Desarrollo de puntos teoricos

Anuncio
Desarrollo de puntos teóricos
1. Diferencias entre el Riesgo Acceso a las funciones de procesamiento
computadorizadas y acceso general al sistema.
El riesgo de acceso a las funciones de procesamiento computarizadas, es un riesgo a cada
aplicación y es mitigado por controles directos, mientras que el riesgo de acceso general al
sistema es un riesgo asociado al entorno de procesamiento y es mitigado por controles
generales.
2. Riesgo relacionado con la Estructura Organizativa del centro de procesamiento de
datos.
El riesgo relacionado con la estructura Organizativa del centro de procesamiento de
datos, es un riesgo asociado al entorno de procesamiento y es mitigado por controles
generales. SI las actividades del área de sistemas no están organizadas, los empleados
pueden realizar funciones incompatibles y esto puede generar que la información
generada no sea confiable.
3. Enunciar y explicar brevemente los Riesgos Generales.
Están relacionados con el entorno de procesamiento y se mitigan con controles
generales. Comprenden funciones incompatibles, que se pase a producción un programa
con errores, acceso no autorizado al sistemas y no tener un plan de continuidad del
negocio.
4. Controles generales. Breve descripción de cada uno de ellos.
Controles sobre la estructura organizativa del centro de procesamiento: las actividades
del área de sistemas deben estar organizadas de manera que no haya funciones
incompatibles, y las tareas que realizan los empleados y el software sea correctamente
supervisadas.
Controles sobre el procedimiento de cambios de los programas: los programadores
pueden hacer cambios en producción, lo cual reduciría la confianza de la información
generada
Controles sobre acceso general a los datos: personas no autorizadas pueden tener acceso
a los archivos de datos utilizados.
Controles sobre la continuidad del negocio: una empresa debe poder sobrevivir a un
desastre.
5. Check-List de controles para la revisión de aplicación Ventas - Cuentas a Cobrar.
Tener en cuenta que la aplicación procesa en forma on-line las ventas y en forma batch
el despacho y la facturación. ¿Que es lo que debe revisar el auditor de sistemas
específicamente para esta aplicación?
El auditor revisa los controles directos sobre esta aplicación:
 El acceso de personas no autorizadas a la aplicación
 Que sucede con las transacciones erróneas
 Que sucede con las transacciones suspendidas
 Transacciones ingresadas fueras del periodo contable:
Check List
 Separación de funciones entre ventas y registros de stock, saldos, créditos y
facturación
 Nivel de aprobación de venta por un funcionario autorizado
 Bonificaciones concedidas por un funcionario autorizados
 Documentación que respalda la circulación del producto
1



Numeración de los documentos
Constancia entre las cantidades.
Facturación en base a nota de pedido, remito y pedido de cotización
6. Check list de controles para la aplicación compras-cuentas a pagar. ¿Que es lo que
debe revisar el auditor de sistemas específicamente para esta aplicación?
Ídem anterior
Check List
 Separación de funciones
 Iniciación del tramite de compra
 Obtención de cotizaciones
 Colocación del pedido
 Independencia de vínculos
 Control de mercadería recibida
7. Transacciones rechazadas y partidas en suspenso. ¿Qué tareas realiza el Auditor de
Sistemas (específicamente para este aspecto) para determinar el riesgo asociado?
El auditor de sistemas debe controlar que todas las transacciones rechazadas sean
incluidas en un informe de excepción, para que luego el usuario apropiado tome las
medidas correspondientes
8. Breve descripción. Dar ejemplos de este tipo de riesgo y controles que los reduzcan.
Este riesgo puede generar que las transacciones rechazadas no sean identificadas,
analizadas o corregidas. Por ejemplo, si un sistema de compra permite que se ingrese un
producto de un proveedor que no existe, se generaría una inconsistencia de los datos.
Los controles para reducir este riesgo son directos, y caen sobre el informe de excepción,
dado que algunas transacciones pueden ser aceptadas, otras dejadas en suspenso y otras
completamente rechazadas.
9. Diferencia entre el riesgo general de acceso al sistema y el riesgo de aplicación de
acceso a las funciones de procesamiento computadorizadas.
Ídem 1
10. Acceso General y Acceso a las Funciones de Procesamiento Computadorizadas.
Ídem 1
11. Diferencias entre validaciones formales y validaciones semánticas.
Las validaciones formales son verificaciones que se hacen a los datos antes de su ingreso
en un sistema, comprenden verificaciones sobre el formato, campos faltantes, campos
duplicados, etc. Mientras que las validaciones semánticas, son verificaciones que se
hacen para que la información ingresada al sistema tenga sentido.
12. Tratamiento de las transacciones rechazadas. Aspectos a tener en cuenta (sobre
este tema) durante una revisión de aplicación.
Ídem 7
13. El riesgo relacionado con la posibilidad de acceso no autorizado a las funciones de
procesamiento de los programas de aplicación puede reducirse si existe una adecuada
segregación de funciones incompatibles tanto en la Organización como en el
Departamento de Sistemas y si se realiza un control de todos los accesos no
autorizados a la aplicación.
2
Para mitigar este riego se deben aplicar controles generales, como una correcta
organización del departamento de sistemas y también controles directos sobre la
aplicación.
14. De acuerdo a su criterio, en qué actividades haría participar al auditor operativo en
una implantación de un sistema de compras? Es preferible un auditor externo o uno
interno?
Un auditor operativo podría participar
 Iniciación del tramite de compra
 Obtención de cotizaciones
 Colocación del pedido
 Control de mercadería recibida
Es preferible que sea interno, ya que conoce con precisión el proceso de negocio de la
compañía
15. Indique cuáles son las 3 características fundamentales que hacen que una password
de usuario sea prácticamente invulnerable?



Tener un mínimo de 8 caracteres
Guardarse en archivos encriptados
Ser combinaciones de letras, números y caracteres especiales
16. Acceso al sistema informático, a los programas y a los datos de una empresa: ¿Qué
pruebas debe efectuar un auditor externo para asegurar que:
a. ¿El acceso al mismo está sólo restringido a los perfiles de usuario correctos?
Se debe probar con el manual de normas y procedimientos y el manual de autorización,
junto con los logs de acceso, para detectar incompatibilidades en los perfiles.
b. ¿El acceso concedido a los usuarios es el adecuado en relación con las
responsabilidades de su trabajo (entorno operativo, de prueba, de desarrollo)?
Se debe probar que haya una correcta segregación de funciones en el área de
sistemas, revisando el organigrama y el mnyp.
c. ¿Las contraseñas se cambian apropiada y puntualmente cuando un empleado es
trasladado o deja la empresa?
Se debe probar cuanto tiempo se tarda desde que son comunicadas las bajas, por el jefe
del área usuaria o RRHH, hasta que es dado de baja definitivamente en el sistema
d. ¿Existe una restricción adecuada de acceso remoto? Qué información debe solicitar
a la empresa para estas tareas? Cuáles son los riesgos a los que se enfrenta la empresa
en caso de no existir una buena implementación de estos controles?
Se debe probar el ingreso desde una terminal remota. Se debe solicitar los logs de acceso
remoto al sistema. Los riesgos que enfrenta son las de personal no autorizado tenga
acceso al sistema y pueda modificar o sustraer información.
17. Recuperación de fallos de operaciones. Qué pruebas debe efectuar un auditor
externo para asegura que:
a. Se informe de las transacciones que presentaron fallos?
3
Debe asegurarse que las transacciones que fallaron sean ingresadas en un informe de
excepción.
b. Se identifican y solucionan las causas de fallos?
Se debe revisar que el usuario correspondiente tome las medidas correctivas necesarias y
que si son reprocesadas las transacciones sean sometidas de nuevo a las validaciones
c. ¿ Qué información debe solicitar a la empresa para estas tareas?
Se debe solicitar el informe de excepción y revisar los logs de transacciones
d. ¿ Cuáles son los riesgos a los que se enfrenta la empresa en caso de no existir una
buena implementación de estos controles?
Los riesgos que enfrenta es que los datos rechazados y las partidas en suspenso pueden no
ser identificadas, analizadas o corregidas, e ingresarse mal al sistema.
18. Cuáles son los controles que recomendaría un auditor de sistemas en el
procedimiento de cambios a los programas?, Cambian los controles a recomendar si lo
indica un auditor interno o externo?, A quiénes debe interrogar para efectuar las
recomendaciones?, en base a qué información efectúa las recomendaciones?
 Iniciación, aprobación y documentación
 Procedimientos de pruebas
 Procedimientos de implantación
 Mantenimiento
 Segregación de funciones
El auditor externo e interno realizan las mismas recomendaciones, ya que el
procedimiento de cambios a los programas es independiente del proceso de negocio. Se
debe interrogar a los usuarios, a los desarrolladores, al jefe de desarrolladores, a los DBA,
a los administradores de servidores. Las recomendaciones se basan de analizar la
documentación de cambios de los programas y el log de acceso a cada ambiente que
tienen los perfiles
19. Cuáles son las diferencias entre controles de aplicación, controles generales y
controles directos?
Los controles generales, mitigan los riesgos generales, que son los del entorno de
procesamiento, mientras que los directos y de aplicación, mitigan los riesgos de las
funciones de procesamiento computarizadas o sea del sistema en si mismo.
20. Teniendo en cuenta que el depto. de tesorería está en una oficina central y que en
distintas locaciones se facturan servicios al cliente, y que todos los días se realizan los
movimientos a la administración central, se pide Desarrollar el Check-List de controles
para la revisión de aplicación Tesorería, para los casos en que ambos (locación y
central) estén en línea (on-line y batch) y para cuando no lo estén.
 Separación de funciones entre el manejo de fondos y la registración de las
operaciones.
 Concentración de la responsabilidad de la custodia de fondos un solo responsable.
 Separación de los fondos provenientes de cobranzas con los destinados a pagos.
 Rotación del personal que interviene en el manejo de fondos
 Contabilización general de las operaciones relacionadas con los movimientos de
fondos.
 Arqueos sorpresivos.
4
 Conciliación del extracto bancario comparación entre las registraciones contables de
la empresa y las que ha efectuado el banco, que figuran en el extracto bancario.
21. De acuerdo a su criterio, en qué actividades haría participar al auditor (interno o
externo) en una implantación de un sistema de compras? Si lo considera necesario
indique: hipótesis y alcances.
Ídem 14
22. Un auditor, para efectuar qué tipos de pruebas utilizaría lo siguiente: un
organigrama, un registro de personal, logs de auditoría del sistema de compras.
Indique al menos dos ejemplos para cada uno.
Utilizaría el organigrama, para ver una correcta organización de la estructura del área de
sistemas y también para observar la segregación de funciones. El registro de personal se
podría revisar para ver una correcta selección de perfiles para evitar el riesgo de acceso
de personal no autorizado en un sistema y también el acceso general. Los losg de sistema
de compras se podrían revisar, para revisar los accesos y evitar el riesgo de acceso de
personal autorizado, así como también para ver que pasa con las transacciones erróneas
o en suspenso
23. Tratamiento de las transacciones rechazadas. Aspectos a tener en cuenta durante
una revisión de aplicación.
Ídem 7
24. Cuáles son los distintos aspectos a tener en cuenta en la planificación de las tareas
a desarrollar ante una contingencia y los requerimientos asociados a cada una de
ellas?.
Es necesario tener en cuenta la evaluación de los riesgos, el hardware alternativo, las
necesidades de software y los requerimientos:
 Lapso critico de recuperación
 Aplicaciones a recuperar entre lapso critico
 Interrelación entre usuarios y procedimientos de datos, el usuario tenga que procesar
datos una vez reanudad una aplicación
 Prioridades de procesamiento
 Instrucciones de cómo activar y usar el plan para cada área
 Procedimiento detallado para la recuperación de cada área
 Procedimiento formales para mantener actualizado el plan
 Contemplar distintos escenarios para cada interrupción
25. ¿Cuales son los 3 riesgos que se reducen con al Implantación de Controles
Generales?
Se reducen los riesgos de que la estructura organizativa y los procedimientos operativos
puedan resultar en un entorno de procesamiento de datos no confiable, que los
programadores pueden efectuar modificaciones incorrectas o no autorizadas al software
de aplicación y que personas no autorizadas pueden obtener acceso directo a los
archivos de datos o a los programas de aplicación utilizados.
26. Enuncie las diferencias entre el Riesgo de Acceso a las funciones de procesamiento
computarizadas y acceso general al sistema
Ídem 1
5
27. ¿Qué debe hacer el auditor de sistemas sino cuenta con toda la documentación
respaldatoria respecto de un hallazgo importante y se le acabaron las horas asignadas
al esa auditoría?
El auditor debe solicitar al gerente general del área que solicito la auditoria que se le
entreguen más horas, en caso de que no sea posible, debe anotar ese punto para el
próximo plan de auditoria.
28. ¿El plan de contingencia debe contemplar todos los sistemas de aplicación de la
empresa?
El plan de contingencia debe contemplar primero las aplicaciones consideradas críticas, si
se dispone de recursos para afrontar mas, se podría seguir con las vitales y luego con las
sensibles.
29. ¿Cuales son los riesgos inherentes y de control?
Los riesgos inherentes surgen de irregularidades significativas antes de considerar un
sistema de control. Provienen de la característica propia del negocio, de los
componentes y de los sistemas de información.
Los riesgos de control son los que el sistema de control en vigencia no puede detectar o
evitar en forma oportuna.
30. Explique que es el “Plan de Auditoría”, el “Programa de Trabajo de Auditoria” y
cuales son sus diferencias.
El programa de trabajo de auditoria, establece los riesgos y controles más el resultado de
la efectividad de los controles. El plan de auditoria establece los pasos para desarrollar la
auditoria, el estudio preliminar, el alcance, objetivo y tiempos de la auditoria. El plan de
auditoria se establece previamente que el programa de trabajo
31. Desarrolle las tareas que debe realizar el Auditor para evaluar la efectividad y
eficiencia del Plan de Continuidad del Negocio.
Debe realizar una evaluación de los riesgos y verificar que los considerados críticos estén
incluidos y con alta prioridad. Se debe verificar que se cumplan con los requerimientos
de lapso crítico de recuperación, de prioridad de procesamiento. También se debe
chequear que el hardware y software alternativo disponible cumplan con los
lineamientos deseados por la gerencia. Finalmente se pude realizar una simulación total
de recuperación, para detectar posibles errores.
32. Mencione al menos 5 (cinco) “Controles Compensatorios”, ante la falta de una
adecuada segregación de funciones en el Departamento de Sistemas.
 Responsabilizar a los departamentos usuarios de realizar una adecuada supervisión
de los informes de salida
 Supervisión permanente de las operaciones del computador
 Desarrollo de programas: Los usuarios deben iniciar los proyectos de desarrollo de
programas y participar activamente en el desarrollo para mantener una adecuada
segregación de tareas.
 Controles sobre Accesos físicos: el acceso a la sala del computador debe estar
restringido.
 Supervisión de usuarios privilegiados: Los usuarios privilegiados son los que tienen
autorizaciones especiales que podrían permitirles llevar a cabo funciones incompatibles.
6
33. Se sabe que el proceso para modificar el software debe ser el mismo que el
utilizado en el desarrollo de nuevos sistemas, qué debe incluir normalmente este
proceso?
 Los motivos para el pedido de modificaciones deben ser documentados y aprobados
por un nivel gerencial apropiado.
 Los cambios sólo deben ser introducidos en las versiones de prueba del software y no
en las versiones de producción.
 Los cambios sólo deben ser realizados por el personal de sistemas o programación
 Los cambios deben ser respaldados por documentación que debería seguir un
estándar.
 Las pruebas del software modificado deben ser realizadas en primer lugar por los
programadores.
 Todos los cambios deben ser revisados y aprobados por un individuo independiente de
los programadores que realizan las modificaciones al software.
 Existencia de un procedimiento de catalogación: los cambios solo deben ser
introducidos en las versiones de prueba del software y no en las versiones de producción.
34. ¿La administración de los parámetros de seguridad del Sistema UNIX (“seteo” de la
longitud mínima de password, expiración de password, password no permitidas, etc.)
es del Administrador del Sistema UNIX, del Administrador de Seguridad o del Auditor
de Sistema? Respondido esto, ¿qué funciones principales tiene cada uno?
La configuración del sistema y la determinación de los parámetros de UNIX es
responsabilidad del administrador UNIX, por lo que el es el encargado de setear las
directivas de contraseñas para ese sistema. El administrador de seguridad, se encarga de
establecer directivas de los demás sistemas y de dar acceso a los perfiles correctos. El
auditor de sistemas verifica que se cumplan los procesos del área de sistemas y también
los controles de cada área.
35. El Auditor durante una revisión detectó que el Jefe de Cuentas a Pagar puede según
los Perfiles de Acceso y Manuales de Autorización: Ingresar facturas, Aprobar facturas,
y Crear proveedores
a.
¿Qué recomendaciones redactaría a priori?
Segregar las funciones, un jefe de cuentas que apruebe el pago, un operador que ingrese
las facturas y otro distinto que cree los proveedores
b.
¿Qué pruebas adicionales ejecutaría y cuales serían los pasos a seguir
dependiendo de los resultados de dichas pruebas (si fueran positivos o negativos)?
Analizaría la facturación, a ver si se corresponde con el maestro de proveedores, se
buscaría la documentación respaldatoria. Si fueran positivos, igualmente sugeriría la
segregación de funciones. Los proveedores deben existir y tener las facturas nuestras
para poder hacer un cruce de información.
36. Indique cuales son las 3 características fundamentales que hacen que una password
de usuario sea prácticamente invulnerable
Ídem 15
37. ¿Qué se incluye en el diseño de un Plan de Trabajo que se prepara para realizar una
revisión de Procedimiento de Cambio a los Programas?
Incluiría la verificación de los controles de:
 Iniciación, aprobación y documentación
7
 Procedimientos de prueba
 Aprobación de los resultados de las pruebas por los usuarios y supervisores de
programación
 Procedimientos de Implantación
 Mantenimiento
 Segregación de funciones
38. Desarrolle los aspectos a tener en cuenta para realizar el mapa de riesgos, con el
objeto de determinar el plan de auditoría anual.
Para realizar el mapa de riesgos, debe tener en cuenta la relevancia del proceso de
negocio o circuito dentro de la compañía, si es alta, media o baja; el estado de control, si
es adecuado, mejorable o débil. De esta manera se pueden identificar las zonas de
muerte (relevancia alta y control débil), que tiene que ser incluido en el plan de
auditoria.
39. Defina y explique “Plan de Auditoria” e indique que tareas incluye el Plan de
Auditoria para el Plan de Continuidad del Negocio.
El plan de auditoria establece los pasos para desarrollar la auditoria, el estudio
preliminar, el alcance, objetivo y tiempos de la auditoria. Para el plan de continuidad del
negocio, debe incluir la evaluación de los riesgos (nivel de criticidad), los requerimientos
que tienen las aplicaciones y las necesidades de hardware y software alternativa que se
necesitan (hot, warm, cold sites)
40. Indique la/s diferencia/s, no significado, entre: Control General y Control Directo.
Indique al menos 2 (dos) ejemplos de cada uno de ellos.
Control general mitiga los riesgos generales, los del entorno de procesamiento, mientras
que le control directo, mitigan los riesgos de las aplicaciones.
Ejemplo: control general, acceso al sistema y procedimientos de cambios en los
programas, control directo, personal no autorizado accede a la aplicaciones, control
sobre transacciones incompleta o en suspenso
41. Un Auditor Externo de Sistemas se encuentra revisando la implantación de un
nuevo sistema informático, y particularmente, analiza cómo se está realizando el
pasaje a producción. ¿Qué pruebas debe incluir en su programa de trabajo para
asegurar que el acceso concedido a los usuarios es el adecuado en relación a las tareas
y responsabilidades de su trabajo (entorno Operativo, de Prueba, Preproductivo (o
Quality Assurance)?
 Debe revisar si los desarrolladores tienen acceso a producción
 Se debe asegurar que las áreas de desarrollo, testing y producción este separadas y
no compartan equipos
 Los datos no deben ser compartidos
 Los DBA son lo que deben pasar las modificaciones de las BD entre los distintos
ambientes, mientras que los administradores de servidores son los encargados de
cambiar las fuentes.
42. Dado un sistema integrado de administración y finanzas, explique que controles
debe tener incorporado un módulo de cuentas por pagar antes de emitir la lista
propuesta de pago de facturas por materiales ya recibidos.
 Pago amparado con la totalidad de los comprobantes, factura, remito, orden de
compra
8




Firmas del personal responsable
Segregación de funciones, el que paga no es el mismo que hizo la orden de compra
Control de la mercadería recibida
Numeración de los formularios
43. ¿Qué son los riesgos inherentes? Dado un sistema de liquidación de haberes de 5
ejemplos de controles que mitiguen estos riesgos. Explique cada uno de los riesgos y
detalle el plan de trabajo del auditor para verificar que los mismos estén
contemplados.
Ídem 29.
 Segregación de funciones, el que liquida no puede ser el mismo que determina la
cantidad de horas trabajadas
 Acreditación de identidad para cobro de sueldo
 Existencia de recibo de sueldo
 Formularios o sistema para el calculo del sueldo
 Preservar la confidencialidad de la información, el acceso al legajo del empleado
debe ser restringido
44. Los controles que realiza el Gerente de RRHH para verificar la razonabilidad global
de la liquidación de Nómina, qué tipo de control es? De 2 ejemplos más de este tipo de
Controles.
Es un control directo, sobre el proceso de negocio y la aplicación de liquidación. Control
que personal autorizado no acceda a ese sistema y que las transacciones se ingresen en
periodos contables correctos.
45. Según la definición de la Compañía, Seguridad Informática tiene asignadas las
funciones de control tanto sobre las actividades de los usuarios de Sistemas
(administradores, operadores, etc.) como Finales, ¿qué tareas debe realizar el Auditor
de Sistemas para:
a. Verificar que esta definición se cumple en la realidad
Debe verificar que se cumplan algunos controles compensatorios como una supervisión
permanente, que se revisan los logs de acceso, etc.
b. Los controles que realiza Seguridad Informática son efectivos
Par que los controles sean efectivos, los empleados de sistemas, no deben realizar
funciones incompatibles y las actividades que realizan deben ser supervisadas por personal
técnicamente capacitado.
9
Descargar