auditoria informatica tarea cuestiones de repaso capitulos 21 y 22
Post on 12-Aug-2015
371 Views
Preview:
TRANSCRIPT
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
1
AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade
ALUMNO : Jesús Cisneros Valle
FECHA : Quito, 30 de Octubre del 2012
CURSO : 10ASM
RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 21 y 22 DEL
LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.
CAPITULO 21
AUDITORIA JURIDICA DE ENTORNOS INFORMATICOS
Cuestiones de Repaso:
1. Cuál es la utilidad de la Auditoria jurídica de entornos informáticos?
Es útil para comprobar que la utilización de la auditoria informática se ajusta a la
legislación vigente. Es esencialmente idónea para evitar posibles reclamaciones de
cualquier clase contra el sujeto a auditar; por ello el trabajo del auditor es una medida
preventiva idónea contra sanciones en el orden administrativo o penal, así como
indemnizaciones en el orden civil por daños y perjuicios a los afectados, ya que la
reclamación judicial puede afectar a instituciones públicas como privadas. La auditoria
jurídica le permite al auditado conocer el estado de la empresa dentro de la normativa
legal y adecuarse a ella de ser necesario así como tomar los correctivos necesarios para
evitar sanciones.
2. Qué áreas comprende la Auditoria jurídica?
a. Auditoría del entorno informático
b. Auditoria de las personas que manipulan la información
c. Auditoría de la información
d. Auditoria de los archivos (auditoria de objetivos)
3. Qué se entiende por auditoria de objetivos?
Trata de averiguar la correspondencia entre el uso que se le da al archivo y aquellas
motivaciones por la cuales se creó, así como la constitucionalidad de la finalidad
última del archivo. Es una auditoria de derechos humanos de tercera generación, ya
que se examina tanto la legalidad como el espíritu del archivo, con la pretensión de que
este respete y garantice tales derechos.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
2
4. Qué debe verificar el auditor en materia de origen de la titularidad de los
programas?
El auditor debería verificar si la titularidad del software que usa o ha adquirido la
empresa se legal, a fin de evitar demandas por violación a los derechos de autor (Ley
de propiedad intelectual) o de patentes, demandas que en ciertos casos resultarían
costosas debido a las consecuentes demandas civiles o penales que eventualmente
impulsarían las empresas propietarias del software.
5. Qué aspectos abarca la auditoria jurídica de las personas?
Abarca 5 aspectos que el auditor debe examinar:
• Quienes tienen acceso a la información.
• Adecuación de aquellos al cargo que ostentan
• Conocimiento de la normativa y de que se debe mantener una actitud ética delante
del archivo
• Reconocimiento en el contrato de la labor que cumple y de la responsabilidad que
ostenta
• Que lo contratos con los proveedores aseguren la confidencialidad del archivo y de
la información.
6. Cómo pueden utilizarse los requisitos recogidos en el art. 4 de la LORTAD a la
hora de llevar a cabo la auditoría de la Información? Se debe a toda costa proteger la información, por eso en analogía con el Art. 4 de la
LORTAD se debe tomar muy en cuenta la calidad de los datos, la necesidad de su
adecuación y pertinencia, y que no sean excesivos en relación con el ámbito y
finalidades legítimas para las que se hayan obtenido. La información no podrá usarse
para finalidades incompatibles con aquellas para las que fueron seleccionadas y deberá
ser exacta y estar al día.
7. Qué archivos quedan excluidos de la aplicación de la LORTAD?
Están excluidos todos los archivos que contengan información o datos personales que
hayan sido calificados como excluidos en la propia ley, por remisión de la misma a
regulación del tipo de archivo de que se trate.
8. De qué grados de protección se puede hablar en relación con los datos contenidos
en archivos sometidos a la ley?
Dentro de los archivos sometidos a la ley y en relación con los datos en ellos
contenidos podemos hablar de diversos grados de protección (Regulados por los Art. 7
y 8 de la LORTAD) existiendo tres tipos de protección: Máxima, media y mínima.
9. Cuáles son las obligaciones del responsable del tratamiento automatizado de
datos?
� Obligación de comunicar al afectado la cesión de datos
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
3
� Obligación de confidencialidad
� Obligación de hacer efectivo el derecho de acceso
� Obligación de hacer efectivo el derecho al bloqueo
� Obligación de hacer efectivo el derecho a la cancelación
� Obligación de hacer efectivo el derecho de rectificación
� Obligación de hacer efectivo el derecho a la supresión
� Obligación de informar del tratamiento de datos, la obligación de informar de la
recogida de datos.
10. Qué legislación conoce sobre derechos de autor que afecte al software?
La ley de Propiedad Intelectual. Sección V, Disposiciones Especiales sobre ciertas
Obras, Parágrafo Primero, De los Programas de Ordenador, Art. 28 al 32.
Art. 28. Los programas de ordenador se consideran obras literarias y se protegen como
tales. Dicha protección se otorga independientemente de que hayan sido incorporados
en un ordenador y cualquiera sea la forma en que estén expresados, ya sea en forma
legible por el hombre (código fuente) o en forma legible por máquina (código objeto),
ya sean programas operativos y programas aplicativos, incluyendo diagramas de flujo,
planos, manuales de uso, y en general, aquellos elementos que conformen la estructura,
secuencia y organización del programa.
Art. 29. Es titular de un programa de ordenador, el productor, esto es la persona
natural o jurídica que toma la iniciativa y responsabilidad de la realización de la obra.
Se considerará titular, salvo prueba en contrario, a la persona cuyo nombre conste en la
obra o sus copias de la forma usual.
Dicho titular está además legitimado para ejercer en nombre propio los derechos
morales sobre la obra, incluyendo la facultad para decidir sobre su divulgación.
El productor tendrá el derecho exclusivo de realizar, autorizar o prohibir la realización
de modificaciones o versiones sucesivas del programa, y de programas derivados del
mismo.
Las disposiciones del presente artículo podrán ser modificadas mediante acuerdo entre
los autores y el productor.
Art. 30. La adquisición de un ejemplar de un programa de ordenador que haya
circulado lícitamente, autoriza a su propietario a realizar exclusivamente:
Una copia de la versión del programa legible por máquina (código objeto) con fines de
seguridad o resguardo;
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
4
Fijar el programa en la memoria interna del aparato, ya sea que dicha fijación
desaparezca o no al apagarlo, con el único fin y en la medida necesaria para utilizar el
programa; y,
Salvo prohibición expresa, adaptar el programa para su exclusivo uso personal,
siempre que se limite al uso normal previsto en la licencia. El adquirente no podrá
transferir a ningún título el soporte que contenga el programa así adaptado, ni podrá
utilizarlo de ninguna otra forma sin autorización expresa, según las reglas generales.
Se requerirá de autorización del titular de los derechos para cualquier otra utilización,
inclusive la reproducción para fines de uso personal o el aprovechamiento del
programa por varias personas, a través de redes u otros sistemas análogos, conocidos o
por conocerse.
Art. 31. No se considerará que existe arrendamiento de un programa de ordenador
cuando éste no sea el objeto esencial de dicho contrato. Se considerará que el programa
es el objeto esencial cuando la funcionalidad del objeto materia del contrato, dependa
directamente del programa de ordenador suministrado con dicho objeto; como cuando
se arrienda un ordenador con programas de ordenador instalados previamente.
Art. 32. Las excepciones al derecho de autor establecidas en los artículos 30 y 31 son
las únicas aplicables respecto a los programas de ordenador.
Las normas contenidas en el presente Parágrafo se interpretarán de manera que su
aplicación no perjudique la normal explotación de la obra o los intereses legítimos del
titular de los derechos.
CAPITULO 22
AUDITORIA INFORMATICA EN EL SECTOR BANCARIO
Cuestiones de Repaso:
1. En qué faceta resulta más valiosa la participación de la auditoria informática en
el sector financiero?
La revisión de las aplicaciones informáticas, con el objeto de asegurar que ellas
cumplen con los criterios funcionales y operativos definidos por la entidad.
2. Qué características tienen las aplicaciones informáticas que soportan productos
bancarios?
� Procesan y generan un gran volumen de datos relativos a contratos y operaciones.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
5
� Los procesos de tratamiento de los datos relativamente sencillos, sin embargo
comparativamente suponen un gran consumo de recursos en el total de los
procesos informáticos de un banco.
� Las operaciones y productos tratados por estas aplicaciones tienen normalmente un
importante pero especifico en el balance de la entidad
� La disponibilidad de la información suele ser un factor critico
� La información generada tiene un elevado balance, por cuanto se envía
masivamente hacia destinos externos a la propia entidad financiera.
� En estas aplicaciones se produce un efecto amplificado de error: cualquier
incidencia puede afectar a un número elevado de operaciones y tener una
repercusión económica cifrada en miles de dólares.
3. En qué se diferencian las auditorias de medios de pago de las auditorias de
productos de tesorería?.
Auditorias
Medios de pago Productos de tesorería
- Alto volumen de transacciones
de clientes
- Sus importes no son
significativos
- Existe regulaciones para el
tratamiento informático y
operativo (convenios con
distintos organismos)
- Es aspecto de control tiene gran
relevancia (prevención de
fraudes) se deben cumplir
normas emitidas por la entidad
bancaria
- Numero de transacciones no es
elevado
- Sus importes si son significativos
- Las salidas en información a los
clientes son escasas o nulas
- Son sistemas en los que una
deficiencia en el proceso o
procedimientos de control pueden
provocar un quebranto económico
de considerable magnitud.
4. Qué conocimientos necesita un auditor informático para poder llevar a cabo una
auditoria en el sector bancario?
- Un auditor informático debe estar en permanente capacidad de aprendizaje para
abordar con éxito los nuevos retos
- Debe conocer son suficiente detalle los procedimientos operativos internos de
la entidad financiera relacionados con el área de negocio y/o producto bancario
soportado por la aplicación.
- Debe conocer los circuitos operativos y administrativos seguidos y asociados
con los datos. Que le permitirá evaluar el impacto de las debilidades y errores
que se puedan detectar en el funcionamiento del sistema.
- Necesita tener conocimiento de la legislación vigente.
- Tener suficiente conocimiento de la operatividad bancaria tradicional asociada
con el producto en cuestión.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
6
- Si el auditor no poseyera conocimientos particularmente técnicos en aspectos
bancarios o legales, el auditor debe actuar siempre planteando su consulta a los
departamentos competentes.
5. Comente como afecta la LORTAD a las aplicaciones bancarias.
• Importancia económica de la función a la que se dedica la aplicación (impacto en el
balance bancario)
• Importancia de la actividad bancaria a que da soporte la aplicación en los planes de
negocio y expansión de la entidad
• La obtención de información a partir de la aplicación con destino a clientes y
organismos públicos
• Existencia de descuadres entre los datos facilitados por la propia aplicación y los
registros contables de la entidad.
6. Que aplicaciones cree que tiene el problema del EURO en la auditoria
informática de entidades financieras?
Obsolescencia de la aplicación, que el auditor puede analizar al determinar cómo y
dónde se capturan datos, la dimensión de transacciones manuales, la tipología de los
controles que se efectúan, ausencia de datos básicos en relación con el producto o área
cubierta por la aplicación , además del proceso que se requiere para la adaptación al
EURO al año 2000.
7. Comente aspectos a tener en cuenta respecto a los “archivos de morosos”.
� La inclusión de los datos de carácter personal den los archivos de incumplimiento
de obligaciones monetarias, debe efectuarse cuando el deudor concurra en los
siguientes requisitos:
• Existencia previa y cierta de una deuda, vencida y exigible que haya
resultado impaga.
• Requerimiento previo de pago a quien corresponda, el cumplimiento de la
obligación.
� No podrán incluirse en los archivos de esta naturaleza datos personales sobre los
que existan algún principio de prueba documental que aparentemente contradiga
alguno de los requisitos anteriores.
� El acreedor o quien actúe a su cuenta e interés deberá asegurarse de que concurren
todos los requisitos exigidos en el primer párrafo de esta norma en el momento de
notificar los datos al responsable del archivo común (Central de riesgos).
8. Que restricciones existen respecto a los datos recabados para un seguro asociado
a un préstamo?
La instrucción 2/1995 protege los datos personales recabados para la formalización de
aquellos seguros de vida asociados con la concesión de un préstamo o crédito. De
manera que el beneficiario del seguro es la propia entidad acreedora. Estableciéndose
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
7
normas cuyo cumplimiento entra dentro del ámbito de la auditoria informática a la
entidad financiera.
Norma segunda: De la recogida de datos
� La obtención de datos personales a efectos de la celebración de un contrato de
seguro de vida, ajeno a la concesión de un crédito hipotecario o personal,
efectuadas por las entidades de crédito a través de cuestionarios u otros impresos,
deberá realizarse mediante modelos separados para cada uno de los contratos a
celebrar. No se podrá recabar datos sobre la salud del solicitante.
� Cualquiera que sea el modo de llevarse a efecto la recogida de datos de salud
necesarios para la celebración del seguro de vida deberá constar expresamente el
compromiso de la entidad de crédito de que los datos obtenidos a tal fin solamente
serán utilizados por la entidad aseguradora. No se podrá incluir los datos de salud
en archivos informatizados o almacenarlos convencionalmente.
Norma tercera: Consentimiento del afectado y tratamiento de los datos.
El afectado deberá manifestar su consentimiento por separado para cada uno de los
contratos y para el tratamiento distinto de la información que ambos conllevan.
Las entidades de crédito solamente podrán tratar aquellos datos personales no
especialmente protegidos, que sean estrictamente necesarios para relacionar el contrato
de préstamo con el contrato de seguro de vida celebrado como consecuencia de aquel o
que esté justificado por la intervención de la entidad de crédito como agente o tomador
del contrato de seguro.
9. Diseñe una planificación anual de trabajos para auditoria informática de una
pequeña entidad bancaria.
Obtener información previa:
9.1. Determinar y conocer de manera general del estado de los sistemas de
información con que cuenta la entidad.
9.2. Determinar los Objetivos estratégicos determinados por la alta gerencia.
9.3. Clasificar las actividades dentro del POA respecto de las aplicaciones
informáticas.
9.4.Distinguir un conjunto de aspectos típicamente bancarios a considerar en la
planificación de revisión de aplicaciones, para así determinar:
9.4.1. La importancia económica de la función a la que se dedica la
aplicación. Establecer su impacto en el balance del banco.
9.4.2. Importancia de la actividad bancaria que la soporte la aplicación
dentro de los planes de negocio y expansión de la entidad.
9.4.3. Obtener información a partir de la aplicación con destino a clientes y
organismos públicos.
9.4.4. Verificar el volumen, la frecuencia y la importancia material de las
incidencias y errores detectados mediante los mecanismos de
control.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
8
PLAN DE AUDITORIA:
9.5. Presentar al cliente de la auditoria un plan de auditoría acorde a las exigencias
del mismo.
9.6. Formar el grupo de trabajo para la auditoria y designar al jefe de grupo auditor.
9.7.Establecer el cronograma acorde a las necesidades de la entidad financiera, para
que no retrase ningún servicio bancario o lo dificulte. (Puede ser una auditoría
interna de los servicios bancarios y aplicaciones).
9.8. Determinar las aéreas sensibles donde aplicar la auditoria
9.9. Presentar un borrador de la auditoria al cliente de la auditoria
9.10. Presentar el informe final (previo consenso con el cliente de la auditoria) al
cual se le anexan las evidencias de la auditoria y recomendaciones.
10. Qué consideraciones expuestas en el capítulo podrían aplicarse a la auditoria de
empresas de seguros? Y de asistencia sanitaria?
• Estas empresas pueden otorgar los servicios dentro del marco de la ley, pero
salvaguardando la información sensible de sus clientes.
• No podrán divulgar la información de sus clientes ni sus estado de salud o exigir a
su cliente declare la posibilidad de que su información pueda ser divulgada de
alguna manera
• Deberán mantener la información recabada bajo seguridad
• No podrán entregar la información a terceros bajo ninguna circunstancia, salvo el caso de autorización del cliente o petición judicial de autoridad competente.
• Los contratos deben ser claros y especificar todo en cuanto a los servicios que
ofrece de manera clara, precisa y concisa.
• Deberán ajustarse al marco de la ley vigente.
top related