TEMA 9
LA AUDITORÍA INFORMÁTICA
1. INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA
1.1 Definiciones de AI 1.2 Causas de AI
01 [Feb. 2008] ¿Cuál de las siguientes causas puede originar la realización de una AI? a) Insatisfacción de los usuarios.
b) Inseguridad de los SI.
c) Debilidades económico-financieras.
Nota: Las causas que pueden dar origen a una Auditoría Informática son desorganización y/o descoordinación, insatisfacción de los usuarios, debilidades económico-financieras, inseguridad de los SI y cumplimiento de la legalidad.
1.3 Objetivos de AI
01 [Sep. 2007] [Feb. 2008] ¿Cuál de los siguientes NO es un objetivo de una Auditoría Informática?
a) El mantenimiento de la operatividad. b) La mejora de la eficacia.
c) La mejora de la eficiencia (pág. 260) d) La mejora de la seguridad.
Nota: Los objetivos fundamentales de la AI son el mantenimiento de la operatividad y la mejora de la eficacia, la seguridad y la rentabilidad del sistema.
02 [Feb. 2005] ¿Cuál de las siguientes NO es una de las características de la eficacia de un sistema informático?
a) Información válida. b) Información oportuna. c) Información completa.
03 [Sep. 2006] En Auditoría Informática, la aportación de un SI de una información válida, exacta, completa, actualizada y oportuna se conoce como:
a) Operatividad.
b) Eficacia. (pág. 260)
c) Seguridad.
d) Rentabilidad.
04 [Feb. 2005] La optimización del uso de los recursos de un SI afecta a la:
a) Operatividad.
b) Eficacia.
c) Seguridad.
d) Rentabilidad. (pág. 260)
Nota común a 02 a 04: La eficacia tiene que ver con hacer lo correcto (información válida, exacta, completa, actualizada y oportuna) mientras que la rentabilidad tiene que ver con la optimización de los recursos (materiales, económicos y temporales).
05 [Sep. 2005] [Sep. 2006] Si una auditoría se centra en la disponibilidad del SI, se está auditando:
a) La operatividad. b) La eficacia.
c) La seguridad. (pág. 260) d) Ninguna de ellas.
Nota: La auditoría de seguridad se centra en la confidencialidad, la integridad y la disponibilidad.
2. EL AUDITOR Y EL DEPARTAMENTO DE AI 2.1 El auditor informático
01 [Feb. 2007] ¿Qué de lo siguiente NO debe hacer un auditor? a) Recomendar.
b) Diagnosticar en función a imposiciones. (pág. 261) c) Ser objetivo.
d) Ser competente en AI.
Nota: Un auditor no debe obligar ni amenazar, actuar en beneficio propio, asumir trabajos sin preparación adecuada, diagnosticar en función a imposiciones y dejar obsoletos sus conocimientos.
02 [Feb. 2007] ¿En cuántas clases se puede clasificar las actividades típicas del auditor informático? a) 3. b) 4. c) 5. (pág. 263) d) 6.
Nota: Se pueden clasificar las actividades del auditor informático en cinco áreas que son la auditoría de gestión de SI, auditoría de los sistemas en desarrollo, auditoría de los sistemas implantados, auditoría del CPD y apoyo a los auditores no informáticos.
2.2 El departamento de AI
01 [Feb. 2006] [Feb. 2008] ¿De quién depende el área de AI? a) Responsable de Informática.
b) Administrador de Seguridad. c) Director Administrativo. d) Ninguno de ellos. (pág. 263)
Nota: El área de AI puede depender de la Dirección general, del Director de Auditoría general o del Jefe del Director de Informática.
3. TIPOS DE AI
01 [Sep. 2006] La auditoría que analiza la adecuación de los procedimientos establecidos, de las funciones y de las responsabilidades en función a las necesidades y problemas de la empresa es la auditoría:
a) Informática. b) De calidad.
c) Organizativa. (pág. 265) d) Ninguna de ellas.
02 [Dic. 2007] ¿Qué tipo de auditoría es la que analiza la adecuación de los procedimientos establecidos?
a) Auditoría de gestión. b) Auditoría de calidad. c) Auditoría informática.
d) Auditoría organizativa. (pág. 265)
3.1 AI según áreas a considerar
01 [Sep. 2005] ¿Cuál de las siguientes es un área general en la que pueda centrarse la auditoría:
a) Dirección de informática. b) Comunicaciones. (pág. 266)
c) Usuarios.
d) Seguridad.
02 [Feb. 2007] ¿Cuál de los siguientes NO es un área en que se centre una auditoría informática?
a) Externa. (pág. 266) b) Interna..
c) Usuarios.
d) Dirección de Informática.
Nota común a 01 a 02: La áreas generales en las que se centra una auditoría informática son dirección de informática, usuarios, interna y seguridad.
3.2 AI según los realizadores
3.3 AI según el ámbito de aplicación
01 [Feb. 2007] [Sep. 2007] ¿Cuál de los siguientes NO es un ámbito de aplicación de la AI?
a) De datos de salida. (pág. 268) b) De cifras.
c) De procedimientos. d) De gestión informática
Nota: Según el ámbito de aplicación se puede distinguir tres tipos de auditoría (de cifras, de procedimientos y de gestión informática).
4. METODOLOGÍA PARA LA REALIZACIÓN DE UNA AI
01 [Feb. 2007] [Sep. 2007] ¿Cuál es la fase 3 de la metodología para la realización de una Auditoría Informática?
a) Determinación de recursos. (pág. 273) b) Elaboración del plan.
c) Estudio previo. d) Realización
02 [Feb. 2006] [Feb. 2007] La cuarta fase de una metodología típica de auditoría informática es:
a) Estudio previo.
b) Definición de ámbito y objetivos. c) Determinación de recursos. d) Elaboración del plan. (pág. 273)
Nota común a 01 a 02: Las etapas son Definición de ámbito y objetivos, Estudio previo, Determinación de recursos, Elaboración del Plan, Ejecución y Elaboración del informe final.
4.1 Definición de ámbito y objetivo 4.2 Estudio previo
4.3 Determinación de recursos 4.4 Realización
01 [Feb. 2006] ¿Cuál de las siguientes NO es una técnica a utilizar en la ejecución de una auditoría?
a) Entrevistas.
b) Cuestionarios escritos. (pág. 277 y 279)
c) Muestreos.
d) Simulaciones.
Nota: Los cuestionarios o check list han de ser contestados oralmente, a fin de que el auditor pueda aclara la respuesta del entrevistado.
5. HERRAMIENTAS, TÉCNICAS Y NORMAS PARA LA AI 5.1 Las entrevistas
01 [Feb. 2007] [Sep. 2007] La entrevista en una auditoría informática debe... a) Seguir un plan predeterminado.
b) Basarse en un cuestionario específico. c) Tomar la forma de una conversación formal. d) Buscar una finalidad concreta. (pág. 279)
Nota: La entrevista tiene que ser correcta sin llegar a formal, y aunque se prepare concienzudamente no debe seguir ni un plan predeterminado ni un cuestionario. Las