DE DIFUSION Y MANTENIMIENTO DEL PLAN DE CONTINGENCIA?

Cuando se disponga del plan definitivo ya probado, es necesario hacer su difusin y capacitacin entre las personas encargadas de llevarlo a cargo. El mantenimiento del plan comienza con una revisin del plan existente y se examina en su totalidad realizando los cambios en la informacin que pudo haber ocasionado una variacin en el sistema y realizando los cambios que sean necesarios. 9. CULES SON LOS PLANES QUE SE DEBEN TENER EN CUENTA DURANTE LA ETAPA DE EJECUCIN?

Plan de emergencia:especifica las acciones a realizar inmediatamente luego de producido un desastre, debe incluir para cada situacin: Quien debe ser notificado, acciones a tomar, procedimientos de evacuacin, procedimientos para retornar. Plan de Back Up:en el cual se designa la ubicacin de los recursos. El sitio donde estos recursos pueden restaurarse. Operaciones para restaurar. El personal responsable de recolectar los recursos de backup y las operaciones de recupero. Planes de respaldo: Identifica las deficiencias en los planes de emergencias, planes de back up y planes de recuperacin o en la preparacin de la organizacin y del personal ante un caso de desastre. Debe permitir simular desastres. Plan de recuperacin: permite restaurar las operaciones de la funcin de sistemas de informacin aunque el desastre no haya concluido.

10. EL DESARROLLO PRUEBAS INCLUYE: -

DEL

PLAN

EXPERIMENTAL

DE

EJERCICIO INDIVIDUAL: el director responsable para implementar un plan de contingencia aconsejar sobre una situacin de contingencia hipottica. SIMULACRO: simulacin real de los procedimientos de contingencia para comprobar que el plan diseado es eficaz o, en caso contrario, se le deben efectuar ajustes para su funcionalidad.

4..TECNICAS Y PROCEDIMIENTOS DE AUDITORIA

1. Como se define procedimiento de auditora? Es el conjunto de tcnicas de auditora que el auditor aplica a una partida o a un grupo de hechos econmicos relacionados con el sistema sujeto de examen, para lograr obtener las bases suficientes sobre las cuales emitir una opinin sobre el mismo. Permiten conocer en forma objetiva las operaciones que se encuentran bajo examen 2. Qu son las tcnicas de auditora? Son los recursos particulares o mtodos prcticos de investigacin, utilizados por el auditor (contador) para obtener los datos necesarios para corroborar la informacin que ha obtenido o le han suministrado, y de esta manera poder emitir su opinin profesional. 3. En que consiste la tcnica del estudio General? Consiste en la apreciacin profesional que se realiza sobre las caractersticas generales del sistema de la empresa, en su parte ms significativas, aqu el auditor analiza a nivel general la empresa y obtiene una visin panormica del sistema a examinar. Sirve de orientacin para la aplicacin de las otras tcnicas, el auditor puede darse cuenta de que asuntos merecen prioridad en el examen a realizar y cuales temas merecen mayor atencin. 4. SI ESTOY AUDITANDO COMPUTACIONALES COMO inspeccin? UN AREA DE SISTEMAS APLICARIA la TECNICA de

La inspeccin en sistemas computacionales es sinnimo de supervisin ya que trata de examinar la forma en las que se desarrollaran las actividades de un area. Por ejemplo de los posibles aspectos del ambiente de sistemas computacionales donde puede ser aplicada es: La inspeccin de los sistemas de seguridad y proteccin de las instalaciones, equipo, personal y de los propios sistemas de

procesamiento, con el propsito de dictaminar sobre su eficiencia y confiabilidad. 5. entre las tcnicas documentales encontramos la certificacin. En qu consiste?. Es la obtencin de cartas o documentos firmados por funcionarios de la empresa en los cuales se certifica o se asegura la verdad sobre los hechos de importancia para las investigaciones que realiza el auditor. 6. Dentro de las tcnicas oculares tenemos la observacin en que consiste Esta tcnica es muy importante, puesto que es una forma del auditor cerciorarse directamente de las operaciones en la empresa auditada, consiste en observar consciente-mente la forma en que se desarrollan los hechos por parte del personal encargado y que guarde relacin con la actividad que se est ejecutando. 7. Cual es la clasificacin estandarizada anlisis utilizadas por las TACC? de las tcnicas de

Tcnicas para anlisis de transacciones: tienen como objetivo la seleccin y anlisis de transacciones significativas utilizando procedimientos analticos y tcnicas de muestreo. Tcnicas para anlisis de datos: Est orientada hacia el uso de programas informticos especializados que permiten de manera eficiente examinar la informacin que ha sido procesada electrnicamente a travs de los sistemas de informacin aplicativos o programas utilitarios. Tcnicas para anlisis de Aplicacin: Poseen un mayor grado de complejidad respecto a su aplicacin y grado de conocimiento tcnico que debe poseer el auditor, pues se orientan hacia la evaluacin del funcionamiento interno de las aplicaciones y el procesamiento de la informacin 8. EN QU CONSISTE LA TCNICA DE LA CONFIRMACIN? (Nueva prueba o seguridad de una cosa para corroborar la verdad) Es uno de los aspectos fundamentales para la credibilidad de una auditoria es la confirmacin de los hechos y la certificacin de los datos obtenidos durante la revisin; ya que el resultado final de una auditoria es la emisin de un dictamen en el que el auditor vierte sus opiniones en

hechos crebles, consiste en ratificar que lo expresado corresponda a hechos ciertos.

9. Cual es la extensin o alcance de los procedimientos de

auditoria Se llama extensin o alcance a la amplitud que se da a los procedimientos, es decir, la intensidad y profundidad con que se aplican prcticamente estos en cada uno de los casos para lo cualdeber tomar en cuenta la actividad u operacin que realiz la empresa o entidad. 10.Que tcnica utilizamos para obtener informacin en la empresa
La tcnica de la Investigacin que es la obtencin de datos e informacin por medio de los funcionarios de la empresa, Consiste en buscar informacin de las personas dentro y fuera de la entidad.

5..TECNICAS DE FRAUDE
1. EN QUE CONSISTE LA TECNICA DEL SALAMI: Consiste en desviar pequeas cantidades de bienes generalmente dinero de una fuente con una gran cantidad de los mismos, un programa salami roba pequeas cantidades de dinero de forma que pasa inadvertido 2. CUAL ES LA MEJOR DEFENSA CONTRA LA TECNICA DEL CABALLO DE TROYA Mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener el antivirus actualizado. 3. EN QUE CONSISTE LA TECNICA DE FRAUDE DE INGENIERIA SOCIAL Esta tcnica consiste en planear la forma de abordar a quienes puedan proporcionar informacin valiosa para poder realizar fraude, como contraseas o informacin personal. 4. EN QU CONSISTE LA TCNICA DE UTILIZAR LA APATA DEL USUARIO? Consiste en que los usuarios llegan a ver los sistemas como algo mgico y se convierten en personas demasiado creyentes. Creen que todo lo que hace la computadora es correcto, y llegan a familiarizarse con la

experiencia de que archivando las fastidiosas salidas con mensajes de error, estas desaparecen despus de un tiempo, situacin que puede ser aprovechada por el programador para cometer fraudes. 5. POR QU ES SUPERZAPPING? TAN PELIGROSA LA TCNICA DEL

Porque permite adicionar, modificar y eliminar registro de datos, datos de registros o agregar caracteres dentro de un archivo maestro, sin dejar rastro, sin modificar ni corregir los programas normalmente usados para mantener el archivo. Permite el acceso a la informacin omitiendo todos los controles y seguridades que se han establecido para los archivos. 6. EN QU CONSISTE LA TCNICA DEL TALADRO? Consiste en hacer llamadas desde un computador casero mediante ensayos permanentes hasta lograr el acceso en un sistema computarizado. se utiliza para descubrir las contraseas de acceso a terminales 7. QUE ES PHISHING? Es un trmino empleado en el mundo de internet para referirse a una estafa diseada para obtener informacin confidencial, como lo son nmeros de tarjetas de crdito, claves de acceso, datos de cuentas bancarias u otros datos personales. Este tipo de fraude se realiza en la mayora de los casos a travs de mensajes de correo electrnico. Dichos mensajes contienen enlaces a pginas web que son una rplica de la pgina web de la organizacin por la cual se hace pasar el estafador. en dicha pgina web falsa se solicita algn tipo de informacin confidencial que puede ser usada para hacer compras, solicitar crdito o, en el peor de los casos, robo de identidad. 8. EN QUE CONSISTE LA INGENIERIA SOCIAL? Esta tcnica consiste en planear la proporcionar informacin valiosa comisin de hechos ilcitos. conmovedores y/o a sobornar a las deseados. forma de abordar a quienes pueden o facilitar de alguna manera la se recurre luego a argumentos personas para alcanzar los objetivos

9. DE QUE TRATA LA TECNICA DE TRAMPAS PUERTA?

Son deficiencias del sistema operacional, desde las etapas de diseo original (agujeros del sistema operacional). Los expertos programadores del sistema pueden aprovechar las debilidades del sistema operacional para insertar instrucciones no autorizadas, en dicho sistema, con el objeto de configurar fraudes informticos. 10. A QUE SE REFIERE LA RECOLECCION DE BASURA?

la recoleccin de basura es una tcnica para obtener informacin abandonada o alrededor del sistema de computacin, despus de la ejecucin de un trabajo. Consiste en buscar copias de listados producidos por el computador y/o papel carbn y de all extraer informacin en trminos de programas, datos, contraseas y reportes especiales.

6..PAPELES DE TRABAJO

1. Que son papeles de trabajo? Documentos elaborados por el auditor durante el curso de la auditora que respaldan y fundamentan su informe

2. Por su contenido cuales son las clases de papeles de trabajo? Hoja de trabajo. Cdulas sumarias o de Resumen. Cdulas de detalle o descriptivas. Cdulas analticas o de comprobacin

3. Que son Papeles de trabajo obtenidos de otras fuentes? . Son los documentos preparados u obtenidos de fuentes independientes al rea auditada. 4. Cuales son las clases de cedulas de auditoria? Las sumarias y las analticas

5. Mencione al menos tres propsitos de los papeles de trabajo? Registro del trabajo realizado Registro de los resultados Sustento del informe del auditor 6. Para que le sirve determinar un ndice al auditor? Porque le permite la fcil y rpida identificacin de la informacin y los resultados obtenidos. 7. Mencione tres funciones de los papeles de trabajo? Facilitar la preparacin del informe. Comprobar y explicar en detalle las opiniones y conclusiones resumidas en el informe. Proporcionar informacin para la preparacin de declaraciones tributarias e informe para los organismos de control y vigilancia del estado. Coordinar y organizar todas las fases del trabajo 8. Porque periodo de tiempo se deben conservar los papeles de trabajo? Durante 5 aos como mnimo

9. Cuales son los tipos de papeles de trabajo? a) Preparados por la entidad auditada: estados financieros, memoria, escritura, contratos, acuerdo b) Confirmaciones de terceros: copias de facturas, cotizaciones, confirmacin de saldos entre otros c) Preparados por el auditor: cuestionarios y programas, descripciones, detalles de los diferentes captulos de los estados financieros, cuentas, transacciones 10. Que son las marcas de auditoria? . Son smbolos que documentan los P de T, dotndoles de significado y dejando constancia de parte del trabajo realizado.