Autoevaluciones de Implementacion

Autoevaluación Capítulo 1

1. ¿Para qué sirve el concepto de sistemas en la auditoría?

Para la evaluación y revisión de los controles, sistemas y procedimientos de informática de los equipos de cómputo, su utilización, eficiencia y seguridad de la organización que participa en el procesamiento de la información. 2. ¿Qué es auditoría?

Es el proceso sistemático de obtener y evaluar objetivamente la evidencia acerca de las afirmaciones relacionadas con actos y acontecimientos económicos, a fin de evaluar las declaraciones a la luz de los criterios establecidos y comunicar el resultado a las partes involucradas. 3. ¿Qué tipos de auditoría existen?

Financiera, Operacional, sistemas, fiscal, administrativa, calidad, social, interna, externa, cumplimiento y estratégica. 4. ¿Qué es una auditoría administrativa?

Es el examen completo y constructivo de la estructura de una empresa, de una institución, de una sección del gobierno o cualquier parte de un organismo en cuanto a sus planes, objetivos, sus métodos y controles, su forma de operación y sus facilidades humanas y físicas. 5. ¿Qué es auditoría de sistemas de información?

Es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficacia y seguridad, de la organización que participa en el procedimiento de la información. 6. ¿Qué es CAAT?

Son las técnicas de auditoria asistidas por computadora (Computer Assisted Audit Techniques) 7. ¿Cuáles son las funciones del auditor?

Responsable de planificar la auditoría, poseer la habilidad de determinar el nivel de experiencia requerido para la auditoria, identificar las fuentes de donde puede reclutar su personal, determinar los mejores métodos para mantener al día ese peritaje entre el cuerpo de auditores e identificar los métodos de entrenamiento disponibles para el personal de auditoría.

8. Describa tres estándares de auditoría.

Estándares internacionales: son promulgados por el sector privado y se encuentran en el nivel más altoLos cuerpos de auditoría: son aquellos que cada país desarrollan sus propios estándares.Estándares Individuales: son creados en cada organización dentro del país.Estándares establecidos por organizaciones profesionales: que son aquellos a la cual pueden pertenecer los auditores.

9. Describa tres de los principios a aplicar en la auditoría.

- Honestidad

- Responsabilidad

- Respeto

10. Explique los pasos al planificar la auditoría.

1. Determinación del alcance, identificación de temas que requiere atención antes de iniciar el estudio.

2. Objetivos y requerimientos.3. Recolectar evidencia.4. Analizar evidencia.5. Emitir conclusiones y recomendaciones.6. Emitir reportes en borrador.7. Aclaración del borrador.8. Reporte final de auditoría y publicación.

11. Explique tres normas generales de auditoría

Competencia profesional: es aquella donde un miembro solo aceptara el trabajo si su firma espera razonablemente terminar.Independencia: el auditor debe emitir sus informes independientes y ser muy objetivo a la hora de hacerlos.Cuidado y Diligencia: El auditor responsable debe cumplir con sus deberes en forma diligente y cuidadosa. 12. Explique tres normas técnicas de la auditoria.

Acuerdo con el cliente: se llegara a un acuerdo verbal o escrito con el cliente acerca de la naturaleza, el alcance y las limitaciones.Comunicación de los resultados: la información importante relativa a los resultados de un trabajo de asesoría así como cualesquiera limitaciones, salvedades o reservas.

El papel profesional: el profesional no asumirá la función de administrador ni actitud alguna que pudiera deteriorar su actividad 13. Explique tres normas de trabajo de auditoria

Planeación y supervisión adecuada: las actividades deben estar lo suficientemente planeada como para estar lo suficientemente planeada como para asegurar una auditoria adecuada y de una buena supervisión, la supervisión es esencial en la auditoria porque una parte considerable del trabajo lo realizan las personasSupervisar: dirigir el trabajo y determinar si se lograron los objetivos. 14. Defina que es el alcance Vertical

Son las partes de la auditoria de acuerdo a la profundidad de su estudio, entre ellos están los controles mínimos, procedimientos empíricos, técnicos y de fiabilidad 15. Menciones que son controles mínimos

Es el primer nivel empírico con controles simples y sin procedimientos escritos formales 16. Describa a la auditoria con procedimientos básicos

Es en este nivel donde existen métodos empíricos establecidos para detectar y / o evitar las fallas o errores 17. Defina la auditoria de procedimientos técnicos

Es el tercer nivel se establecen controles y procedimientos técnicos escritos, estos procedimientos se basan en estándares aceptados por asociaciones o grupos de auditorías. 18. Que es fiabilidad

Probabilidad que un sistema funcionara como se espera en un periodo, dadas ciertas condiciones 19. Defina la auditoria con procedimientos de fiabilidad

Asume que el sistema se encuentra en condiciones operativas. El periodo a que se refiere puede ser el tiempo de su misión, un número predefinido de ciclos o aun el ciclo de vida completo. 20. ¿A que se refiere el alcance horizontal de la auditoria?Se refiere a la extensión del estudio o aéreas que cubre, en algunas situaciones se complementan en ambos alcances

NIVEL VERTICALES

No Procedimientos Nivel 1

Nivel 2

Nivel 3

Nivel 4

1 Un despachador en una gasolinera mantiene el billete en la mano cuando va a entregar el vuelto al cliente para asegurar que entregara el vuelto correcto al billete recibido

x

2 Establecer cuotas a vendedores en una Distribuidora de vehículos a través de la circulación mensual de ventas

x

3 Manual de procedimientos para la adquisición de mobiliario y equipo en una institución del Estado.

X

4 Manual de procedimientos para la contratación de servicios profesionales para asesoría.

X

5 Manual de procedimientos para la contratación de seguros para los bienes de una organización de servicios contables.

X

6 Memorando a todo el personal operativo para establecer asignación de turnos de trabajo en una fábrica de ropa.

X

7 Memorando a todo el personal administrativo para establecer pago de horas extra y autorización de las mismas.

X

8 Manual de procedimientos para el cálculo de ingresos y egresos del personal de una cadena de supermercados.

X

9 Sumar dos veces las cantidades. En la primera vez efectuarla de la primera a la última cifra y la segunda de la última a la primera.

X

10 Contar número de personas en la lista de invitados y luego verificar contando cada elemento presente en la actividad. Determinar número de personas ausentes y buscar quienes son.

x


1. Defina qué es auditoría administrativa.

Es el examen integral o parcial de una organización con el propósito de precisar su nivel de desempeño y oportunidades de mejora. 2. Mencione los objetivos de la auditoría administrativa

Control, productividad, organización, servicio, calidad, cambio, aprendizaje, toma de decisiones. 3. Describa los principios de auditoría

Sentido de la evaluación: Qué se cumplan los objetivos y se sigan los planes y que la aplicación de recursos se haga de manera eficiente.Proceso de verificación: Qué se este llevando realmente a cabo a nivel directivo, administrativo y operativo, y que concuerdo con lo que se esta realizando.Habilidad para pensar en términos administrativos: Qué el auditor pueda tener la suficiente capacidad para pensar de la misma manera del administrador. 4. Mencione las características del enfoque en la auditoría

Efectivo, eficiente y agrega valor. 5. Diga los pasos a seguir para llevar a cabo una auditoría administrativa.

Planificar la auditoría, estudio piloto o preliminar o de diagnóstico, reunir evidencia, analizar evidencia, conclusiones, presentar reporte de Auditoría en borrador, aclaración y aprobación del reporte de auditoría, presentar reporte final de auditoría y seguimiento.

6. Elabore un cuadro comparativo en la planeación a largo, mediano y corto plazo.

CUADRO COMPARATIVOPlaneación a largo Plazo Planeación a mediano

plazoPlaneación a corto

plazoEsta planificación se cuantifica en años (3 a 5 años), cubren la organización como un todo y usualmente incluyen secciones por depto. Divisiones, unidades y responsabilidades. Los objetivos son determinados y aprobados por la gerencia.

Este es un plan que cubre un periodo de 1 a 3 años, la planificación de este nivel usualmente se basa en la combinación de las demandas y requerimientos de los auditores y de la gerencia.

Este es un plan que cubre el futuro inmediato y detalles que la organización pretende hacer en un periodo de doce meses.

7. De el concepto de Diagnóstico.

Se deben precisar los elementos identificados en el plan inicial de trabajo, incluidos el objetivo general, los factores a examinar, las técnicas a emplear.

8. Resuma la etapa de la instrumentación.

Es la selección de las técnicas se deben considerar las circunstancias propias de la auditoría, la medición que se empleará, el manejo de los papeles de trabajo y evidencia, así como la supervisión necesaria para mantener una coordinación efectiva. 9. ¿Por qué es importante la recopilación de información?

Es importante para lograr un registro de todo tipo de evidencias, estas evidencias ayudarán a realizar un examen objetivo. 10. Mencione las técnicas de recopilación de información.

Observación directaAnálisis de documentaciónAcceso a bancos de informaciónEntrevistasCuestionariosCédulasListas de chequeo o cotejoBitácora del sistema (log)Mesas redondas, sesiones de trabajo, talleres.

11. Defina qué es planeación.

La planificación es un proceso de toma de decisiones para alcanzar un futuro deseado, teniendo en cuenta la situación actual y los factores internos y externos que pueden influir en el logro de los objetivos" 12. Al realizar una auditoría qué etapas deben contemplarse.

Definición y/o revisión de criteriosReunión de información preliminar y del sistema actualConsolidación de la información y evaluación contra los criterios establecidosRetroalimentaciónInforme de auditoría Monitoreo y seguimiento 13. Mencione los cuatro niveles estándares que hay

Estándares internacionales, los cuerpos de auditoría, Individuales y establecidos 14. ¿Qué habilidades deben poseer los auditores de sistemas?

La popularidad de los sistemas informáticos, y siendo la computación una tecnología en desarrollo constante, el auditor debe tener un entrenamiento efectivo para realizar la auditoría. 15. Mencione los aspectos que se deben considerar al establecer prioridades al planificar.

Hacia donde se dirige, sus objetivos a largo plazo.Cómo se ajustará la función de auditoría para adaptarse a cambiosRecursos requeridos para la auditoría (personal, equipo y financiamiento, etc)Requerimientos de entrenamiento 16. ¿Qué actividades debe realizar el equipo de auditoría?

Llevar a cabo una evaluación objetiva, imparcial y competente de las actividades administrativas y es un medio para reorientar continuamente los esfuerzos de la empresa hacia planes y objetivos en constante cambio. 17. Defina los tipos de planificación de auditoría.

Planeación estratégica a largo plazoPlaneación estratégica al mediano plazoPlaneación operacional

18. ¿Mencione los pasos a seguir al realizar auditoría?

Definición y/o revisión de criteriosReunión de información preliminar y del sistema actualConsolidación de la información y evaluación contra los criterios establecidosRetroalimentaciónInforme de auditoríaMonitoreo y seguimiento 19. ¿Cuáles son las fuentes de donde un auditor puede recabar evidencia?

Son internas y externas 20. Defina qué es el informe de auditoría

Es el pronunciamiento por escrito de los descubrimientos y las recomendaciones y conclusiones a las que llega el equipo de auditoria. 21. Mencione las partes que debe contener el informe de auditoría

Propósito y alcance de la auditoría administrativa, procedimientos utilizados de auditoria administrativa, exposición de hechos y problemas importantes, recomendaciones para resolver problemas, evaluación sobre el funcionamiento gerencial. 22.Cómo debe elaborarse el informe de auditoría

Preparar los documentos necesarios para su presentación y discusión, como por ejemplo, diagramas.Señalar claramente qué hallazgos y diagnósticos está sujeto al juicio de las personas responsables de la ejecución de las operaciones que se investigan.Exponer el desarrollo de los hallazgos y exponer propuestas de soluciónObtener el acuerdo de las diferentes opiniones sobre cada uno de los pasos antes de avanzar.Elaborar las conclusiones y recomendaciones del informe.


1. ¿Que es un indicador?

Es aquel que permite observar la situación y las tendencias de cambio de dicha situación. 2. ¿Para qué sirven los indicadores?

Permite hacer comparaciones, hacer juicios, analizar tendencias y predecir cambios 3. ¿Mencionar las características de un indicador?

Aceptado por la organizaciónSusceptible de mediciónRelevante o útil para la toma de decisionesVerificable 4. ¿Explicar cómo se constituye un indicador?

1. Nombre2. El objetivo3. Los niveles de referencia4. El dueño del proceso5. Los puntos de lectura6. La frecuencia

5. Comparar los indicadores de eficiencia, efectividad y eficacia.

Eficiencia se refiere a medir el uso de los recursos en el proceso de alcanzar los resultados.Efectividad, es la medida de nuestros productos en el objetivo.Eficacia, el logro de los atributos del producto que satisface las necesidades, deseos y demandas de los clientes. 6. ¿Que es la evaluación del desempeño?

Es el proceso de orientado a analizar, comparar y evaluar los resultados esperados del desempeño de los empelados frente a los logros obtenidos con el fin de alcanzarlos 7. ¿Explicar cuáles son los objetivos de la evaluación del desempeño?

Permitir a mediciones del rendimiento del trabajador y de su potencial laboralPermitir el tratamiento de recursos humanos como una importante ventajaEstablecer estrategias de mejoramiento continuo

8. ¿Expresar la opinión respecto a los beneficios de la evaluación del desempeño?

Propone medidas y disposiciones orientadas a mejorar el estándar.Conocer los aspectos del comportamiento y desempeño que más valoraAyuda en la toma de decisiones acerca de las políticas de comprensión 9. Explicar tres de los métodos de evaluación de desempeño existente

Escala grafica de calificación, se debe fijar una escala cualitativa que califica al trabajo en función de adjetivos.Jerarquización de resultados de los trabajos, se caracteriza por su alto grado de subjetitividad.Identificación de errores, se orienta a localizar, calificar y otorgar un nivel de importancia de los errores 10. ¿Que es la auditoria del recurso humano?

Constituye una actividad de control de calidad de las actividades de administración de personal y una evaluación de cómo esas actividades constituyen a las estrategias corporativas generales

Autoevaluación

Capítulo 4

1. ¿Qué es la seguridad Física?

Se refiere a la protección del hardware y de los soportes de datos, así como la de los edificios e instalaciones que los albergan.

2. Mencione cual es el objetivo de la seguridad de la información:

Proteger los intereses de aquellos que conforman en dicha información y a los sistemas y comunicaciones que la facilitan de daños resultantes

3. Explique los eventos que pueden poner en riesgo la seguridad física

Incendios. Sabotajes, robos, catástrofes naturales.

4. Defina que es la seguridad de datos

Se refiere al resguardo de los datos de la organización tanto documentos físicos como electrónicos

5. ¿A que se refiere la seguridad de procedimiento o administrativa?

Se refiere a la vigilancia con respecto a las normas establecidas dentro de la organización

6. Defina que es un plan de recuperación ante desastres

Es proporcionar una serie de acciones predeterminadas que reducirán la necesidad de toma de decisiones durante las operaciones de recuperación, permite reasumir los servicios críticos rápidamente y posibilita la redundancia del servicio normal en el menor tiempo posible.

7. Resuma los 10 pasos que se deben de seguir para elaborar un plan

1. Obtener el compromiso, el apoyo ejecutivo es vital para el éxito de un plan de recuperación

2. Establecer un comité, este será responsable de desarrollar un plan comprensivo3. Elaborar un estudio de capacidad, se debe realizar un estudio global del ambiente de

los recursos de información4. Realizar un análisis de riesgo, se usa para evaluar potenciales interrupciones de

servicios y determinar niveles de protección5. Establecer prioridades del sistema, las aplicaciones automatizadas deben ser

revisadas con relación al riesgo6. Analizar y definir requerimientos, los recursos son necesarios para reasumir el

proceso debe identificarse y cuantificarse7. Diseñar programa para la reanudación, los procesos pre-planeados y el personal

entrenado reducirá significativamente el costo y tiempo.8. Realizar entrenamiento, la ejecución exitosa de un plan de reanudación de servicio

dependerá grandemente del reconocimiento de su importancia.9. Probar el plan, la comprobación del plan para lograr una planificación exitosa juega

un papel crítico y de ninguna manera puede ser enfatizado.10. Mantenimiento al plan, el plan debe ser actualizado debido a los cambios continuos

en los sistemas, software, aplicaciones, comunicaciones y operaciones

8. Llene el cuadro

Riesgo Descripción Causas ControlesIncendios Las instalaciones

eléctricas se debe proveer un número suficiente de tomas para corriente para evitar el uso de extensiones

Cortocircuito Establecer programas de prevención de incendios especificando responsables y sus funciones, entrenamiento del personal en uso de equipos de extinción de fuego y técnicas de protección

Inundaciones Válvulas de cierre de paso en especial en aéreas de acceso restringido. Verificar que existan drenajes adecuados en las instalaciones

Plomerías obstaculizadas o en mal estado y fenómenos naturales

Establecer normas y procedimientos para regular el chequeo periódico de las instalaciones de agua

Acceso físico Los equipos de acceso a la información debe protegerse contra el robo de información y del equipo mismo

Robo, Motín, actos de terrorismo

Cambio de claves de acceso o combinaciones deben hacerse en forma regular. Los visitantes deben ser escoltados en todo momento cuando ingresan a aéreas criticas

Fallo de equipo Chequeos periódicos de condiciones ambientales de operación especificadas por los fabricantes

Condiciones ambientales y Humedad

Inspeccionar los medios de almacenamiento para su sustitución en caso de daño o desgaste por uso

Protección de corriente eléctrica

Los suministros de energía, adaptadores y planta se deben inspeccionar regularmente.

Fallos en corriente, sobre carga de tomacorrientes, falta de tierra

Se debe revisar antes de hacer cualquier conexión de equipo nuevo sobre requerimiento de carga del mismo

Personal Cualquier usuario que intente utilizar cualquier facilidad del sistema debe requerírsele una identificación

Personal no debidamente identificado

Eliminar las claves de acceso del sistema de los usuarios que ya no laboran en la empresa


1. Defina que es un recurso.

Es el medio indispensable utilizando en la entrega de un resultado o salida 2. Que es un procedimiento

Es un conjunto de pasos necesarios llevados a cabo por uno o varios individuos para lograr un resultado 3. Defina que es un evento de riesgo

Es cualquier evento no trivial que afecta la habilidad de una organización para el logro de sus objetivos 4. ¿Que es la administración del riesgo?

Implica dentro de muchas cosas, tomar acciones encaminadas a prevenir la ocurrencia de los eventos que interrumpen la operación normal del negocio 5. Explique la diferencia que existe entre falla y error

Son eventos que provocan una discontinuidad en el sistema o que hacen que este no entregue las salidas deseadas en el tiempo o momento oportunas 6. Explique el objetivo del análisis de riesgo

Identifica las diferentes firmas en que los recursos de un sistema están expuesto al riesgo 7. Mencione los pasos que incluyen el análisis de riesgo

Identificar cada riesgo existenteIndicar el por qué de dicho riesgoSeñalar la inversión que se justifica para proveer un nivel apropiado de protección 8. Mencione y describa los objetivos claves de seguridad

Confidencialidad. Evitar el acceso no autorizado al sistema y a la informaciónIntegridad, evitar la modificación no autorizada de la informaciónDisponibilidad, evitar que no haya continuidad en el desempeño de la organización por la falta o desperfecto de algunos de los elementos del sistema.

9. Realice una comparación entre los métodos cuantitativos y cualitativos

El método cuantitativo pretende establecer un balance entre el costo de implementar la seguridad versus el costo de fallar en implementarla, y el método cualitativo se basa en cuestionarios diseñados para evaluar los niveles de un rango conocido de amenazas y la vulnerabilidad de la organización ante ella. 10. Defina que es control

Es el mecanismo dentro del sistema que se ha situado en puntos de riesgo específicos para detectar fallas o errores y advertir sobre ellos 11. Explique que es un punto de riesgo

Es aquel lugar o momento en donde existe la posibilidad de que ocurra una falla o error 12. Ilustre los controles por su naturaleza

Físico, técnico de procedimiento, por su función, preventivos, etc 13. De ejemplos de controles por su función

Es prever de un daño o peligro al anticiparse al evento 14. Explique los controles por el medio utilizado

Es la combinación de aparatos para la supervisión de sistemas de seguridad atreves de ciertos monitoreo y procedimientos 15. Explique los controles por el sistema en que se aplican

Con aquellos que se utilizan en la autenticidad de las transacciones y el adecuado registro de las mismas, garantizando que se está operando en una forma efectiva y eficiente 16. Proporcione ejemplos e los diferentes niveles de protección que existen

Social ejemplo de ello son las leyes, administrativos y técnicos 17. Resuma los objetivos satisfechos por los controles

Reducir la amenaza, reducir la vulnerabilidad del sistema ante una amenaza particular, recudir el impacto pretende reducir los incidentes o amenazas de impactos producidos al sistema, detectar un incidente diseñados para detectar tanto intentos como violaciones de seguridad reales o inicios de un desastre y recuperación del impacto es el último mecanismo de defensa, diseñados para restaurar el servicio normal, incluyendo copias de seguridad planificación de desastre y controles de cambio.

EJERCICIO

Controles por su naturaleza y función

Clasifique los siguientes controles de acuerdo a su naturaleza y función. Luego complete la tabla adjunta.

Control Naturaleza Función

1 Gafete de identificación del personal

X

2 Guardia de seguridad en la puerta de ingreso a instalaciones

X

3 Grabación de llamadas entrantes y salientes

x

4 Filmación de recepción

x

5 Detector de humo X6 Extinguidores X7 Verificación del

nivel de autorización del usuario para efectuar operaciones delicadas en el sistema

x

8 Clave de acceso única por usuario

X

9 Dispositivo de detención de fugas de agua

X

10 Mapa de salidas de emergencia, colocación de extinguidores, detectores de incendio y suministros de agua

x

11 Guía para llevar a cabo respaldo de información

x

12 Identificación del código de inventario en los bienes de la organización

X

13 Tarjeta de responsabilidad de bienes por persona

X

14 Procedimiento de asignación de tareas y equipo a personal nuevo

x

15 Candados y cerraduras en áreas restringidas

X

16 Calendario de mantenimiento al aire acondicionado y condiciones de humedad

X

17 Instalación de equipos de protección de energía y planta generación eléctrica

X

18 Gafete de identificación de visitantes

X

19 Registro de visitantes a la organización

X

20 Tarjeta de horarios de entrada y salida del personal operativo

X

Autoevaluciones de Implementacion

Documents

Transcript of Autoevaluciones de Implementacion