Módulo

Seguridad y Auditoría en
Tecnologías de la Información
 Autor del documento:

Centro de Apoyo Tecnológico a Emprendedores

Datos de contacto:

E-Mail: bilib@[Link]
Página Web: [Link]
Teléfono: 967 555 311

Licencia del documento:

Copyright © 2017, Centro de Apoyo Tecnológico a Emprendedores

Publicado bajo licencia Creative Commons By - Sa

Usted es libre de:

• Copiar, distribuir y comunicar públicamente la obra.

• Hacer obras derivadas
• Bajo las condiciones siguientes:

Reconocimiento. Debe reconocer los créditos de la obra de la manera especificada por el autor
o el licenciador (pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que
hace de su obra).

Compartir bajo la misma licencia. Si transforma o modifica esta obra para crear una obra
derivada, sólo puede distribuir la obra resultante bajo la misma licencia, una similar o una
compatible.

Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta
obra.

Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los
derechos de autor.

Nada en esta licencia menoscaba o restringe los derechos morales del autor.

Los logos y marcas anunciados o referidos en este documento son propiedad de sus
respectivos dueños, todos o algunos derechos reservados dependiendo de su Licencia.

2 Auditoría informática. 1
 Índice
Índice ............................................................................................................................... 2

1. Introducción del módulo ........................................................................................ 3

1.1 Objetivos del módulo ........................................................................................ 4

2. Auditoría informática .............................................................................................. 5

2.1 Conceptos de auditoría informática ................................................................. 5

2.2 Objetivos............................................................................................................ 6

2.3 Tipos de auditoría informática .......................................................................... 8

2.4 Herramientas y técnicas de la auditoría ......................................................... 11

2.4.1 Informe final. Estructura del informe y ejemplo. ..................................... 15

2.5 Principios y reglas ............................................................................................ 18

3. Glosario de términos del módulo ......................................................................... 22

4. Bibliografía ............................................................................................................ 23

5. Cuestionario de autoevaluación ........................................................................... 24

2 Auditoría informática. 2
 1. Introducción del módulo
La auditoría dentro de una organización, es el examen crítico y sistemático que realiza
una persona o grupo de personas calificadas e independientes del sistema auditado. El
principal propósito es emitir una opinión independiente y competente acerca de la
información financiera, operativa y administrativa apoyada en el cumplimiento de las
obligaciones fiscales o jurídicas; o bien, de las políticas internas de la empresa u
organización.

Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para

designar a la «auditoría externa de estados financieros», que es aquella realizada por
un profesional generalmente experto en contabilidad, de los libros y registros
contables de una entidad, para opinar sobre la razonabilidad de la información
contenida en ellos y sobre el cumplimiento de las normas contables.

Además, se dice que la auditoría es una serie de métodos de investigación y análisis

con el objetivo de producir la revisión y evaluación profunda de la gestión efectuada.

La Auditoría informática se conoce como el proceso de recoger, agrupar y evaluar

evidencias para determinar si un sistema de información salvaguarda el activo
empresarial. Además, mantiene la integridad de los datos, lleva a cabo eficazmente los
fines de la organización y utiliza eficientemente los recursos.

2 Auditoría informática. 3
 1.1 Objetivos del módulo

El objetivo general de este módulo es proporcionar al alumno los conocimientos

necesarios para:

• Conocer el concepto de auditoría informática.

• Identificar los objetivos de auditoría informática.
• Saber los diferentes tipos de auditoría informática.
• Estar informado de las herramientas y técnicas de auditoría.
• Conocer los principios y reglas de la auditoría informática.

2 Auditoría informática. 4
 2. Auditoría informática
2.1 Conceptos de auditoría informática

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema de Información salvaguarda el activo empresarial, mantiene
la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están

implantados en una empresa u organización, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los
cambios que se deberían realizar para la consecución de los mismos. Los mecanismos
de control pueden ser directivos, preventivos, de detección, correctivos o de
recuperación ante una contingencia.

DEFINICIÓN: Auditoría informática.

La Auditoría Informática es un examen que se realiza con carácter objetivo, crítico,
sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado
de los recursos informáticos, de la gestión informática y si estas han brindado el
soporte adecuado a los objetivos y metas del negocio.

2 Auditoría informática. 5
 2.2 Objetivos

La auditoría Informática deberá comprender no sólo la evaluación de los equipos

informáticos, de un sistema o procedimiento específico, sino que además habrá de
evaluar los sistemas de información en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtención de información.

Los objetivos de la auditoría Informática son:

• El control de la función informática

• El análisis de la eficiencia de los Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa

como:

• Eficiencia
• Eficacia
• Rentabilidad
• Seguridad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

• Gobierno corporativo
• Administración del Ciclo de vida de los sistemas
• Servicios de Entrega y Soporte
• Protección y Seguridad
• Planes de continuidad y Recuperación de desastres

2 Auditoría informática. 6
 Actualmente la certificación de ISACA para ser CISA Certified Information Systems
Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya
que el proceso de selección consta de un examen inicial bastante extenso y la
necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la
certificación.

Enlaces:

[Link]
auditores-informaticos/

[Link]

[Link]

[Link]
informatica/

2 Auditoría informática. 7
 2.3 Tipos de auditoría informática

En sí la auditoría informática tiene 2 tipos las cuales son:

• Auditoría interna: Es aquella que se hace desde dentro de la empresa; sin

contratar a personas ajena, en el cual los empleados realizan esta auditoría
trabajan ya sea para la empresa que fueron contratados o simplemente algún
afiliado a esta.
• Auditoría externa: Es aquella en la cual la empresa contrata a personas de
afuera para que haga la auditoría en su empresa. Auditar consiste
principalmente en estudiar los mecanismos de control que están implantados
en una empresa u organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios
que se deberían realizar para la consecución de los mismos.

Los mecanismos de control en el área informática pueden ser directivos, preventivos,

de detección, correctivos o de recuperación ante una contingencia.

Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones
contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:

• Necesidad de auditar una materia de gran especialización, para la cual los

servicios propios no están suficientemente capacitados.
• Contrastar algún Informe interno con el que resulte del externo, en aquellos
supuestos de emisión interna de graves recomendaciones que chocan con la
opinión generalizada de la propia empresa.

2 Auditoría informática. 8
 • Servir como mecanismo protector de posibles auditorías informáticas externas
decretadas por la misma empresa.
• Aunque la auditoría interna sea independiente del Departamento de Sistemas,
sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen
auditorías externas como para tener una visión desde afuera de la empresa.

Dentro de la auditoría informática, independiente de si se realiza de manera interna

o externa, destacan los siguientes tipos (entre otros):

• Auditoría de la gestión: Referido a la contratación de bienes y servicios,

documentación de los programas, etc.

2 Auditoría informática. 9
 • Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de
integridad y calidad de los datos.
• Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Referido a la ubicación de la organización,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situación
física de esta. También está referida a las protecciones externas (arcos de
seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de
los sistemas de información.
• Auditoría de las comunicaciones.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Enlaces:

[Link]
[Link]/bitstream/handle/10016/6136/PFC_German_Ramirez_Rodriguez.pd
f?sequence=1

Anexos:

PFC_Sergio_Lucena_Prats_2006_201212212438.pdf

2 Auditoría informática. 10
 2.4 Herramientas y técnicas de la auditoría

Existen diferentes herramientas y técnicas para realizar las auditorías informáticas. Las
más utilizadas son:

• Cuestionarios: Las auditorías informáticas se materializan recabando

información y documentación de todo tipo. Los informes finales de los auditores
dependen de sus capacidades para analizar las situaciones de debilidad o
fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en
lograr toda la información necesaria para la emisión de un juicio global objetivo,
siempre amparado en hechos demostrables, llamados también evidencias. Para
esto, suele ser lo habitual comenzar solicitando la cumplimentación de
cuestionarios preimpresos que se envían a las personas concretas que el auditor
cree adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no
pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y
muy específicos para cada situación, y muy cuidados en su fondo y su forma.
• Entrevistas: El auditor comienza a continuación las relaciones personales con el
auditado. Lo hace de tres formas:
 Mediante la petición de documentación concreta sobre alguna materia
de su responsabilidad.
 Mediante "entrevistas" en las que no se sigue un plan predeterminado ni
un método estricto de sometimiento a un cuestionario.
 Por medio de entrevistas en las que el auditor sigue un método
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor;
en ellas, éste recoge más información, y mejor matizada, que la proporcionada

2 Auditoría informática. 11
 por medios propios puramente técnicos o por las respuestas escritas a
cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista
entre auditor y auditado se basa fundamentalmente en el concepto de
interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo.
• Checklist: El auditor profesional y experto es aquél que reelabora muchas veces
sus cuestionarios en función de los escenarios auditados. Tiene claro lo que
necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de
análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de
someter al auditado a unas preguntas estereotipadas que no conducen a nada.
Muy por el contrario, el auditor conversará y hará preguntas "normales", que
en realidad servirán para la cumplimentación sistemática de sus Cuestionarios,
de sus Checklists. El conjunto de estas preguntas recibe el nombre de Checklist.
Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que
superan en riqueza y generalización a cualquier otra forma.
El auditor deberá aplicar el Checklist de modo que el auditado responda clara y
escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en
los casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor
amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente
la presión sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en
fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los
puntos contradictorios; el auditor deberá analizar los matices de las respuestas
y reelaborar preguntas complementarias cuando hayan existido

2 Auditoría informática. 12
 contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe
percibir un excesivo formalismo en las preguntas. El auditor, por su parte,
tomará las notas imprescindibles en presencia del auditado, y nunca escribirá
cruces ni marcará cuestionarios en su presencia.
• Trazas y/o Huellas: Con frecuencia, el auditor informático debe verificar que los
programas, tanto de los Sistemas como de usuario, realizan exactamente las
funciones previstas, y no otras. Para ello se apoya en productos Software muy
potentes y modulares que, entre otras funciones, rastrean los caminos que
siguen los datos a través del programa. Muy especialmente, estas "Trazas" se
utilizan para comprobar la ejecución de las validaciones de datos previstas. Las
mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendrá
de antemano las fechas y horas más adecuadas para su empleo.

Enlaces:
[Link]

[Link]
la_8774.html

[Link]
auditores-informaticos/

2 Auditoría informática. 13
 Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean
productos que comprueban los valores asignados por Técnica de Sistemas a cada uno
de los parámetros variables de las Librerías más importantes del mismo. Estos
parámetros variables deben estar dentro de un intervalo marcado por el fabricante. A
modo de ejemplo, algunas instalaciones descompensan el número de iniciadores de
trabajos de determinados entornos o toman criterios especialmente restrictivos o
permisivos en la asignación de unidades de servicio según cuales tipos carga. Estas
actuaciones, en principio útiles, pueden resultar contraproducentes si se traspasan los
límites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de

la auditoría informática de Sistemas: el auditor informático emplea preferentemente
la amplia información que proporciona el propio Sistema.

Software de Interrogación: Hasta hace ya algunos años se han utilizado productos

software llamados genéricamente <paquetes de auditoría>, capaces de generar
programas para auditores escasamente cualificados desde el punto de vista
informático.

2 Auditoría informática. 14
 Más tarde, dichos productos evolucionaron hacia la obtención de muestreos
estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación
real de una instalación.

En la actualidad, los productos Software especiales para la auditoría informática se

orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y
bases de datos de la empresa auditada. Estos productos son utilizados solamente por
los auditores externos, por cuanto los internos disponen del software nativo propio de
la instalación.

2.4.1 Informe final. Estructura del informe y ejemplo.

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la
elaboración final es el exponente de su calidad. El informe final contiene todo lo
relativo a la auditoría.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al

informe final, los que son elementos de contraste entre opinión entre auditor y
auditado y que pueden descubrir fallos de apreciación en el auditor.

2 Auditoría informática. 15
 Estructura del informe final. El informe comienza con la fecha de comienzo de la
auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor
y los nombres de todas las personas entrevistadas, con indicación de la jefatura,
responsabilidad y puesto de trabajo que ostente.

También incluye, la definición de objetivos y alcance de la auditoría, enumera los temas

considerados que antes de tratarlos con profundidad, se enumerarán lo más
exhaustivamente posible todos los temas objeto de la auditoría.

En el cuerpo expositivo, para cada tema, se seguirá el siguiente orden a saber:

• Situación actual. Cuando se trate de una revisión periódica, en la que se analiza

no solamente una situación sino además su evolución en el tiempo, se expondrá
la situación prevista y la situación real
• Tendencias. Se tratarán de hallar parámetros que permitan establecer
tendencias futuras.
• Puntos débiles y amenazas.
• Recomendaciones y planes de acción. Constituyen junto con la exposición de
puntos débiles, el verdadero objetivo de la auditoría informática.
• Redacción posterior de la Carta de Introducción o Presentación.

El informe debe incluir solamente hechos importantes.

La inclusión de hechos poco relevantes o accesorios desvía la atención del lector. El

Informe debe consolidar los hechos que se describen en el mismo.

El término de "hechos consolidados" adquiere un especial significado de verificación

objetiva y de estar documentalmente probados y soportados. La consolidación de los
hechos debe satisfacer, al menos los siguientes criterios:

2 Auditoría informática. 16
 • El hecho debe poder ser sometido a cambios.
• Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situación.
• No deben existir alternativas viables que superen al cambio propuesto.
• La recomendación del auditor sobre el hecho debe mantener o mejorar las
normas y estándares existentes en la instalación.

La aparición de un hecho en un informe de auditoría implica necesariamente la

existencia de una debilidad que ha de ser corregida.

• Hecho encontrado. Ha de ser relevante para el auditor y pera el cliente. Ha de

ser exacto, y además convincente. No deben existir hechos repetidos.
• Consecuencias del hecho. Las consecuencias deben redactarse de modo que
sean directamente deducibles del hecho.
• Repercusión del hecho. Se redactará las influencias directas que el hecho pueda
tener sobre otros aspectos informáticos u otros ámbitos de la empresa.
• Conclusión del hecho. No deben redactarse conclusiones más que en los casos
en que la exposición haya sido muy extensa o compleja.
• Recomendación del auditor informático. Deberá entenderse por sí sola, por
simple lectura. Deberá estar suficientemente soportada en el propio texto.
Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementación. La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan implementarla.

La Carta de introducción o presentación del informe final. Tiene especial importancia

porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al

2 Auditoría informática. 17
 responsable máximo de la empresa, o a la persona concreta que encargo o contrato la
auditoría.

Así como pueden existir tantas copias del informe Final como solicite el cliente, la
auditoría no hará copias de la citada carta de Introducción.

La carta de introducción poseerá los siguientes atributos:

• Tendrá como máximo 4 folios.

• Incluirá fecha, naturaleza, objetivos y alcance.
• Cuantificará la importancia de las áreas analizadas.
• Proporcionará una conclusión general, concretando las áreas de gran debilidad.
• Presentará las debilidades en orden de importancia y gravedad.
• En la carta de Introducción no se escribirán nunca recomendaciones.

Enlaces:

[Link]

Anexos:

estudios_y_auditorias_de_seguridad_informatica_para_lopd.pdf

2.5 Principios y reglas

Existen varios principios y reglas en la auditoría informática. Los más importantes son:

Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de éstas

los medios y las acciones de investigación que se consideren necesarios y suficientes.

2 Auditoría informática. 18
 La auditoría informática sólo tiene sentido si se define su finalidad: examen de la
eficacia o seguridad de un sistema, de la fiabilidad de una aplicación, verificación de la
aplicación, etc...

La finalidad está en emitir un juicio sobre el management del sistema de

Informaciones.

Regla: la auditoría informática consiste en comparar uno o varios actos de

management, desde uno o varios puntos de vista, con los que deberían ser.

La auditoría informática siempre llegará a una conclusión cuando los medios asignados
sean suficientes y las acciones sean posibles. La auditoría informática jamás debe
empañar su finalidad ni limitarse a lo que es más sencillo de examinar, so pena de que
el juicio que emita carezca de valor al caer fuera de la cuestión verdadera. Debe ser
completa en su finalidad, ya que basta una laguna para que deje de estar garantizada
la solidez de todo el control.

2 Auditoría informática. 19
 Regla: los medios y las acciones elegidas por el auditor deben adaptarse
exclusivamente a la finalidad de la auditoría, siendo coherentes entre sí y, desde luego,
fiables y seguros.

En determinados casos la tarea del auditor puede ser muy compleja, para ello deberá
dividirla en funciones obteniendo conclusiones parciales de éstas y establecer un plan
de aquellas que resulten ser más significativas.

Pese a la apariencia de complejidad de la auditoría informática apreciamos cómo el

buen uso del ordenador proporciona una mayor garantía y fiabilidad que cuando éste
no es utilizado.

Otros principios

• Principio de comportamientos profesional. El auditor, tanto en sus relaciones

con el auditado como con terceras personas, deberá, en todo momento, actuar
conforma a las normas, implícitas explícitas, de dignidad de la profesión y de
corrección en el trato personal.
• Principio de criterio propio. El auditor durante la ejecución deberá actuar con
criterio propio y no permitir que esté subordinado al de otros profesionales, aun
de reconocido prestigio, que no coincidan con el mismo.
• Principio de independencia. Está relacionado con el principio de criterio propio,
obliga al auditor, tanto si actúa como profesional externo o con dependencia
laboral respecto a la empresa en la que deba realizar la auditoria informática, a
exigir una total autonomía e independencia en su trabajo.
• Principio de concentración en el trabajo. El auditor deberá evitar que un exceso
de trabajo supere sus posibilidades de concentración y precisión en cada una de
las tareas a él encomendadas, y a que la estructuración y dispersión de trabajos

2 Auditoría informática. 20
 suele a menudo, si no está debidamente controlada, provocar la conclusión de
los mismos sin las debidas garantías de seguridad.
• Principio de discreción. El auditor deberá en todo momento mantener una
cierta discreción en la divulgación de datos, aparentemente inocuos, que se le
hayan puesto de manifiesto durante la ejecución dela auditoria.
• Principio de economías. El auditor deberá proteger, en la medida de sus
conocimientos, los derechos económicos del auditado evitando generar gastos
innecesarios en el ejercicio de su actividad.

2 Auditoría informática. 21
 3. Glosario de términos del módulo
AUDITORÍA EXTERNA: Es aquella que se realiza contratando personas ajenas a la
empresa.

AUDITORÍA INFORMÁTICA: La auditoría informática es el proceso de recoger, agrupar

y evaluar evidencias para determinar si un Sistema de Información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los
fines de la organización y utiliza eficientemente los recursos.

AUDITORÍA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar
a personas ajena, en el cual los empleados realizan esta auditoría trabajan ya sea para
la empresa que fueron contratados o simplemente algún afiliado a esta.

CUESTIONARIO. Documentos que presenta el auditor al auditado para posterior

evaluación y que contienen toda la información necesaria para la emisión de un juicio
global objetivo.

INFORME FINAL. El informe final contiene todo lo relativo a la auditoría.

SOFTWARE DE INTERROGACIÓN. Son productos software llamados genéricamente

<paquetes de auditoría>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informático.

2 Auditoría informática. 22
 4. Bibliografía
• Plan avanza formación. Ministerio Industria.
• [Link]
• Curso de ANOVA de seguridad en TIC
• [Link]
facilmente/
• Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO)
• ISO 27001: Sistemas de Gestión de la Seguridad de la Información
[Link]
• [Link]
wxdddAp[Link]
checklist-informes-auditores-informaticos/
• [Link]
• [Link]
• [Link]
informatica/
• [Link]
• [Link]
sistemas
•
• [Link]
tecnicas-para-la_8774.html
• [Link]
informes-auditores-informaticos/

2 Auditoría informática. 23
 5. Cuestionario de autoevaluación
1. ¿Qué es la auditoría informática?
a) Una aplicación informática capaz de evaluar un sistema de información para
saber si salvaguarda el activo empresarial.
b) El proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema de información salvaguarda el activo empresarial.
c) Unos pasos para evaluar el sistema de información y saber si contiene la
seguridad suficiente para proteger el pasivo de la empresa.

2. ¿Cuál no es un objetivo de la auditoria informática?

a) El control de la función informática
b) La verificación del cumplimiento de la Normativa en este ámbito
c) El análisis de la eficacia de los Sistemas Informáticos

3. ¿Cuántos tipos de auditoria informática existen?

a) 1
b) 2
c) 5

4. ¿Qué es la auditoria de las bases de datos?

a) Controla el acceso, la actualización, la integridad y calidad de los datos.
b) Clasifica los datos, estudia las aplicaciones y analiza los flujogramas.

2 Auditoría informática. 24
 c) Se refiere a la contratación de bienes y servicios, documentación de los
programas, etc…

5. Una de las herramientas o técnicas más utilizadas para realizar las auditorias
informáticas es:
a) Entrevistas
b) Reuniones internas
c) Expedientes

6. ¿Qué frase define mejor la auditoria interna?

a) Aquella que se hace desde dentro de la empresa; sin contratar a personas ajena.
b) Aquella que se hace desde dentro de la empresa; contratando a personas ajena
para obtener unos resultados más objetivos.
c) Aquella en la cual la empresa contrata a personas de afuera para que haga la
auditoría.

7. En el principio de economías:
a) El auditor deberá en todo momento mantener una cierta discreción en la
divulgación de datos.
b) El auditor deberá proteger, en la medida de sus conocimientos, los derechos
económicos del auditado.
c) El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de
concentración y precisión en cada una de las tareas a él encomendadas.

2 Auditoría informática. 25
 8. En el cuerpo expositivo del informe final, ¿qué se pone primero?
a) Tendencias.
b) Situación actual.
c) Planes de acción.

9. Seleccione la afirmación correcta:

a) El informe final debe incluir solamente hechos importantes.
b) El informe final debe incluir todo tipo de hechos.
c) El informe final debe incluir tanto hechos importantes como hechos
consolidados.

10. ¿Qué principio obliga al auditor a exigir una total autonomía en su trabajo?
a) Criterio propio
b) Independencia
c) Discreción

2 Auditoría informática. 26