Autoevaluciones de Implementacion
description
Transcript of Autoevaluciones de Implementacion
Autoevaluación Capítulo 1
1. ¿Para qué sirve el concepto de sistemas en la auditoría?
Para la evaluación y revisión de los controles, sistemas y procedimientos de informática de los equipos de cómputo, su utilización, eficiencia y seguridad de la organización que participa en el procesamiento de la información. 2. ¿Qué es auditoría?
Es el proceso sistemático de obtener y evaluar objetivamente la evidencia acerca de las afirmaciones relacionadas con actos y acontecimientos económicos, a fin de evaluar las declaraciones a la luz de los criterios establecidos y comunicar el resultado a las partes involucradas. 3. ¿Qué tipos de auditoría existen?
Financiera, Operacional, sistemas, fiscal, administrativa, calidad, social, interna, externa, cumplimiento y estratégica. 4. ¿Qué es una auditoría administrativa?
Es el examen completo y constructivo de la estructura de una empresa, de una institución, de una sección del gobierno o cualquier parte de un organismo en cuanto a sus planes, objetivos, sus métodos y controles, su forma de operación y sus facilidades humanas y físicas. 5. ¿Qué es auditoría de sistemas de información?
Es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficacia y seguridad, de la organización que participa en el procedimiento de la información. 6. ¿Qué es CAAT?
Son las técnicas de auditoria asistidas por computadora (Computer Assisted Audit Techniques) 7. ¿Cuáles son las funciones del auditor?
Responsable de planificar la auditoría, poseer la habilidad de determinar el nivel de experiencia requerido para la auditoria, identificar las fuentes de donde puede reclutar su personal, determinar los mejores métodos para mantener al día ese peritaje entre el cuerpo de auditores e identificar los métodos de entrenamiento disponibles para el personal de auditoría.
8. Describa tres estándares de auditoría.
Estándares internacionales: son promulgados por el sector privado y se encuentran en el nivel más altoLos cuerpos de auditoría: son aquellos que cada país desarrollan sus propios estándares.Estándares Individuales: son creados en cada organización dentro del país.Estándares establecidos por organizaciones profesionales: que son aquellos a la cual pueden pertenecer los auditores.
9. Describa tres de los principios a aplicar en la auditoría.
- Honestidad
- Responsabilidad
- Respeto
10. Explique los pasos al planificar la auditoría.
1. Determinación del alcance, identificación de temas que requiere atención antes de iniciar el estudio.
2. Objetivos y requerimientos.3. Recolectar evidencia.4. Analizar evidencia.5. Emitir conclusiones y recomendaciones.6. Emitir reportes en borrador.7. Aclaración del borrador.8. Reporte final de auditoría y publicación.
11. Explique tres normas generales de auditoría
Competencia profesional: es aquella donde un miembro solo aceptara el trabajo si su firma espera razonablemente terminar.Independencia: el auditor debe emitir sus informes independientes y ser muy objetivo a la hora de hacerlos.Cuidado y Diligencia: El auditor responsable debe cumplir con sus deberes en forma diligente y cuidadosa. 12. Explique tres normas técnicas de la auditoria.
Acuerdo con el cliente: se llegara a un acuerdo verbal o escrito con el cliente acerca de la naturaleza, el alcance y las limitaciones.Comunicación de los resultados: la información importante relativa a los resultados de un trabajo de asesoría así como cualesquiera limitaciones, salvedades o reservas.
El papel profesional: el profesional no asumirá la función de administrador ni actitud alguna que pudiera deteriorar su actividad 13. Explique tres normas de trabajo de auditoria
Planeación y supervisión adecuada: las actividades deben estar lo suficientemente planeada como para estar lo suficientemente planeada como para asegurar una auditoria adecuada y de una buena supervisión, la supervisión es esencial en la auditoria porque una parte considerable del trabajo lo realizan las personasSupervisar: dirigir el trabajo y determinar si se lograron los objetivos. 14. Defina que es el alcance Vertical
Son las partes de la auditoria de acuerdo a la profundidad de su estudio, entre ellos están los controles mínimos, procedimientos empíricos, técnicos y de fiabilidad 15. Menciones que son controles mínimos
Es el primer nivel empírico con controles simples y sin procedimientos escritos formales 16. Describa a la auditoria con procedimientos básicos
Es en este nivel donde existen métodos empíricos establecidos para detectar y / o evitar las fallas o errores 17. Defina la auditoria de procedimientos técnicos
Es el tercer nivel se establecen controles y procedimientos técnicos escritos, estos procedimientos se basan en estándares aceptados por asociaciones o grupos de auditorías. 18. Que es fiabilidad
Probabilidad que un sistema funcionara como se espera en un periodo, dadas ciertas condiciones 19. Defina la auditoria con procedimientos de fiabilidad
Asume que el sistema se encuentra en condiciones operativas. El periodo a que se refiere puede ser el tiempo de su misión, un número predefinido de ciclos o aun el ciclo de vida completo. 20. ¿A que se refiere el alcance horizontal de la auditoria?Se refiere a la extensión del estudio o aéreas que cubre, en algunas situaciones se complementan en ambos alcances
NIVEL VERTICALES
No Procedimientos Nivel 1
Nivel 2
Nivel 3
Nivel 4
1 Un despachador en una gasolinera mantiene el billete en la mano cuando va a entregar el vuelto al cliente para asegurar que entregara el vuelto correcto al billete recibido
x
2 Establecer cuotas a vendedores en una Distribuidora de vehículos a través de la circulación mensual de ventas
x
3 Manual de procedimientos para la adquisición de mobiliario y equipo en una institución del Estado.
X
4 Manual de procedimientos para la contratación de servicios profesionales para asesoría.
X
5 Manual de procedimientos para la contratación de seguros para los bienes de una organización de servicios contables.
X
6 Memorando a todo el personal operativo para establecer asignación de turnos de trabajo en una fábrica de ropa.
X
7 Memorando a todo el personal administrativo para establecer pago de horas extra y autorización de las mismas.
X
8 Manual de procedimientos para el cálculo de ingresos y egresos del personal de una cadena de supermercados.
X
9 Sumar dos veces las cantidades. En la primera vez efectuarla de la primera a la última cifra y la segunda de la última a la primera.
X
10 Contar número de personas en la lista de invitados y luego verificar contando cada elemento presente en la actividad. Determinar número de personas ausentes y buscar quienes son.
x
Autoevaluación Capítulo 2
1. Defina qué es auditoría administrativa.
Es el examen integral o parcial de una organización con el propósito de precisar su nivel de desempeño y oportunidades de mejora. 2. Mencione los objetivos de la auditoría administrativa
Control, productividad, organización, servicio, calidad, cambio, aprendizaje, toma de decisiones. 3. Describa los principios de auditoría
Sentido de la evaluación: Qué se cumplan los objetivos y se sigan los planes y que la aplicación de recursos se haga de manera eficiente.Proceso de verificación: Qué se este llevando realmente a cabo a nivel directivo, administrativo y operativo, y que concuerdo con lo que se esta realizando.Habilidad para pensar en términos administrativos: Qué el auditor pueda tener la suficiente capacidad para pensar de la misma manera del administrador. 4. Mencione las características del enfoque en la auditoría
Efectivo, eficiente y agrega valor. 5. Diga los pasos a seguir para llevar a cabo una auditoría administrativa.
Planificar la auditoría, estudio piloto o preliminar o de diagnóstico, reunir evidencia, analizar evidencia, conclusiones, presentar reporte de Auditoría en borrador, aclaración y aprobación del reporte de auditoría, presentar reporte final de auditoría y seguimiento.
6. Elabore un cuadro comparativo en la planeación a largo, mediano y corto plazo.
CUADRO COMPARATIVOPlaneación a largo Plazo Planeación a mediano
plazoPlaneación a corto
plazoEsta planificación se cuantifica en años (3 a 5 años), cubren la organización como un todo y usualmente incluyen secciones por depto. Divisiones, unidades y responsabilidades. Los objetivos son determinados y aprobados por la gerencia.
Este es un plan que cubre un periodo de 1 a 3 años, la planificación de este nivel usualmente se basa en la combinación de las demandas y requerimientos de los auditores y de la gerencia.
Este es un plan que cubre el futuro inmediato y detalles que la organización pretende hacer en un periodo de doce meses.
7. De el concepto de Diagnóstico.
Se deben precisar los elementos identificados en el plan inicial de trabajo, incluidos el objetivo general, los factores a examinar, las técnicas a emplear.
8. Resuma la etapa de la instrumentación.
Es la selección de las técnicas se deben considerar las circunstancias propias de la auditoría, la medición que se empleará, el manejo de los papeles de trabajo y evidencia, así como la supervisión necesaria para mantener una coordinación efectiva. 9. ¿Por qué es importante la recopilación de información?
Es importante para lograr un registro de todo tipo de evidencias, estas evidencias ayudarán a realizar un examen objetivo. 10. Mencione las técnicas de recopilación de información.
Observación directaAnálisis de documentaciónAcceso a bancos de informaciónEntrevistasCuestionariosCédulasListas de chequeo o cotejoBitácora del sistema (log)Mesas redondas, sesiones de trabajo, talleres.
11. Defina qué es planeación.
La planificación es un proceso de toma de decisiones para alcanzar un futuro deseado, teniendo en cuenta la situación actual y los factores internos y externos que pueden influir en el logro de los objetivos" 12. Al realizar una auditoría qué etapas deben contemplarse.
Definición y/o revisión de criteriosReunión de información preliminar y del sistema actualConsolidación de la información y evaluación contra los criterios establecidosRetroalimentaciónInforme de auditoría Monitoreo y seguimiento 13. Mencione los cuatro niveles estándares que hay
Estándares internacionales, los cuerpos de auditoría, Individuales y establecidos 14. ¿Qué habilidades deben poseer los auditores de sistemas?
La popularidad de los sistemas informáticos, y siendo la computación una tecnología en desarrollo constante, el auditor debe tener un entrenamiento efectivo para realizar la auditoría. 15. Mencione los aspectos que se deben considerar al establecer prioridades al planificar.
Hacia donde se dirige, sus objetivos a largo plazo.Cómo se ajustará la función de auditoría para adaptarse a cambiosRecursos requeridos para la auditoría (personal, equipo y financiamiento, etc)Requerimientos de entrenamiento 16. ¿Qué actividades debe realizar el equipo de auditoría?
Llevar a cabo una evaluación objetiva, imparcial y competente de las actividades administrativas y es un medio para reorientar continuamente los esfuerzos de la empresa hacia planes y objetivos en constante cambio. 17. Defina los tipos de planificación de auditoría.
Planeación estratégica a largo plazoPlaneación estratégica al mediano plazoPlaneación operacional
18. ¿Mencione los pasos a seguir al realizar auditoría?
Definición y/o revisión de criteriosReunión de información preliminar y del sistema actualConsolidación de la información y evaluación contra los criterios establecidosRetroalimentaciónInforme de auditoríaMonitoreo y seguimiento 19. ¿Cuáles son las fuentes de donde un auditor puede recabar evidencia?
Son internas y externas 20. Defina qué es el informe de auditoría
Es el pronunciamiento por escrito de los descubrimientos y las recomendaciones y conclusiones a las que llega el equipo de auditoria. 21. Mencione las partes que debe contener el informe de auditoría
Propósito y alcance de la auditoría administrativa, procedimientos utilizados de auditoria administrativa, exposición de hechos y problemas importantes, recomendaciones para resolver problemas, evaluación sobre el funcionamiento gerencial. 22.Cómo debe elaborarse el informe de auditoría
Preparar los documentos necesarios para su presentación y discusión, como por ejemplo, diagramas.Señalar claramente qué hallazgos y diagnósticos está sujeto al juicio de las personas responsables de la ejecución de las operaciones que se investigan.Exponer el desarrollo de los hallazgos y exponer propuestas de soluciónObtener el acuerdo de las diferentes opiniones sobre cada uno de los pasos antes de avanzar.Elaborar las conclusiones y recomendaciones del informe.
Autoevaluación Capítulo 3
1. ¿Que es un indicador?
Es aquel que permite observar la situación y las tendencias de cambio de dicha situación. 2. ¿Para qué sirven los indicadores?
Permite hacer comparaciones, hacer juicios, analizar tendencias y predecir cambios 3. ¿Mencionar las características de un indicador?
Aceptado por la organizaciónSusceptible de mediciónRelevante o útil para la toma de decisionesVerificable 4. ¿Explicar cómo se constituye un indicador?
1. Nombre2. El objetivo3. Los niveles de referencia4. El dueño del proceso5. Los puntos de lectura6. La frecuencia
5. Comparar los indicadores de eficiencia, efectividad y eficacia.
Eficiencia se refiere a medir el uso de los recursos en el proceso de alcanzar los resultados.Efectividad, es la medida de nuestros productos en el objetivo.Eficacia, el logro de los atributos del producto que satisface las necesidades, deseos y demandas de los clientes. 6. ¿Que es la evaluación del desempeño?
Es el proceso de orientado a analizar, comparar y evaluar los resultados esperados del desempeño de los empelados frente a los logros obtenidos con el fin de alcanzarlos 7. ¿Explicar cuáles son los objetivos de la evaluación del desempeño?
Permitir a mediciones del rendimiento del trabajador y de su potencial laboralPermitir el tratamiento de recursos humanos como una importante ventajaEstablecer estrategias de mejoramiento continuo
8. ¿Expresar la opinión respecto a los beneficios de la evaluación del desempeño?
Propone medidas y disposiciones orientadas a mejorar el estándar.Conocer los aspectos del comportamiento y desempeño que más valoraAyuda en la toma de decisiones acerca de las políticas de comprensión 9. Explicar tres de los métodos de evaluación de desempeño existente
Escala grafica de calificación, se debe fijar una escala cualitativa que califica al trabajo en función de adjetivos.Jerarquización de resultados de los trabajos, se caracteriza por su alto grado de subjetitividad.Identificación de errores, se orienta a localizar, calificar y otorgar un nivel de importancia de los errores 10. ¿Que es la auditoria del recurso humano?
Constituye una actividad de control de calidad de las actividades de administración de personal y una evaluación de cómo esas actividades constituyen a las estrategias corporativas generales
Autoevaluación
Capítulo 4
1. ¿Qué es la seguridad Física?
Se refiere a la protección del hardware y de los soportes de datos, así como la de los edificios e instalaciones que los albergan.
2. Mencione cual es el objetivo de la seguridad de la información:
Proteger los intereses de aquellos que conforman en dicha información y a los sistemas y comunicaciones que la facilitan de daños resultantes
3. Explique los eventos que pueden poner en riesgo la seguridad física
Incendios. Sabotajes, robos, catástrofes naturales.
4. Defina que es la seguridad de datos
Se refiere al resguardo de los datos de la organización tanto documentos físicos como electrónicos
5. ¿A que se refiere la seguridad de procedimiento o administrativa?
Se refiere a la vigilancia con respecto a las normas establecidas dentro de la organización
6. Defina que es un plan de recuperación ante desastres
Es proporcionar una serie de acciones predeterminadas que reducirán la necesidad de toma de decisiones durante las operaciones de recuperación, permite reasumir los servicios críticos rápidamente y posibilita la redundancia del servicio normal en el menor tiempo posible.
7. Resuma los 10 pasos que se deben de seguir para elaborar un plan
1. Obtener el compromiso, el apoyo ejecutivo es vital para el éxito de un plan de recuperación
2. Establecer un comité, este será responsable de desarrollar un plan comprensivo3. Elaborar un estudio de capacidad, se debe realizar un estudio global del ambiente de
los recursos de información4. Realizar un análisis de riesgo, se usa para evaluar potenciales interrupciones de
servicios y determinar niveles de protección5. Establecer prioridades del sistema, las aplicaciones automatizadas deben ser
revisadas con relación al riesgo6. Analizar y definir requerimientos, los recursos son necesarios para reasumir el
proceso debe identificarse y cuantificarse7. Diseñar programa para la reanudación, los procesos pre-planeados y el personal
entrenado reducirá significativamente el costo y tiempo.8. Realizar entrenamiento, la ejecución exitosa de un plan de reanudación de servicio
dependerá grandemente del reconocimiento de su importancia.9. Probar el plan, la comprobación del plan para lograr una planificación exitosa juega
un papel crítico y de ninguna manera puede ser enfatizado.10. Mantenimiento al plan, el plan debe ser actualizado debido a los cambios continuos
en los sistemas, software, aplicaciones, comunicaciones y operaciones
8. Llene el cuadro
Riesgo Descripción Causas ControlesIncendios Las instalaciones
eléctricas se debe proveer un número suficiente de tomas para corriente para evitar el uso de extensiones
Cortocircuito Establecer programas de prevención de incendios especificando responsables y sus funciones, entrenamiento del personal en uso de equipos de extinción de fuego y técnicas de protección
Inundaciones Válvulas de cierre de paso en especial en aéreas de acceso restringido. Verificar que existan drenajes adecuados en las instalaciones
Plomerías obstaculizadas o en mal estado y fenómenos naturales
Establecer normas y procedimientos para regular el chequeo periódico de las instalaciones de agua
Acceso físico Los equipos de acceso a la información debe protegerse contra el robo de información y del equipo mismo
Robo, Motín, actos de terrorismo
Cambio de claves de acceso o combinaciones deben hacerse en forma regular. Los visitantes deben ser escoltados en todo momento cuando ingresan a aéreas criticas
Fallo de equipo Chequeos periódicos de condiciones ambientales de operación especificadas por los fabricantes
Condiciones ambientales y Humedad
Inspeccionar los medios de almacenamiento para su sustitución en caso de daño o desgaste por uso
Protección de corriente eléctrica
Los suministros de energía, adaptadores y planta se deben inspeccionar regularmente.
Fallos en corriente, sobre carga de tomacorrientes, falta de tierra
Se debe revisar antes de hacer cualquier conexión de equipo nuevo sobre requerimiento de carga del mismo
Personal Cualquier usuario que intente utilizar cualquier facilidad del sistema debe requerírsele una identificación
Personal no debidamente identificado
Eliminar las claves de acceso del sistema de los usuarios que ya no laboran en la empresa
Autoevaluación Capítulo 5
1. Defina que es un recurso.
Es el medio indispensable utilizando en la entrega de un resultado o salida 2. Que es un procedimiento
Es un conjunto de pasos necesarios llevados a cabo por uno o varios individuos para lograr un resultado 3. Defina que es un evento de riesgo
Es cualquier evento no trivial que afecta la habilidad de una organización para el logro de sus objetivos 4. ¿Que es la administración del riesgo?
Implica dentro de muchas cosas, tomar acciones encaminadas a prevenir la ocurrencia de los eventos que interrumpen la operación normal del negocio 5. Explique la diferencia que existe entre falla y error
Son eventos que provocan una discontinuidad en el sistema o que hacen que este no entregue las salidas deseadas en el tiempo o momento oportunas 6. Explique el objetivo del análisis de riesgo
Identifica las diferentes firmas en que los recursos de un sistema están expuesto al riesgo 7. Mencione los pasos que incluyen el análisis de riesgo
Identificar cada riesgo existenteIndicar el por qué de dicho riesgoSeñalar la inversión que se justifica para proveer un nivel apropiado de protección 8. Mencione y describa los objetivos claves de seguridad
Confidencialidad. Evitar el acceso no autorizado al sistema y a la informaciónIntegridad, evitar la modificación no autorizada de la informaciónDisponibilidad, evitar que no haya continuidad en el desempeño de la organización por la falta o desperfecto de algunos de los elementos del sistema.
9. Realice una comparación entre los métodos cuantitativos y cualitativos
El método cuantitativo pretende establecer un balance entre el costo de implementar la seguridad versus el costo de fallar en implementarla, y el método cualitativo se basa en cuestionarios diseñados para evaluar los niveles de un rango conocido de amenazas y la vulnerabilidad de la organización ante ella. 10. Defina que es control
Es el mecanismo dentro del sistema que se ha situado en puntos de riesgo específicos para detectar fallas o errores y advertir sobre ellos 11. Explique que es un punto de riesgo
Es aquel lugar o momento en donde existe la posibilidad de que ocurra una falla o error 12. Ilustre los controles por su naturaleza
Físico, técnico de procedimiento, por su función, preventivos, etc 13. De ejemplos de controles por su función
Es prever de un daño o peligro al anticiparse al evento 14. Explique los controles por el medio utilizado
Es la combinación de aparatos para la supervisión de sistemas de seguridad atreves de ciertos monitoreo y procedimientos 15. Explique los controles por el sistema en que se aplican
Con aquellos que se utilizan en la autenticidad de las transacciones y el adecuado registro de las mismas, garantizando que se está operando en una forma efectiva y eficiente 16. Proporcione ejemplos e los diferentes niveles de protección que existen
Social ejemplo de ello son las leyes, administrativos y técnicos 17. Resuma los objetivos satisfechos por los controles
Reducir la amenaza, reducir la vulnerabilidad del sistema ante una amenaza particular, recudir el impacto pretende reducir los incidentes o amenazas de impactos producidos al sistema, detectar un incidente diseñados para detectar tanto intentos como violaciones de seguridad reales o inicios de un desastre y recuperación del impacto es el último mecanismo de defensa, diseñados para restaurar el servicio normal, incluyendo copias de seguridad planificación de desastre y controles de cambio.
EJERCICIO
Controles por su naturaleza y función
Clasifique los siguientes controles de acuerdo a su naturaleza y función. Luego complete la tabla adjunta.
Control Naturaleza Función
1 Gafete de identificación del personal
X
2 Guardia de seguridad en la puerta de ingreso a instalaciones
X
3 Grabación de llamadas entrantes y salientes
x
4 Filmación de recepción
x
5 Detector de humo X6 Extinguidores X7 Verificación del
nivel de autorización del usuario para efectuar operaciones delicadas en el sistema
x
8 Clave de acceso única por usuario
X
9 Dispositivo de detención de fugas de agua
X
10 Mapa de salidas de emergencia, colocación de extinguidores, detectores de incendio y suministros de agua
x
11 Guía para llevar a cabo respaldo de información
x
12 Identificación del código de inventario en los bienes de la organización
X
13 Tarjeta de responsabilidad de bienes por persona
X
14 Procedimiento de asignación de tareas y equipo a personal nuevo
x
15 Candados y cerraduras en áreas restringidas
X
16 Calendario de mantenimiento al aire acondicionado y condiciones de humedad
X
17 Instalación de equipos de protección de energía y planta generación eléctrica
X
18 Gafete de identificación de visitantes
X
19 Registro de visitantes a la organización
X
20 Tarjeta de horarios de entrada y salida del personal operativo
X