You are on page 1of 139

Curso de Preparacin CISA 2010

Captulo 1 El Proceso de Auditora de SI

Agenda del curso

Objetivos de aprendizaje Discutir tareas y declaraciones de conocimiento Discutir temas especficos incluidos en el captulo Casos de estudio Preguntas ejemplo

Relevancia en el Exmen
Asegurar que el Candidato CISA

Tenga los conocimientos necesarios para proporcionar servicios de Auditora de Sistemas de Informacin (SI) en conformidad con los estndares, directrices y mejores prcticas para apoyar a la organizacion a validar que su tecnologa de informacin y sus sistemas de negocios estn protegidos y controlados.
% del total de preguntas del examen CISA
Captulo 6 14%

.
El contenido de esta rea en este capitulo representa el 10% del examen CISA (aproximadamente 20 preguntas).

Captulo 1 10% Captulo 2 15%

Captulo 5 31% Captulo 4 14%

Captulo 3 16%

Captulo 1 - Objetivos de Aprendizaje


Desarrollar e implementar una estrategia de auditora basada en riesgos, en cumplimiento con los estndares, directrices y mejores prcticas de auditora de SI. Planificar auditoras especficas para asegurar que TI y los sistemas de negocio estn protegidos y controlados. Llevar a cabo auditoras de SI en conformidad con los estndares, directrices y mejores prcticas de auditora de SI para lograr los objetivos planeados de auditora.

Objetivos de Aprendizaje (Continuacin)

Comunicar los hallazgos emergentes, riesgos potenciales y resultados de auditoras a los accionistas clave /stakeholders. Asesorar en la implementacin de la Administracin de Riesgos y prcticas de control dentro de la organizacin al tiempo que se mantiene la independencia.

1.2.1 Organizacin de la funcin de Auditora de SI


Estatuto de Auditora (o engagement letter)
Establece la responsabilidad y objetivos de la administracin y la delegacin de autoridad para la funcin de Auditora de SI. Describe la autoridad, alcance y responsabilidades generales de la funcin de Auditora.

Aprobacin del Estatuto de Auditora Cambios en el Estatuto de Auditora

1.2.2 Administracin de los recursos de Auditora de SI

Nmero limitado de auditores de SI

Mantenimiento de su competencia tcnica


Asignacin del personal de auditora

1.2.3 Planeacin de Auditora


Planeacin a Corto Plazo Planeacin a Largo Plazo Aspectos a considerar:
Nuevas caractersticas de control Cambios tecnolgicos Cambios en los procesos de negocio Tcnicas mejoradas de evaluacin

Planeacin individual de auditora


- Comprensin general del ambiente
Prcticas del negocio y funciones relativas Sistemas de informacin y tecnologa

1.2.3 Planeacin de Auditora (Continuacin)


Pasos de la Planeacin de Auditora
Obtener un entendimiento de la misin, objetivos, propsito y procesos del negocio. Identificar el estado de contenidos especficos (polticas, estndares, directrices, procedimientos y estructura organizacional). Evaluar el anlisis de riesgos y el anlisis de impacto a la privacidad. Desarrollar un anlisis de riesgos.

1.2.3 Planeacin de Auditora (Continuacin)


Pasos de la (Continuacin)

Planeacin

de

Auditora

Realizar una revisin de control interno.

Establecer el alcance y los objetivos de la auditora. Desarrollar el enfoque o la estrategia de auditora. Asignar los recursos de personal para la auditora y dirigir la logstica del trabajo de auditora.

1.2.4 Efecto de las Leyes y regulaciones en la planeacin de Auditora de SI Requerimientos regulatorios


Establecimiento Organizacin Responsabilidades Correlacin con las funciones de auditora financiera, operacional y de TI

1.2.4 Efecto de las Leyes y regulaciones en la planeacin de Auditora de SI (Continuacin)


Pasos para determinar el cumplimiento con los requerimientos externos:
Identificar los requerimientos externos Documentar las leyes y regulaciones pertinentes Evaluar si la administracin y la funcin de SI han considerado los requerimientos externos relevantes Revisar los documentos internos del departamento de SI que se apegan a las leyes aplicables Determinar el cumplimiento con los procedimientos establecidos

1.3.1 Cdigo de Etica Profesional de ISACA

El Cdigo de Etica Profesional de la Asociacin, provee una gua de conducta profesional y personal para los miembros de la Asociacin y/o de los poseedores de las designaciones CISA y CISM

1.3.2 Estndares de ISACA para Auditora de SI

Marco de los Estndares de ISACA para Auditora de SI:


Estndares Directrices Procedimientos

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


Objetivos de los Estndares de Auditora de SI de ISACA
Informar a la administracin y a otros interesados sobre las expectativas de la profesin en relacin con el trabajo de los auditores Informar a los auditores de SI del nivel mnimo de desempeo requerido y aceptable para cumplir con las responsabilidades profesionales establecidas en el Cdigo de Etica de ISACA

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S1. Estatuto de Auditora S8. Seguimiento de las actividades

S2. Independencia
S3. Etica y Estndares S4. Competencia S5. Planeacin

S9. Irregularidades y actos ilegales


S10 Gobierno de TI S11 Uso de la evaluacin de riesgos en la planeacin de auditora S12 Materialidad de la Auditora

S6. Desempeo del trabajo de Auditora S13 Usar el trabajo de otros expertos S7. Reporte S14 Evidencia de Auditora

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S1. Estatuto de auditora Propsito, responsabilidad, autoridad y rendicin de cuentas. Aprobacin

S2. Independencia Independencia Profesional Independencia Organizacional

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S3. Etica Profesional y Estndares Cdigo de Etica Profesional Adecuado cuidado Profesional

S4. Competencia Habilidades y conocimientos

Educacin profesional continua

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)

S5. Planeacin
Alcance del Plan de Auditora SI Desarrollar y documentar el enfoque de auditora basado en riesgos Desarrollar y documentar el plan de auditora Desarrollar el programa y los procedimientos de auditora

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin) S6. Desempeo del trabajo de auditora
Supervisin Evidencia Documentacin

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)

S7. Informe
Identificar la organizacin, los destinatarios y cualquier restriccin Establecer el alcance, objetivos, perodo cubierto y naturaleza del trabajo de auditora realizado Establecer los hallazgos, conclusiones y recomendaciones y limitaciones Justificar los resultados reportados Debe estar firmado, fechado y distribuido de acuerdo con el estatuto de auditora

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin) S8. Actividades de Seguimiento


Revisin de conclusiones previas y recomendaciones Revisin de hallazgos relevantes previos Determinar si la administracin ha tomado las acciones apropiadas de manera oportuna

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)

S9. Irregularidades y actos ilegales


Considerar el riesgo de las irregularidades y actos ilegales Mantener una actitud de escepticismo profesional Obtener un entendimiento de la organizacin y de su ambiente Considerar relaciones inusuales o inesperadas

Evaluar lo adecuado del control interno


Evaluar cualquier declaracin errnea

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S9. Irregularidades y actos ilegales (Continuacin)
Obtener declaraciones escritas de la administracin Tener conocimiento de cualquier alegato, irregularidad o acto ilegal Comunicar irregularidades y actos ilegales Ejecutar acciones apropiadas en caso de ver afectada su capacidad para continuar con el trabajo de auditora Documentar comunicaciones, planeacin, resultados, evaluaciones y conclusiones relacionadas con irregularidades/actos ilegales

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)

S10. Gobierno de TI
Revisar y evaluar la alineacin de la funcin de TI con la misin, visin, valores, objetivos y estrategias de la organizacin. Revisar el estatuto de la funcin de SI acerca del desempeo esperado y evaluar su cumplimiento. Revisar y evaluar la efectividad de SI en la administracin de los recursos y del desempeo

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S10. Gobierno de TI (Continuacin)
Revisar y evaluar el cumplimiento con los requerimientos legales, ambientales, de calidad de la informacin, fiduciarios y de seguridad

Usar un esquema basado en riesgos para evaluar la funcin de SI


Revisar y evaluar el ambiente de control de la organizacin Revisar y evaluar los riegos que puedan afectar adversamente el ambiente de SI

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S11. Uso de la Evaluacin de Riesgos en la planeacin de auditora
Usar tcnicas de evaluacin de riesgos en el desarrollo de todo el plan de auditora de SI Identificar y evaluar riesgos relevantes en la planeacin de auditoras individuales

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S12 Materialidad de la Auditora
El auditor de SI debera considerar la materialidad de la auditora y su relacin con el riesgo de auditora El auditor de SI debera considerar debilidades potenciales o la ausencia de controles cuando se realiza la planeacin de una Auditora El auditor de SI debera considerar el efecto acumulativo de las deficiencias o debilidades menores y la ausencia de controles El informe de la auditora de SI debera revelar controles ineficaces o ausencia de controles

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S13 Usar el trabajo de otros expertos
El auditor de SI debera considerar utilizar el trabajo de otros expertos El auditor de SI debera quedar satisfecho con las calificaciones, competencias, etc., de otros expertos El auditor de SI debera analizar, revisar y evaluar el trabajo de otros expertos El auditor de SI debera determinar si el trabajo de otros expertos es completo y adecuado El auditor de SI debe aplicar procedimientos de pruebas adicionales para obtener evidencia suficiente y apropiada de auditoria El auditor de SI debera proveer una opinin apropiada de auditoria

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S14 Evidencia de Auditora
Incluir procedimientos ejecutados por el auditor y el resultado de estos procedimientos. Incluir documentos fuente, registros y evidencia o soporte de la informacin. Incluir hallazgos y resultados del trabajo de auditoria Demostrar que el trabajo de auditora realizado cumple con las leyes, regulaciones y polticas aplicables

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S15 Controles de TI
El auditor de SI debera evaluar y monitorear los controles de TI que son una parte integral del ambiente de control interno de la organizacin.

1.3.2 Estndares de ISACA para Auditora de SI (Continuacin)


S16 Comercio electrnico
El auditor de SI debera evaluar los controles aplicables y una evaluacon de riesgos, cuando se revisen los ambientes del comercio electrnico, para asegurar que las transacciones son controladas adecuadamente.

1.3.3 Directrices de ISACA para Auditora de SI


G1- Usar el trabajo de otros auditores, efectivo el 1Junio 1998 G2 - Requerimiento de Evidencia de Auditora, efectivo el 1 Diciembre 1998 G3 - Uso de Tcnicas de Auditora Asistidas por Computador (CAATs), efectivo el 1 Diciembre 1998 G4 - Servicio Externo de actividades de SI para otras organizaciones, efectivo el 1 Septiembre 1999 G5 - Estatuto de Auditora, efectivo el 1 Septiembre 1999 G6 - Conceptos de Materialidad para la Auditora de SI, efectivo el 1 Septiembre 1999 G7 - Debido Cuidado Profesional, efectivo el 1 Septiembre 1999 G8 - Documentacin de Auditora, efectivo el 1 Septiembre 1999 G9 - Consideraciones de Auditora en Caso de Irregularidades, efectivo el 1 Marzo 2000 G10 - Muestreo de Auditora, efectivo el 1 Marzo 2000

1.3.3 Directrices de ISACA para Auditora de SI (Continuacin)


G11 - Efecto de los Controles Generales de SI, efectivo el 1 Marzo 2000 G12 - Relacin Organizacional e Independencia, efectivo Septiembre 2000 G13 - Uso de la Evaluacin de Riesgos en la Planeacin de Auditora, efectivo el 1 Septiembre 2000 G14 - Revisin de los Sistemas de Aplicacin, efectivo el 1 Noviembre 2001 G15 - Planeacin de la Auditora, efectivo el 1 Marzo 2002 G16 - Efecto de terceros en los controles de TI de una organizacin, efectivo el 1 Marzo 2002 G17 - Efecto de funciones ajenas a la Auditora sobre la Independencia del Auditor, efectivo el 1 Julio 2002 G18 - Gobierno de TI, efectivo el 1 Julio 2002 G19 - Irregularidades y actos ilegales, efectivo el 1Julio 2002

1.3.3 Directrices de ISACA para Auditora de SI (Continuacin)


G20 - Informes, efectivo 1 Enero 2003 G21 - Revisin de Sistemas de Planeacin de Recursos Empresariales (ERP), efectivo 1 Agosto 2003 G22 - Revisin Comercio Electrnico Negocio a Consumidor (B2C), efectivo 1 Agosto 2003 G23 - Ciclo de Vida del Desarrollo de Sistemas (SDLC), efectivo 1 Agosto 2003 G24 - Banca por Internet, efectivo 1 Agosto 2003 G25 - Revisin Redes Privadas Virtuales, efectivo 1 Julio 2004 G26 - Revisin de Proyectos de Reingeniera de Procesos de Negocio (BPR), efectivo 1 Julio 2004 G27 - Computacin Mvil, efectivo 1 Septiembre 2004

1.3.3 Directrices de ISACA para Auditora de SI (Continuacin)


G28 - Cmputo Forense, efectivo 1 Septiembre 2004 G29 - Revisin Post-Implementacin, efectivo 1 Enero 2005 G30 - Competencia, efectivo 1 Junio 2005 G31 - Privacidad, efectivo 1 Junio 2005 G32 - Revisin del Plan de Continuidad del Negocio (BCP) desde la perspectiva de TI, efectivo 1 Septiembre 2005 G33 - Consideraciones Generales para el uso de Internet, efectivo 1 Marzo 2006 G34 - Responsabilidad, Autoridad, Responsabilidad de rendir cuentas, efectivo 1 Marzo 2006 G35 - Actividades de Seguimiento, efectivo 1 Marzo 2006 G36 Controles Biomtricos, efectivo 1 Marzo 2007 G37 Aministracion de la configuracin, Efectivo 1 Noviembre 2007 G38 Control de Acceso, Efectivo 1 Febrero 2008 G39 Organizaciones de TI, Efectivo 1 Mayo 2008

1.3.4 Procedimientos de ISACA para Auditora de SI


Los procedimientos desarrollados por la Junta de Estndares de ISACA proveen ejemplos de procesos que un auditor de SI posiblemente podra seguir en un trabajo de auditora. El auditor de SI debe aplicar su propio juicio profesional para circunstancias especficas

1.3.4 Procedimientos de ISACA para Auditora de SI (Continuacin)


P1- Evaluacin de Riesgos de SI, efectivo desde el 1 de Julio de 2002 P2 - Firmas Digitales, efectivo desde el 1 de julio de 2002 P3 - Deteccin de Intrusos, efectivo desde el 1 de agosto de 2003 P4 -Virus y Otros Cdigos Maliciosos, efectivo desde el 1 de agosto de 2003 P5 - Autoevaluacin de Control de Riesgos, efectivo desde el 1 de agosto de 2003 P6 - Firewalls, efectivo desde el 1 de agosto de 2003 P7- Irregularidades y Actos Ilegales, efectivo desde el 1 de noviembre de 2003 P8 - Evaluacin de la Seguridad Prueba de Penetracin y Anlisis de Vulnerabilidades, efectivo desde el 1 de septiembre de 2004 P9- Evaluacin de los Controles gerenciales sobre las Metodologas de Encripcin, efectivo desde el 1 de enero de 2005. P10 -Control de Cambios de Aplicacin del Negocio, efectivo al 1 de octubre de 2006. P11 Transferencia electrnica de Fondos (EFT) , efectivo desde 1 mayo de 2007

1.3.5 Relaciones entre Estndares, Directrices y Procedimientos


Estndares Deben ser cumplidos por los Auditores de SI

Directrices Proveen una gua sobre cmo puede el auditor implementar los estndares Procedimientos Proveen ejemplos para la implementacin de los estndares.

1.3.6 (IATF )
TM

Seccin 2200 Estandares Generales. Seccin 2400 Estandares de Rendimiento. Seccion 2600 Estandares de Reportes. Seccin 3000 Guias de Aseguramiento de TI Seccin 3200 Temas Empresariales. Seccin 3400 Proceso de Gestin de TI Seccin 3600 Guias de Aseguramiento y Auditoria de TI Seccin 3800 Gestin de Aseguramiento y Auditoria de TI

1.4 Anlisis de Riesgos

Que es el Riesgo. Elementos del Riesgo. El riesgo y la planeacin de la Auditoria.

1.4 Anlisis de Riesgo (Continuacin)

Proceso de Administracin del Riesgo Evaluacin del riesgo Mitigacin del riesgo

Reevaluacin del riesgo

1.5 Controles Internos

Polticas, procedimientos, prcticas y


estructuras organizacionales implementadas para reducir el riesgo.

Clasificacin de los controles internos



Controles Preventivos

Controles Detectivos
Controles Correctivos

Figura 1.4 Clasificacin de los Controles

CLASE
Preventivo

FUNCION
Detectar los problemas antes de que surjan Monitorear tanto operaciones como entradas Intentar predecir posibles problemas antes de que ocurran y hacer ajustes Prevenir un error, omisin o acto malicioso antes de que ocurran

EJEMPLOS
Emplear a personal calificado Segregacin de funciones (factor de disuasin) Controlar el acceso a instalaciones fsicas Uso de un adecuado disea de documentos (evitar errores) Establecer procedimientos adecuados para la autorizacin de transacciones Chequeos completos de ediciones programadas Uso de software de control de acceso que permita el acceso a archivos sensibles solo a personal autorizado. Utilizar software de encriptacin para evitar la divulgacin no autorizada de datos Hash totales Puntos de control en trabajos en produccin Controles de eco en telecomunicaciones Mensajes de error sobre etiquetas de cintas Chequeo duplicado de clculos. Reporteo peridico del rendimiento y sus variantes. Tener en cuentas los informes anteriores. Auditar las funciones internas. Revisar los registros de actividad para detectar intentos de acceso no autorizados. Planeacin de contingencias. Procedimientos de respaldos Ejecucin reiterada de procedimientos

Detectivo

Usar controles que detecten y reporten la ocurrencia de un error, omisin o acto malicioso.

Correctivo

Minimizar el impacto de una amenaza Remediar los problemas descubiertos por los controles detectivos Identificar la causa de un problema. Corregir los errores derivados de un problema Modificar el procesamiento de los sistemas para minimizar futuras ocurrencias del problema.

1.5.1 Objetivos del Control Interno


Sistema de control interno
Controles internos contables Controles operativos Controles administrativos

1.5.1 Objetivos del Control Interno (Continuacin)


Objetivos del control interno

Salvaguarda de activos de TI Cumplimiento con las polticas organizacionales o requerimientos legales Entrada de informacin Autorizacin Exactitud e integridad del procesamiento de transacciones Salida de informacin Confiabilidad de los procesos Respaldo/Recuperacin Eficiencia y economa de las operaciones Proceso de Administracin de cambios en TI y los sistemas relacionados

1.5.2 Objetivos de Control de SI

Los objetivos de control interno aplican a todas las reas, ya sean manuales o automatizadas. Por lo tanto, conceptualmente, los objetivos de control en un ambiente de SI, permanecen invariables respecto de un ambiente manual.

1.5.2 Objetivos de Control de SI (Continuacin)


Salvaguarda de activos Asegurar la integridad de los ambientes de sistema operativo en general Asegurar la integridad de los ambientes de sistemas de aplicacin sensitivos y crticos, a travs de:

- Autorizacin para ingreso de datos - Exactitud e integridad del procesamiento de transacciones - Confiabilidad de las actividades de procesamiento de informacin - Exactitud, integridad y seguridad de la informacin de salida - Integridad de la base de datos

1.5.2 Objetivos de Control de SI (Continuacin)


Asegurar la identificacin y autenticacin apropiada de los usuarios de los recursos de SI Aseguramiento de eficiencia y efectividad en las operaciones

Cumplimiento con los requerimientos, polticas y procedimientos; y, con las leyes aplicables
Desarrollo de un plan de respuesta a incidentes

Implementando procedimientos administracin de cambios

efectivos

de

1.5.3 COBIT
Un marco con 34 objetivos de control de alto nivel
Planeacin y organizacin Adquisicin e Implementacin Entrega y Soporte Monitoreo y Evaluacin

Utiliza 36 estndares y regulaciones principales, relacionados con TI

1.5.4 Controles Generales

Aplican a todas las reas de una organizacin e incluye polticas y prcticas establecidas por la administracin, para proveer garanta razonable que se alcanzarn objetivos especficos.

1.5.4 Controles Generales (Continuacin)


Controles internos de contabilidad dirigidos a operaciones contables Controles operativos relacionados con el da a da de las operaciones Controles administrativos relacionados con la eficiencia operacional y la adherencia a las polticas de la administracin Polticas y procedimientos organizacionales de seguridad lgica Polticas generales para el diseo y uso de documentos y registros Procedimientos y funciones para asegurar el acceso autorizado a los activos Polticas de seguridad fsica para todos los centros de datos

1.5.5 Controles de SI
Estrategia y direccin

Organizacin general y administrativa


Acceso a los recursos de TI, incluyendo datos y programas

Metodologas de desarrollo de sistemas y control de cambios


Procedimientos de operacin Programacin de sistemas y funciones de soporte tcnico

1.5.5 Controles de SI (Continuacin)


Procedimientos de aseguramiento de calidad Controles de acceso fsico Planeacin de continuidad del negocio / recuperacin de desastres Redes y comunicaciones Administracin de la base de datos Proteccin y mecanismos de deteccin contra ataques internos y externos

1.6 Ejecucin de una Auditora de SI


Definicin de Auditora
Proceso sistemtico por medio del cual una persona competente e independiente obtiene y evala objetivamente evidencia respecto de afirmaciones acerca de una entidad o acontecimiento econmico con el propsito de formar una opinin e informar el grado en el que la aseveracin se ajusta a un sistema determinado de estndares.

Definicin de Auditora de SI
Una auditora que abarca la revisin y evaluacin (total o parcial) de los sistemas de procesamiento de informacin automatizados, los procesos no automatizados relacionados as como las interfases entre ellos.

1.6.1 Clasificacin de las Auditoras


Auditorias Financieras Auditorias Operativas Auditorias Integradas

Auditorias Administrativas
Auditoras de Sistemas de Informacin Auditoras Especializadas Auditoras Forenses

1.6.2 Programas de Auditoria


Basado en el alcance y el objetivo de una asignacin particular Perspectivas del auditor de SI:
Seguridad (confidencialidad, integridad y disponibilidad) Calidad (efectividad, eficiencia)

Fiduciaria (cumplimiento, confiabilidad)


Servicio y Capacidad

1.6.2 Programas de Auditoria (Continuacin)


Procedimientos Generales de Auditoria
Entendimiento del rea/sujeto de auditora Evaluacin de riesgo y plan general de auditora Planeacin detallada de auditora Revisin Preliminar del rea/sujeto de auditora Evaluacin del rea/sujeto de auditora Pruebas de cumplimiento Pruebas sustantivas Informe (comunicacin de resultados) Seguimiento

1.6.2 Programas de Auditoria (Continuacin)


Procedimientos para prueba y evaluacin de controles de SI
Uso de software generalizado de auditora para examinar el contenido de los archivos de datos Uso de software especializado para evaluar el contenido de los archivos de parmetros del sistema operativo Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas y procesos de negocio Uso de registros de auditora disponibles en los sistemas operativos

Revisin de la Documentacin Observacin

1.6.3 Metodologa de Auditoria


Un conjunto de procedimientos de auditora documentados y diseados para alcanzar los objetivos de auditora planeados Compuestos de:
Declaracin del alcance Declaracin de los objetivos de auditora Declaracin del programa de trabajo

Establecida y aprobada por la gerencia de auditora Comunicada a todo el personal de auditora

1.6.3 Metodologa de Auditoria (Continuacin)


Fases de la Auditoria
Sujeto de la auditora Objetivo de la auditora Alcance de la auditora Planeacin de Auditora Preliminar o Preauditora Procedimientos de Auditora y pasos para la recopilacin de datos Procedimientos de evaluacin de la prueba o de revisin de los resultados Procedimientos de comunicacin con la gerencia Elaboracin del informe de auditora

1.6.3 Metodologa de Auditoria (Continuacin)


Figura 1.3 Fases de la Auditoria.
Fases de la Auditoria
Objeto o Tema de la Auditoria Objetivo de la Auditoria

Descripcin
Identificar el Area a ser Auditada. Identificar el propsito de la auditoria. Por ejemplo, Un objetivo podra ser determinar cuando el cdigo fuente de un programa presenta cambio en un ambiente bien definido y controlado. Identificar los sistemas especficos, funciones o unidades de la organizacin para ser incluidas en la revisin. Por ejemplo, en el caso anterior, los cambios de programa, el alcance declarado podra limitar la revisin a una simple aplicacin del sistema o a un limitado periodo de tiempo. Identificar las habilidades tcnicas y los recursos necesarios. Identificar las Fuentes de informacin para probar o revisar que tanto son funcionales los diagramas de flujo, polticas, estndares, procedimientos o papeles de trabajo de la auditoria. Identificar locaciones o establecimientos para auditar. Identificar y seleccionar el enfoque de la auditoria para verificar y probar los controles. Identificar la lista de personas a entrevistar. Identificar y obtener polticas departamentales, estndares y guas para revisar. Desarrollar herramientas y metodologas de auditoria para probar y verificar los controles. Organizacin Especifica. Organizacin Especifica. Identificar el seguimiento de los procedimientos de revisin Identificar el procedimiento para evaluar/probar la eficiencia operacional y su eficacia. Identificar los procedimientos para probar los controles. revisar y evaluar la solidez de los documentos, polticas y procedimientos

Alcance de la auditoria

Planeacin de la pre-auditoria

Procedimientos de auditoria y pasos para obtener informacin.

Procedimientos para evaluar las pruebas o revisar los resultados Procedimientos para comunicar con gestin Preparar el reporte de auditoria

1.6.3 Metodologa de Auditoria (Continuacin)

Qu debe estar documentado en los Papeles de Trabajo (WorkPapers)?


Planes de Auditora Programas de Auditora

Actividades de Auditora
Pruebas de Auditora Hallazgos e incidentes de auditora

Pregunta de Prctica

1-1 Cul de lo siguiente describe MEJOR las primeras etapas de una auditora de SI?
A. Observar las instalaciones organizacionales clave

B. Evaluar el entorno de SI
C. Entender el proceso del negocio y el entorno aplicable a la revisin

D. Revisar los informes de auditora de SI anteriores

Pregunta de Prctica

1-1 Cul de lo siguiente describe MEJOR las primeras etapas de una auditora de SI?
A. Observar las instalaciones organizacionales clave

B. Evaluar el entorno de SI
C. Entender el proceso del negocio y el entorno aplicable a la revisin

D. Revisar los informes de auditora de SI anteriores

1.6.4 Deteccin de Fraude

Responsabilidad de la Administracin
Beneficios de un sistema de control interno bien diseado
Disuadir fraudes en primera instancia Detectar fraudes oportunamente

Deteccin y revelacin de fraudes Rol del auditor en la prevencin y deteccin de fraudes

1.6.5 Auditoria basada en riesgos


Figura 1.6 Enfoque de auditora basado en el riesgo Recopilacin de Informacin y Planeacin - Conocimiento del negocio y la industria - Estatutos regulatorios - Resultados de auditoria de aos pasados - Informacin financiera reciente Obtener un entendimiento del Control Interno
- Ambiente de control

- Evaluacin del Riesgo Inherente

- Evaluacin del Riesgo de control - Equiparar el riesgo total

- Procedimientos de Control - Evaluacin del Riesgo de Deteccin

Realizar Pruebas de Cumplimiento - Realizar pruebas de fiabilidad, prevencin del riesgo y adherencia a las polticas y procedimientos de la organizacin

- Identificar controles claves para ser probados

Realizar Pruebas sustantivas


- Procedimientos Analticos

- Otros procedimientos sustantivos de Auditoria

- Pruebas detalladas de saldos de cuentas

Realizar Pruebas sustantivas


- Crear las recomendaciones

- Escribir los reportes de Auditoria

Pregunta de Prctica

1-2 Al realizar una auditora basada en el riesgo, cul evaluacin del riesgo realiza inicialmente el auditor de SI?
A. Evaluacin del riesgo de deteccin
B. Evaluacin del riesgo de control C. Evaluacin del riesgo inherente D. Evaluacin del riesgo de fraude

Pregunta de Prctica

1-2 Al realizar una auditora basada en el riesgo, cul evaluacin del riesgo realiza inicialmente el auditor de SI?
A. Evaluacin del riesgo de deteccin
B. Evaluacin del riesgo de control C. Evaluacin del riesgo inherente D. Evaluacin del riesgo de fraude

Pregunta de Prctica

1-3 Mientras desarrolla un programa de auditora basado en el riesgo, en cual de lo siguiente es MS probable que el auditor de SI se concentre?
A. Los procesos del negocio B. Las aplicaciones crticas de TI

C. Los controles operacionales


D. Las estrategias del negocio

Pregunta de Prctica

1-3 Mientras desarrolla un programa de auditora basado en el riesgo, en cual de lo siguiente es MS probable que el auditor de SI se concentre?
A. Los procesos del negocio B. Las aplicaciones crticas de TI

C. Los controles operacionales


D. Las estrategias del negocio

1.6.6 Riesgo de Auditora y Materialidad

Categorias de Riesgo de Auditora Riesgo Inherente

Riesgo de Control
Riesgo de Deteccin Riesgo General de Auditora

Pregunta de Prctica

1-4 Cul de los siguientes tipos de riesgo de auditora asume una ausencia de controles compensatorios en el rea que se est revisando?
A. Riesgo de Control B. Riesgo de Deteccin

C. Riesgo Inherente
D. Riesgo de muestreo

Pregunta de Prctica

1-4 Cul de los siguientes tipos de riesgo de auditora asume una ausencia de controles compensatorios en el rea que se est revisando?
A. Riesgo de Control B. Riesgo de Deteccin

C. Riesgo Inherente
D. Riesgo de muestreo

Pregunta de Prctica
1-5 Un auditor de SI que realiza una revisin de los controles de una aplicacin encuentra una debilidad en el software del sistema que podra tener un impacto material sobre la aplicacin. El auditor de SI debera:
A. Ignorar estas debilidades de control, ya que una revisin de software del sistema est ms all del alcance de esta revisin. B. Realizar una revisin detallada del software del sistema y reportar las debilidades de control. C. Inclur en el reporte una declaracin de que la auditora se limit a una revisin de los controles de la aplicacin. D. Revisar los controles de software del sistema que son relevantes y recomendar una revisin detallada del software del sistema.

Pregunta de Prctica
1-5 Un auditor de SI que realiza una revisin de los controles de una aplicacin encuentra una debilidad en el software del sistema que podra tener un impacto material sobre la aplicacin. El auditor de SI debera:
A. Ignorar estas debilidades de control, ya que una revisin de software del sistema est ms all del alcance de esta revisin. B. Realizar una revisin detallada del software del sistema y reportar las debilidades de control. C. Inclur en el reporte una declaracin de que la auditora se limit a una revisin de los controles de la aplicacin. D. Revisar los controles de software del sistema que son relevantes y recomendar una revisin detallada del software del sistema.

1.6.7 Evaluacin y Tratamiento del Riesgo


Evaluacin de los Riesgos de Seguridad
Las evaluaciones del riesgo deben identificar, cuantificar y categorizar los riesgos contra criterios para aceptacin del riesgo y objetivos relevantes para la organizacin Deben realizarse peridicamente para ocuparse de los cambios en el entorno, los requerimientos de seguridad, en la situacin del riesgo y cuando ocurren cambios significativos.

1.6.7 Evaluacin y Tratamiento del Riesgo (Continuacin)


Evaluacin de los Riesgos de Seguridad
Cada uno de los riesgos identificados en la evaluacin del riesgo necesita ser tratado Los controles deben ser seleccionados para asegurar que los riesgos se reduzcan a un nivel aceptable.

1.6.8 Tcnicas de Evaluacin de Riesgos


Permite a la administracin asignar de manera efectiva los recursos limitados de auditora
Asegura que la informacin relevante ha sido obtenida de todos los niveles de la Administracin Establece una base para dirigir efectivamente el departamento de auditora Provee un resumen de cmo un aspecto individual de auditora se relaciona con la organizacin en general y con los planes del negocio

1.6.9 Objetivos de Auditora


Metas especficas de Auditora
Cumplimiento con los requerimientos legales y

regulatorios
Confidencialidad
Integridad Confiabilidad Disponibilidad

1.6.10 Pruebas de Cumplimiento vs. Pruebas Sustantivas


Pruebas de cumplimiento

Determinan si los controles estn en cumplimiento con las polticas y procedimientos de la administracin.

Pruebas sustantivas

Prueban la integridad del procesamiento actual

Correlacin entre el nivel del control interno y

las pruebas sustantivas requeridas


Relacin entre las pruebas de cumplimiento y

las pruebas sustantivas

1.6.10 Pruebas de Cumplimiento Vs. Pruebas Sustantivas (continuacin)


Figura 1.7 Comprendiendo el entorno de control y el flujo de transacciones Revisar el sistema para identificar controles Prueba de cumplimiento a fin de determinar si los controles estn funcionando

Evaluar los controles para determinar las bases de confianza y naturaleza, alcance y calendario de las pruebas sustantivas

Usar dos tipos de pruebas sustantivas para evaluar la validez de los datos.

Prueba de los saldos y transacciones

Realizar procedimientos de revisin analtica

1.6.11 Evidencia
Es un requisito que las conclusiones del auditor estn basadas en evidencia suficiente, relevante y competente.
Independencia del proveedor de la evidencia Calificacin del individuo que provee la informacin o

evidencia
Objetividad de la evidencia Tiempo de disponibilidad de la evidencia

1.6.11 Evidencia (Continuacin)


Tcnicas para recopilar evidencia: Revisin de las estructuras organizacionales de SI
Revisin de polticas y procedimientos de SI

Revisin de estndares de SI
Revisin de documentacin de SI Entrevistas al personal apropiado

Observacin de procesos y desempeo de los empleados

1.6.12 Entrevista y observacin al personal en el desempeo de sus funciones

Funciones reales Procesos/procedimientos reales Concientizacin de seguridad Lneas de reporte

1.6.13 Muestreo

Enfoques generales para muestreo de auditora: Muestreo estadstico Muestreo no estadstico

1.6.13 Muestreo (Continuacin)


Muestreo de atributos Muestreo Parar o seguir Muestreo de Descubrimiento Muestreo de variable Media estratificada por unidad Media no estratificada por unidad Estimacin de la diferencia

1.6.13 Muestreo (Continuacin)

Trminos de muestreo estadstico:


Coeficiente de Confianza Nivel de riesgo

Precisin
Tasa de error esperada

1.6.13 Muestreo (Continuacin)

Trminos de muestreo estadstico:


Media de la muestra Desviacin estndar de la muestra

Tasa de error tolerable


Desviacin estndar de la poblacin

1.6.13 Muestreo (Continuacin)


Pasos claves en la seleccin de una muestra:
Determinar los objetivos de la prueba. Definir la poblacin de la que se obtendr la muestra.

Determinar el mtodo de muestreo, como muestreo de atributos vs muestreo de variables.


Calcular el tamao de la muestra.

Seleccionar la muestra.
Evaluar la muestra desde una perspectiva de auditora.

1.6.14 Uso de los servicios de otros auditores y expertos


Consideraciones cuando se usa servicios de otros auditores y expertos:
Restricciones sobre outsourcing de servicios de auditora/seguridad dispuestas por leyes y regulaciones

Estatuto de auditora o estipulaciones contractuales


Impacto sobre objetivos generales y especficos de auditoria de SI. Impacto sobre el riesgo de auditora y responsabilidad profesional Independencia y objetividad de otros auditores y expertos

1.6.14 Uso de los servicios de otros auditores y expertos (Continuacin)


Consideraciones cuando se usa servicios de otros auditores y expertos:
Competencia profesional, calificaciones y experiencia Alcance del trabajo que se propone sea dado en outsourcing y mtodo Controles de supervisin y direccin de auditora Mtodos y modalidades de comunicacin de resultados del trabajo de auditora Cumplimiento con regulaciones y estipulaciones legales Cumplimiento con los estndares profesionales aplicables

1.6.15 Tcnicas de auditora asistidas por computador


CAAT facilitan al auditor de SI obtener informacin de manera independiente CAAT incluye:
Software generalizado de auditora (GAS)

Software utilitario
Software para depuracin y busqueda Datos de prueba

Software aplicativo de auditora continua y en lnea


Sistemas Expertos de Auditora

1.6.15 Tcnicas de auditora asistidas por computadora (Continuacin)


Caractersticas del Software Generalizado de Auditora (GAS):
Clculos matemticos Estratificacin Anlisis Estadstico Verificacin de Secuencia

Funciones soportadas por GAS:


Acceso a archivos Reorganizacin de archivos Seleccin de datos Funciones estadsticas Funciones aritmticas

Pregunta de Prctica

1-6 El uso PRIMARIO de software generalizado de auditora (GAS) es:


A. probar los controles integrados en los programas B. probar el acceso no autorizado a los datos C. extraer datos de relevancia para la auditora D. reducir la necesidad de dar comprobantes para las transacciones

1.6.15 Tcnicas de auditora asistidas por computador (Continuacin) Elementos a considerar antes de utilizar CAAT:
Facilidad de uso, para el personal de auditora existente y futuro Requerimientos de entrenamiento Complejidad de la codificacin y del mantenimiento Flexibilidad de uso Requerimientos de instalacin Eficiencia de procesamiento Confidencialidad procesando de los datos que se estn

1.6.15 Tcnicas de auditora asistidas por computador (Continuacin)

Documentacin que se debe conservar:


Informes en lnea Listados de programas con comentarios Diagramas de flujo Informes de muestras Descripcin de registros y de archivos Definiciones de campos Instrucciones de operacin Descripcin de documentos fuente aplicables

1.6.15 Tcnicas de auditora asistidas por computador (Continuacin) CAAT como Metodologa de Auditora Contnua y en Lnea :
Mejorar la eficiencia de la auditora,

El auditor de SI debe:
desarrollar tcnicas de auditora apropiadas para ser usadas con sistemas computarizados avanzados

estar involucrados en la creacin de sistemas avanzados


hacer mayor uso de las herramientas automatizadas

1.6.16 Evaluacin de fortalezas y debilidades de la Auditora

Valoracin de la evidencia
Evaluar la estructura general de control Evaluar procedimientos de control Valorar las fortalezas y debilidades de control

1.6.16 Evaluacin de fortalezas y debilidades de la Auditora (Continuacin)


Juzgando la materialidad de los hallazgos
La materialidad es un aspecto clave La evaluacin requiere juzgar el efecto potencial de un hallazgo si no se toman acciones correctivas

1.6.17 Comunicacin de los resultados de auditora


Entrevista de salida
Hechos correctos Recomendaciones realistas Fechas de implementacin para las recomendaciones acordadas

Tcnicas de presentacin
Resumen ejecutivo Presentacin visual

1.6.17 Comunicacin de los resultados de auditora (Continuacin)

Estructura y contenido del informe de Auditora


Introduccin del informe Hallazgos de auditora presentados en anexos separados Conclusin y opiniones generales del auditor de SI Consideracciones del auditor de SI con respecto a la auditora Hallazgos detallados y recomendaciones de auditora Variedad de hallazgos

1.6.18 Acciones de la Gerencia para implementar las recomendaciones

Auditar es un proceso continuo Programar el seguimiento

1.6.19 Documentacin de Auditora


La documentacin de auditora incluye:
La planeacin y elaboracin del alcance y objetivos de la auditora Descripcin del entorno del rea auditada Programa de auditora Pasos de Auditora efectuados para reunir evidencia Uso de los servicios de otros auditores y expertos Hallazgos de auditora, conclusiones y recomendaciones

1.7 Autoevaluacin del Control (CSA)


Una tcnica de administracin Una metodologa En la prctica, un conjunto de herramientas Puede ser implementado mediante diversos mtodos

1.7 Autoevaluacin del Control (CSA) (Continuacin)


Figura 1.8 Enfoque Hibrido para una Autoevaluacin de Control (CSA)
0. Identificar procesos y Objetivos

1. Identificar y evaluar los Riesgos


6. Presentacin de Informes 5. Formacin para la Sensibilizacin

2. Identificar y evaluar los Controles

3. Desarrollar Cuestionarios

4. Recoger y Analizar los Cuestionarios

Pregunta de Prctica

1-7 Cul de lo siguientes es MS efectivo para implementar una autoevaluacin del control (CSA) dentro de las unidades de negocio?
A. Revisiones informales de pares
B. Talleres de facilitacin C. Narrativas de flujo de proceso D. Diagramas de flujo de datos

1.7.1 Objetivos del CSA


Aprovechar la funcin de auditora interna transfiriendo algunas de las responsabilidades de monitoreo de control a las reas funcionales Mejora de las responsabilidades de auditoria (no remplazarlas) Educar acerca de la gestin de diseo de control y vigilancia Capacitacin de los empleados para evaluar el ambiente de control

1.7.2 Beneficios del CSA

Deteccin temprana de riesgos


Controles internos ms efectivos y mejorados Mayor conciencia de los empleados sobre los objetivos organizacionales Empleados altamente motivados Proceso mejorado de calificacin en auditoras Reduccin en el costo del control Mayor seguridad para los accionistas y clientes

1.7.3 Desventajas del CSA

Puede confundirse como un reemplazo de la auditora


Puede considerarse como una carga ms de trabajo No implementar las mejoras sugeridas puede afectar la moral de los empleados

La falta de motivacin puede limitar la efectividad en la deteccin de debilidades de control

1.7.4 Rol del auditor en CSA

Profesionales de control interno Facilitadores de evaluacin

1.7.5 Impulsadores de Tecnologa para CSA

Combinacin de hardware y software


Uso de un sistema de reunin electrnico Apoyo para la toma de decisiones soportadas por computadora La toma de decisiones del grupo es un componente esencial

1.7.6 Enfoque Tradicional vs. Enfoque CSA


Enfoque Tradicional
Asigna Tareas /supervisa al personal Impulsado por polticas /reglas Participacin limitada de los empleados Reducido Enfoque en accionistas (stakeholder)

Enfoque CSA
Empleados empoderados /sujetos a rendicin de cuentas Mejora continua /curva de aprendizaje Extensa participacin y capacitacin de empleados Amplio enfoque en accionistas

1.8.1 Papeles de Trabajo Automatizados

Anlisis de riesgos Programas de auditora Resultados

Evidencia de pruebas
Conclusiones Informes y otra informacin complementaria

1.8.1 Papeles de Trabajo Automatizados (Continuacin)

Controles mnimos :
Acceso a los papeles de trabajo Pistas de Auditora Funciones automatizadas para ofrecer y registrar las aprobaciones Controles de Seguridad e Integridad Respaldo y Recuperacin

Tcnicas de encripcin

1.8.2 Auditora Integrada

Proceso donde las disciplinas de auditora necesarias son combinadas para evaluar controles internos claves de una operacin, un proceso o una entidad Se enfoca en el riesgo de la organizacin (para el caso de la auditora interna) Se enfoca en el riesgo de proveer una opinin de auditora incorrecta o engaosa (para el caso del auditor externo)

1.8.2 Auditora Integrada (continuacin)


Procesos Implicados:
Identificar controles clave relevantes Identificar los riesgos que enfrenta la organizacin y los controles clave relevantes Probar que los controles clave estn soportados por el sistema de TI Probar que la administracin de los controles opera efectivamente Un informe u opinin combinada sobre riesgos y debilidades de los controles

1.8.3 Auditora Continua


Caractersticas propias
Lapso corto de tiempo entre el hecho que va a ser auditado y la recopilacin de evidencia y el informe de auditora

Conductores
Mejor monitoreo de los aspectos financieros Permite el monitoreo en tiempo real de transacciones en linea Previene fiascos financieros y escndalos de auditora Usa software para determinar el control financiero ms apropiado

1.8.3 Auditora Continua (continuacin)


Auditoria continua vs. monitoreo continuo

Monitoreo continuo
Lo provee herramientas de gestin de SI Basada en procedimientos automatizados para reunir responsabilidades fiduciarias

Auditora continua
Auditora conducida Realizada usando procedimientos de auditora automatizados

1.8.3 Auditora Continua (continuacin)

Facilitar la aplicacin de auditoras continuas:


Nueva informacin sobre desarrollos tecnolgicos

Incrementa la capacidad de procesamiento


Estndares Herramientas de inteligencia artificial

1.8.3 Auditora Continua (continuacin)


Pre-requisitos:
Un alto grado de automatizacin Un proceso de produccin de informacin automatizado y confiable Alarmas triggers para reportar fallas en los controles Implementacin de herramientas de auditora automatizadas Rpida informacin al auditor de SI de anomalas/errores Informes automatizados de auditora en forma oportuna Auditores de SI tcnicamente competentes Disponibilidad de fuentes confiables de evidencia Adherencia a los lineamientos de materialidad Adopcin de un cambio de actitud del auditor de SI Evaluacin de los factores de costo

1.8.3 Auditora Continua (continuacin)


Tcnicas de TI en un ambiente de auditora continua:
Registro de transacciones Herramientas de consulta Estadsticas y anlisis de datos (CAATs)

Sistema Administrador de Base de Datos (DBMS)


Data warehouses, data marts, minera de datos. Agentes Inteligentes Mdulos de auditora integrados (EAM) Tecnologa de redes neuronales Estndares de presentation de informes empresariales

1.8.3 Auditora Continua (continuacin)


Ventajas
Captura instantnea de problemas de control interno Reduccin de las ineficiencias intrnsecas de auditora

Desventajas
Dificultad en la implementacin Alto costo Eliminacin del juicio personal del auditor y su evaluacin

Pregunta de Prctica

1-8 El PRIMER paso al planear una auditora es:


A. definir los entregables de auditora B. finalizar el alcance de la auditora y los objetivos de la auditora C. lograr una comprensin de los objetivos del negocio D. desarrollar el mtodo de auditora o la estrategia de la auditora

Pregunta de Prctica

1-9 El enfoque que un auditor de SI debe usar para planear la cobertura de la auditora de SI debe estar basado en: A. riesgo B. materialidad

C. escepticismo profesional
D. Control de deteccin

Pregunta de Prctica

1-10 Una compaa realiza una copia de respaldo diaria de los datos crticos y de los archivos de software y almacena las cintas de respaldo en un lugar fuera del establecimiento. Las cintas de respaldo se usan para recuperar los archivos en caso de una interrupcin. Esto es:
A. B. C. D. control preventivo control administrativo control correctivo control de deteccin

1.9.1 Caso de Estudio Escenario A


Se ha pedido al auditor de SI que realice un trabajo preliminar para determinar la preparacin de la organizacin para medir el cumplimiento de los nuevos requisitos regulatorios. Estos requisitos estn diseados para asegurar que la gerencia est asumiendo un papel activo en establecer y mantener un entorno bien controlado y, en consecuencia, evaluar la revisin de la gerencia y las pruebas del entorno general de control de TI. Las reas a ser evaluadas incluyen seguridad lgica y fsica, administracin de cambios, control de produccin y administracin de redes, gobierno de TI, y computo de usuario final. Al auditor de SI se le han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se debe sealar que en aos anteriores, se han identificado reiterados problemas en las reas de seguridad lgica y administracin de cambios, de modo que estas reas muy probablemente requerirn algn grado de rectificacin

1.9.1 Caso de Estudio - Escenario A (Continuacin)

Las deficiencias de seguridad lgica identificadas incluyeron el compartir las cuentas de administrador y no ejecutar los controles adecuados sobre las contraseas. Las deficiencias de administracin de cambios incluyeron indebida segregacin de funciones y no documentar todos los cambios. Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a los servidores se encontr que era slo parcialmente efectivo.
En anticipacin del trabajo a ser realizado por el auditor de SI, el director de informacin (CIO) solicit reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por los diferentes dueos de proceso y por el CIO, y fueron luego enviados al auditor de SI para revisin.

Preguntas Caso de Estudio A


1. Qu debera hacer PRIMERO el auditor de SI?
A. Efectuar una evaluacin del riesgo de TI. B. Realizar una auditora de inspeccin de los controles de acceso lgico. C. Revisar el plan de auditora para concentrarse en la auditora basada en el riesgo. D. Comenzar a probar los controles que el auditor de SI estima que son los ms crticos.

Preguntas Caso de Estudio A


2. Cuando se prueba la administracin de cambios de programas, Cmo se debe seleccionar la muestra?
A. Los documentos de administracin de cambios deben ser seleccionados al azar y examinados para verificar si son apropiados. B. Los cambios al cdigo de produccin deben ser incluidos en la muestra y validar que exista una apropiada autorizacin documentada. Se deben sacar muestras de los cambios al cdigo de produccin y stos deben ser rastreados hasta la documentacin apropiada que autoriz. C. Los documentos de administracin de cambios deben ser seleccionados en base a la criticidad del sistema y deben ser examinados para verificar si son apropiados. D. Los cambios al cdigo de produccin deben ser incluidos en la muestra y se deben revisar los registros del sistema identificado fecha y hora del cambio.

Caso de Estudio - Escenario B

Un auditor de SI est planeando revisar la seguridad de una aplicacin financiera para una gran compaa con varias localidades en todo el mundo. El sistema aplicativo est constituido por una interfaz web, una capa lgica de negocio y una capa de base de datos. La aplicacin es accedida localmente a travs de una LAN y remotamente a travs de la Internet mediante una conexin VPN.

Preguntas Caso de Estudio B

1. La herramienta CAAT MS apropiada que el auditor debe usar para probar los parmetros de configuracin de seguridad para todo sistema de aplicacin es: A. software generalizado de auditora B. datos de prueba C. Software utilitario D. sistemas expertos

Preguntas Caso de Estudio B


2. Dado que la aplicacin es accedida a travs de la Internet, cmo debe el auditor determinar si se debe realizar un examen detallado de los ajustes de configuracin de las reglas del firewall y del la red privada virtual (VPN)?
A. Anlisis documentado del riesgo
B. Disponibilidad de experiencia y conocimientos tcnicos

C. Mtodo usado en auditorias previas


D. Directrices y mejores prcticas de auditora de SI

Preguntas Caso de Estudio B


3. Durante la revisin, si el auditor detecta que el objetivo de control de autorizacin de transacciones no puede cumplirse debido a una ausencia de roles y privilegios claramente definidos en la aplicacin, el auditor debe PRIMERO:
A. Revisar la autorizacin en una muestra de transacciones
B. Reportar inmediatamente este hallazgo a la gerencia superior C. Solicitar que la gerencia del auditado revise si los derechos de acceso para todos los usuarios son apropiados D. Usar un software generalizado de auditora para verificar la integridad de la base de datos

1.9.3 Caso de Estudio-Escenario C


Un auditor de SI ha sido designado para llevar a cabo auditoras de SI en una organizacin por un perodo de 2 aos. Despus de aceptar la designacin, el auditor de SI not que:
La organizacin tiene un estatuto de auditora que detalla, entre otras cosas el alcance y las responsabilidades de la funcin de auditora de SI y especifica al comit de auditora como el organismo de supervisin para la actividad de auditora; La organizacin est planeando un aumento importante en la inversin de TI, principalmente a cuenta de la implementacin de una nueva aplicacin de ERP, integrando los procesos del negocio en todas las unidades dispersas geogrficamente. Se espera que la implementacin del ERP est en operacin dentro de los prximos 90 das. Los servidores que soportan las aplicaciones del negocio estn alojados fuera de las instalaciones por un proveedor de servicios externo.

1.9.3 Caso de Estudio Escenario C (Continuacin)

La organizacin tiene un nuevo colaborador como Director de Seguridad de la Informacin (CISO), quien reporta al Director de Finanzas (CFO).
La entidad est sujeta a requerimientos regulatorios de cumplimiento que obligan a su gerencia a certificar la eficacia del sistema de control interno cuando ste se relaciona con el reporte financiero. La organizacin ha estado registrando crecimiento al doble del promedio de la industria consistentemente por los ltimos dos aos. Sin embargo, la organizacin ha visto tambin aumentada su rotacin de empleados.

Preguntas Caso de Estudio C

1. La PRIMERA prioridad del auditor de SI en el Ao 1 debe ser estudiar:


A. Los reportes de auditoras de SI anteriores y planear el cronograma de auditora B. La carta de auditoria y planear el programa de auditora C. el impacto del nuevo titular como CISO D. el impacto de la implementacin del nuevo ERP en el entorno de TI y planear el programa de auditora

Preguntas Caso de Estudio C

2. Cmo debe el auditor de SI evaluar el respaldo y el procesamiento de lotes dentro de las operaciones de computo?
A. Planear y llevar a cabo una revisin independiente de las operaciones de computo B. Confiar en el reporte del auditor del prestador de servicio C. Estudiar el contrato entre la entidad y el proveedor del servicio D. Comparar el informe de entrega del servicio con el contrato de nivel de servicio.

Conclusin
Capitulo 1 Repaso Referencia Rpida
Pagina 34 del Manual de Prepracin CISA 2010