Auditoría de Sistemas de Información - Controles y Riesgos

Flashcards de repaso sobre los conceptos clave de controles y riesgos en auditoría de sistemas de información.

¿Cuáles son algunas de las razones para controlar en sistemas de información?

Mantenimiento de privacidad, costos por pérdida de datos, valor de hardware/software/personal, costos por abusos/errores computacionales, toma de decisiones incorrectas, evolución controlada de TI.

¿Qué es la auditoría de sistemas de información?

El proceso de recolectar y evaluar evidencia para determinar si el sistema automático preserva los activos, mantiene la integridad de los datos, permite alcanzar los objetivos organizacionales con eficacia y usa los recursos con eficiencia.

¿Qué pasos se deben seguir para implementar sistemas de control?

Saber qué es un control y cómo funcionan, determinar qué controlar, estimar la confiabilidad de los controles y estimar el riesgo de la auditoría.

¿Qué es un control?

Un sistema que previene, detecta o corrige eventos ilegales.

¿Qué asegura un sistema de control de passwords?

Seguridad para elegir passwords, correcta validación, almacenamiento seguro, seguimiento en el uso indebido.

¿Cómo puede surgir un evento ilegal en un sistema?

Inputs no autorizados, inexactos, incompletos, redundantes, ineficaces o ineficientes; transformación no autorizada, inexacta, incompleta, ineficiente o ineficaz.

¿Cuál es el objetivo de un control preventivo?

Reduce la probabilidad de que ocurran eventos ilegales.

¿Cuál es el objetivo de los controles detectivos y correctivos?

Reduce la cantidad de pérdidas cuando los eventos ilegales ocurren.

¿Cómo se administra la complejidad en un sistema para su auditoría?

Factorizar el sistema en subsistemas y determinar la confiabilidad de cada subsistema.

¿Qué es un subsistema?

Un componente de un sistema que realiza ciertas funciones básicas necesarias y le permite atender sus objetivos fundamentales.

¿Cuál es la esencia de un subsistema?

La función que realiza.

¿Qué son las funciones gerenciales?

Las funciones que se deben realizar para asegurar que el desarrollo, la implementación, operación y mantenimiento de los sistemas de información proceden de una forma planificada y controlada.

¿Qué son las funciones de aplicación?

Tareas necesarias para ejecutar un procesamiento de información confiable, relacionado con ciclos.

¿Cuáles son los ciclos en los que se dividen los sistemas de información que soportan una organización?

Ventas y cobranzas, administración de personal, sueldos y jornales, compras y pagos, producción, inventario y almacenaje, tesorería (contabilidad).

¿Cuáles son los subsistemas de aplicación?

Limítrofe, Input, Comunicaciones, Procesamiento, Base de Datos, Output.

¿Qué pasos se siguen para evaluar la confiabilidad de los subsistemas?

Determinar el menor nivel de los subsistemas y evaluar la confiabilidad de los controles en cada uno.

¿Qué se debe hacer para evaluar la confiabilidad de los controles?

Identificar todos los posibles tipos de eventos que pueden ocurrir en el subsistema, considerando tanto eventos válidos como ilegales.

¿Qué se debe hacer para cada función al considerar las principales funciones de un subsistema?

Analizar cómo debería realizarse y evaluar cómo el subsistema cumple con esa visión normativa.

¿Cómo se aplica la técnica de walk-through?

Se considera una transacción particular, se identifican todos los componentes del sistema que procesan la transacción, se entiende cada paso de procesamiento y se considera cualquier error o irregularidad.

¿Cómo se trabaja con clases de transacciones?

Se agrupan transacciones que tengan un procesamiento similar, se entienden esas transacciones y los eventos que puedan surgir como grupo, tratando solo las transacciones importantes para los objetivos de la auditoría.

¿Qué se debe considerar para cada evento ilegal?

Cómo los controles cubren el tipo de evento, cuán confiables son los controles y si puede ocurrir un error material o una irregularidad.

¿Cuáles son los pasos de evaluación de la confiabilidad en cualquier nivel de la estructura?

Identificar las transacciones que ingresan al sistema, considerar los eventos legales e ilegales que puedan ocurrir y asegurar la confiabilidad de los controles que detectan los eventos ilegales.

¿Qué es el riesgo de auditoría?

Es el riesgo de que un auditor fracase al detectar las pérdidas materiales reales o potenciales, o los registros incorrectos.

¿Cuáles son los tipos de riesgos en una auditoría?

Riesgo Deseado, Riesgo Inherente, Riesgo de Control, Riesgo de Detección.

¿Qué refleja el Riesgo Inherente?

La probabilidad de que una pérdida material o una imputación errónea exista en algún segmento de la auditoría, antes de considerar la confiabilidad de los controles internos.

¿Qué refleja el Riesgo de Control?

La probabilidad de que los controles internos no prevengan, detecten o corrijan pérdidas materiales o imputaciones erróneas.

¿Qué refleja el Riesgo de Detección?

La probabilidad de que los procedimientos de auditoría fallen en detectar pérdidas materiales o imputaciones erróneas.

¿Qué factores generales se consideran al evaluar el Riesgo Inherente?

La naturaleza de la organización, la industria en la que opera, las características del gerenciamiento, intereses contables y de auditoría.

¿Qué factores se consideran para cada segmento al evaluar el Riesgo Inherente?

Sistemas financieros, sistemas estratégicos, sistemas de operación crítica, sistemas de tecnología avanzada.

¿Cómo actúan los controles gerenciales?

Actúan como capas de protección por encima de los controles de aplicación.