Desarrollo de puntos teóricos 1. Diferencias entre el Riesgo Acceso a las funciones de procesamiento computadorizadas y acceso general al sistema. El riesgo de acceso a las funciones de procesamiento computarizadas, es un riesgo a cada aplicación y es mitigado por controles directos, mientras que el riesgo de acceso general al sistema es un riesgo asociado al entorno de procesamiento y es mitigado por controles generales. 2. Riesgo relacionado con la Estructura Organizativa del centro de procesamiento de datos. El riesgo relacionado con la estructura Organizativa del centro de procesamiento de datos, es un riesgo asociado al entorno de procesamiento y es mitigado por controles generales. SI las actividades del área de sistemas no están organizadas, los empleados pueden realizar funciones incompatibles y esto puede generar que la información generada no sea confiable. 3. Enunciar y explicar brevemente los Riesgos Generales. Están relacionados con el entorno de procesamiento y se mitigan con controles generales. Comprenden funciones incompatibles, que se pase a producción un programa con errores, acceso no autorizado al sistemas y no tener un plan de continuidad del negocio. 4. Controles generales. Breve descripción de cada uno de ellos. Controles sobre la estructura organizativa del centro de procesamiento: las actividades del área de sistemas deben estar organizadas de manera que no haya funciones incompatibles, y las tareas que realizan los empleados y el software sea correctamente supervisadas. Controles sobre el procedimiento de cambios de los programas: los programadores pueden hacer cambios en producción, lo cual reduciría la confianza de la información generada Controles sobre acceso general a los datos: personas no autorizadas pueden tener acceso a los archivos de datos utilizados. Controles sobre la continuidad del negocio: una empresa debe poder sobrevivir a un desastre. 5. Check-List de controles para la revisión de aplicación Ventas - Cuentas a Cobrar. Tener en cuenta que la aplicación procesa en forma on-line las ventas y en forma batch el despacho y la facturación. ¿Que es lo que debe revisar el auditor de sistemas específicamente para esta aplicación? El auditor revisa los controles directos sobre esta aplicación: El acceso de personas no autorizadas a la aplicación Que sucede con las transacciones erróneas Que sucede con las transacciones suspendidas Transacciones ingresadas fueras del periodo contable: Check List Separación de funciones entre ventas y registros de stock, saldos, créditos y facturación Nivel de aprobación de venta por un funcionario autorizado Bonificaciones concedidas por un funcionario autorizados Documentación que respalda la circulación del producto 1 Numeración de los documentos Constancia entre las cantidades. Facturación en base a nota de pedido, remito y pedido de cotización 6. Check list de controles para la aplicación compras-cuentas a pagar. ¿Que es lo que debe revisar el auditor de sistemas específicamente para esta aplicación? Ídem anterior Check List Separación de funciones Iniciación del tramite de compra Obtención de cotizaciones Colocación del pedido Independencia de vínculos Control de mercadería recibida 7. Transacciones rechazadas y partidas en suspenso. ¿Qué tareas realiza el Auditor de Sistemas (específicamente para este aspecto) para determinar el riesgo asociado? El auditor de sistemas debe controlar que todas las transacciones rechazadas sean incluidas en un informe de excepción, para que luego el usuario apropiado tome las medidas correspondientes 8. Breve descripción. Dar ejemplos de este tipo de riesgo y controles que los reduzcan. Este riesgo puede generar que las transacciones rechazadas no sean identificadas, analizadas o corregidas. Por ejemplo, si un sistema de compra permite que se ingrese un producto de un proveedor que no existe, se generaría una inconsistencia de los datos. Los controles para reducir este riesgo son directos, y caen sobre el informe de excepción, dado que algunas transacciones pueden ser aceptadas, otras dejadas en suspenso y otras completamente rechazadas. 9. Diferencia entre el riesgo general de acceso al sistema y el riesgo de aplicación de acceso a las funciones de procesamiento computadorizadas. Ídem 1 10. Acceso General y Acceso a las Funciones de Procesamiento Computadorizadas. Ídem 1 11. Diferencias entre validaciones formales y validaciones semánticas. Las validaciones formales son verificaciones que se hacen a los datos antes de su ingreso en un sistema, comprenden verificaciones sobre el formato, campos faltantes, campos duplicados, etc. Mientras que las validaciones semánticas, son verificaciones que se hacen para que la información ingresada al sistema tenga sentido. 12. Tratamiento de las transacciones rechazadas. Aspectos a tener en cuenta (sobre este tema) durante una revisión de aplicación. Ídem 7 13. El riesgo relacionado con la posibilidad de acceso no autorizado a las funciones de procesamiento de los programas de aplicación puede reducirse si existe una adecuada segregación de funciones incompatibles tanto en la Organización como en el Departamento de Sistemas y si se realiza un control de todos los accesos no autorizados a la aplicación. 2 Para mitigar este riego se deben aplicar controles generales, como una correcta organización del departamento de sistemas y también controles directos sobre la aplicación. 14. De acuerdo a su criterio, en qué actividades haría participar al auditor operativo en una implantación de un sistema de compras? Es preferible un auditor externo o uno interno? Un auditor operativo podría participar Iniciación del tramite de compra Obtención de cotizaciones Colocación del pedido Control de mercadería recibida Es preferible que sea interno, ya que conoce con precisión el proceso de negocio de la compañía 15. Indique cuáles son las 3 características fundamentales que hacen que una password de usuario sea prácticamente invulnerable? Tener un mínimo de 8 caracteres Guardarse en archivos encriptados Ser combinaciones de letras, números y caracteres especiales 16. Acceso al sistema informático, a los programas y a los datos de una empresa: ¿Qué pruebas debe efectuar un auditor externo para asegurar que: a. ¿El acceso al mismo está sólo restringido a los perfiles de usuario correctos? Se debe probar con el manual de normas y procedimientos y el manual de autorización, junto con los logs de acceso, para detectar incompatibilidades en los perfiles. b. ¿El acceso concedido a los usuarios es el adecuado en relación con las responsabilidades de su trabajo (entorno operativo, de prueba, de desarrollo)? Se debe probar que haya una correcta segregación de funciones en el área de sistemas, revisando el organigrama y el mnyp. c. ¿Las contraseñas se cambian apropiada y puntualmente cuando un empleado es trasladado o deja la empresa? Se debe probar cuanto tiempo se tarda desde que son comunicadas las bajas, por el jefe del área usuaria o RRHH, hasta que es dado de baja definitivamente en el sistema d. ¿Existe una restricción adecuada de acceso remoto? Qué información debe solicitar a la empresa para estas tareas? Cuáles son los riesgos a los que se enfrenta la empresa en caso de no existir una buena implementación de estos controles? Se debe probar el ingreso desde una terminal remota. Se debe solicitar los logs de acceso remoto al sistema. Los riesgos que enfrenta son las de personal no autorizado tenga acceso al sistema y pueda modificar o sustraer información. 17. Recuperación de fallos de operaciones. Qué pruebas debe efectuar un auditor externo para asegura que: a. Se informe de las transacciones que presentaron fallos? 3 Debe asegurarse que las transacciones que fallaron sean ingresadas en un informe de excepción. b. Se identifican y solucionan las causas de fallos? Se debe revisar que el usuario correspondiente tome las medidas correctivas necesarias y que si son reprocesadas las transacciones sean sometidas de nuevo a las validaciones c. ¿ Qué información debe solicitar a la empresa para estas tareas? Se debe solicitar el informe de excepción y revisar los logs de transacciones d. ¿ Cuáles son los riesgos a los que se enfrenta la empresa en caso de no existir una buena implementación de estos controles? Los riesgos que enfrenta es que los datos rechazados y las partidas en suspenso pueden no ser identificadas, analizadas o corregidas, e ingresarse mal al sistema. 18. Cuáles son los controles que recomendaría un auditor de sistemas en el procedimiento de cambios a los programas?, Cambian los controles a recomendar si lo indica un auditor interno o externo?, A quiénes debe interrogar para efectuar las recomendaciones?, en base a qué información efectúa las recomendaciones? Iniciación, aprobación y documentación Procedimientos de pruebas Procedimientos de implantación Mantenimiento Segregación de funciones El auditor externo e interno realizan las mismas recomendaciones, ya que el procedimiento de cambios a los programas es independiente del proceso de negocio. Se debe interrogar a los usuarios, a los desarrolladores, al jefe de desarrolladores, a los DBA, a los administradores de servidores. Las recomendaciones se basan de analizar la documentación de cambios de los programas y el log de acceso a cada ambiente que tienen los perfiles 19. Cuáles son las diferencias entre controles de aplicación, controles generales y controles directos? Los controles generales, mitigan los riesgos generales, que son los del entorno de procesamiento, mientras que los directos y de aplicación, mitigan los riesgos de las funciones de procesamiento computarizadas o sea del sistema en si mismo. 20. Teniendo en cuenta que el depto. de tesorería está en una oficina central y que en distintas locaciones se facturan servicios al cliente, y que todos los días se realizan los movimientos a la administración central, se pide Desarrollar el Check-List de controles para la revisión de aplicación Tesorería, para los casos en que ambos (locación y central) estén en línea (on-line y batch) y para cuando no lo estén. Separación de funciones entre el manejo de fondos y la registración de las operaciones. Concentración de la responsabilidad de la custodia de fondos un solo responsable. Separación de los fondos provenientes de cobranzas con los destinados a pagos. Rotación del personal que interviene en el manejo de fondos Contabilización general de las operaciones relacionadas con los movimientos de fondos. Arqueos sorpresivos. 4 Conciliación del extracto bancario comparación entre las registraciones contables de la empresa y las que ha efectuado el banco, que figuran en el extracto bancario. 21. De acuerdo a su criterio, en qué actividades haría participar al auditor (interno o externo) en una implantación de un sistema de compras? Si lo considera necesario indique: hipótesis y alcances. Ídem 14 22. Un auditor, para efectuar qué tipos de pruebas utilizaría lo siguiente: un organigrama, un registro de personal, logs de auditoría del sistema de compras. Indique al menos dos ejemplos para cada uno. Utilizaría el organigrama, para ver una correcta organización de la estructura del área de sistemas y también para observar la segregación de funciones. El registro de personal se podría revisar para ver una correcta selección de perfiles para evitar el riesgo de acceso de personal no autorizado en un sistema y también el acceso general. Los losg de sistema de compras se podrían revisar, para revisar los accesos y evitar el riesgo de acceso de personal autorizado, así como también para ver que pasa con las transacciones erróneas o en suspenso 23. Tratamiento de las transacciones rechazadas. Aspectos a tener en cuenta durante una revisión de aplicación. Ídem 7 24. Cuáles son los distintos aspectos a tener en cuenta en la planificación de las tareas a desarrollar ante una contingencia y los requerimientos asociados a cada una de ellas?. Es necesario tener en cuenta la evaluación de los riesgos, el hardware alternativo, las necesidades de software y los requerimientos: Lapso critico de recuperación Aplicaciones a recuperar entre lapso critico Interrelación entre usuarios y procedimientos de datos, el usuario tenga que procesar datos una vez reanudad una aplicación Prioridades de procesamiento Instrucciones de cómo activar y usar el plan para cada área Procedimiento detallado para la recuperación de cada área Procedimiento formales para mantener actualizado el plan Contemplar distintos escenarios para cada interrupción 25. ¿Cuales son los 3 riesgos que se reducen con al Implantación de Controles Generales? Se reducen los riesgos de que la estructura organizativa y los procedimientos operativos puedan resultar en un entorno de procesamiento de datos no confiable, que los programadores pueden efectuar modificaciones incorrectas o no autorizadas al software de aplicación y que personas no autorizadas pueden obtener acceso directo a los archivos de datos o a los programas de aplicación utilizados. 26. Enuncie las diferencias entre el Riesgo de Acceso a las funciones de procesamiento computarizadas y acceso general al sistema Ídem 1 5 27. ¿Qué debe hacer el auditor de sistemas sino cuenta con toda la documentación respaldatoria respecto de un hallazgo importante y se le acabaron las horas asignadas al esa auditoría? El auditor debe solicitar al gerente general del área que solicito la auditoria que se le entreguen más horas, en caso de que no sea posible, debe anotar ese punto para el próximo plan de auditoria. 28. ¿El plan de contingencia debe contemplar todos los sistemas de aplicación de la empresa? El plan de contingencia debe contemplar primero las aplicaciones consideradas críticas, si se dispone de recursos para afrontar mas, se podría seguir con las vitales y luego con las sensibles. 29. ¿Cuales son los riesgos inherentes y de control? Los riesgos inherentes surgen de irregularidades significativas antes de considerar un sistema de control. Provienen de la característica propia del negocio, de los componentes y de los sistemas de información. Los riesgos de control son los que el sistema de control en vigencia no puede detectar o evitar en forma oportuna. 30. Explique que es el “Plan de Auditoría”, el “Programa de Trabajo de Auditoria” y cuales son sus diferencias. El programa de trabajo de auditoria, establece los riesgos y controles más el resultado de la efectividad de los controles. El plan de auditoria establece los pasos para desarrollar la auditoria, el estudio preliminar, el alcance, objetivo y tiempos de la auditoria. El plan de auditoria se establece previamente que el programa de trabajo 31. Desarrolle las tareas que debe realizar el Auditor para evaluar la efectividad y eficiencia del Plan de Continuidad del Negocio. Debe realizar una evaluación de los riesgos y verificar que los considerados críticos estén incluidos y con alta prioridad. Se debe verificar que se cumplan con los requerimientos de lapso crítico de recuperación, de prioridad de procesamiento. También se debe chequear que el hardware y software alternativo disponible cumplan con los lineamientos deseados por la gerencia. Finalmente se pude realizar una simulación total de recuperación, para detectar posibles errores. 32. Mencione al menos 5 (cinco) “Controles Compensatorios”, ante la falta de una adecuada segregación de funciones en el Departamento de Sistemas. Responsabilizar a los departamentos usuarios de realizar una adecuada supervisión de los informes de salida Supervisión permanente de las operaciones del computador Desarrollo de programas: Los usuarios deben iniciar los proyectos de desarrollo de programas y participar activamente en el desarrollo para mantener una adecuada segregación de tareas. Controles sobre Accesos físicos: el acceso a la sala del computador debe estar restringido. Supervisión de usuarios privilegiados: Los usuarios privilegiados son los que tienen autorizaciones especiales que podrían permitirles llevar a cabo funciones incompatibles. 6 33. Se sabe que el proceso para modificar el software debe ser el mismo que el utilizado en el desarrollo de nuevos sistemas, qué debe incluir normalmente este proceso? Los motivos para el pedido de modificaciones deben ser documentados y aprobados por un nivel gerencial apropiado. Los cambios sólo deben ser introducidos en las versiones de prueba del software y no en las versiones de producción. Los cambios sólo deben ser realizados por el personal de sistemas o programación Los cambios deben ser respaldados por documentación que debería seguir un estándar. Las pruebas del software modificado deben ser realizadas en primer lugar por los programadores. Todos los cambios deben ser revisados y aprobados por un individuo independiente de los programadores que realizan las modificaciones al software. Existencia de un procedimiento de catalogación: los cambios solo deben ser introducidos en las versiones de prueba del software y no en las versiones de producción. 34. ¿La administración de los parámetros de seguridad del Sistema UNIX (“seteo” de la longitud mínima de password, expiración de password, password no permitidas, etc.) es del Administrador del Sistema UNIX, del Administrador de Seguridad o del Auditor de Sistema? Respondido esto, ¿qué funciones principales tiene cada uno? La configuración del sistema y la determinación de los parámetros de UNIX es responsabilidad del administrador UNIX, por lo que el es el encargado de setear las directivas de contraseñas para ese sistema. El administrador de seguridad, se encarga de establecer directivas de los demás sistemas y de dar acceso a los perfiles correctos. El auditor de sistemas verifica que se cumplan los procesos del área de sistemas y también los controles de cada área. 35. El Auditor durante una revisión detectó que el Jefe de Cuentas a Pagar puede según los Perfiles de Acceso y Manuales de Autorización: Ingresar facturas, Aprobar facturas, y Crear proveedores a. ¿Qué recomendaciones redactaría a priori? Segregar las funciones, un jefe de cuentas que apruebe el pago, un operador que ingrese las facturas y otro distinto que cree los proveedores b. ¿Qué pruebas adicionales ejecutaría y cuales serían los pasos a seguir dependiendo de los resultados de dichas pruebas (si fueran positivos o negativos)? Analizaría la facturación, a ver si se corresponde con el maestro de proveedores, se buscaría la documentación respaldatoria. Si fueran positivos, igualmente sugeriría la segregación de funciones. Los proveedores deben existir y tener las facturas nuestras para poder hacer un cruce de información. 36. Indique cuales son las 3 características fundamentales que hacen que una password de usuario sea prácticamente invulnerable Ídem 15 37. ¿Qué se incluye en el diseño de un Plan de Trabajo que se prepara para realizar una revisión de Procedimiento de Cambio a los Programas? Incluiría la verificación de los controles de: Iniciación, aprobación y documentación 7 Procedimientos de prueba Aprobación de los resultados de las pruebas por los usuarios y supervisores de programación Procedimientos de Implantación Mantenimiento Segregación de funciones 38. Desarrolle los aspectos a tener en cuenta para realizar el mapa de riesgos, con el objeto de determinar el plan de auditoría anual. Para realizar el mapa de riesgos, debe tener en cuenta la relevancia del proceso de negocio o circuito dentro de la compañía, si es alta, media o baja; el estado de control, si es adecuado, mejorable o débil. De esta manera se pueden identificar las zonas de muerte (relevancia alta y control débil), que tiene que ser incluido en el plan de auditoria. 39. Defina y explique “Plan de Auditoria” e indique que tareas incluye el Plan de Auditoria para el Plan de Continuidad del Negocio. El plan de auditoria establece los pasos para desarrollar la auditoria, el estudio preliminar, el alcance, objetivo y tiempos de la auditoria. Para el plan de continuidad del negocio, debe incluir la evaluación de los riesgos (nivel de criticidad), los requerimientos que tienen las aplicaciones y las necesidades de hardware y software alternativa que se necesitan (hot, warm, cold sites) 40. Indique la/s diferencia/s, no significado, entre: Control General y Control Directo. Indique al menos 2 (dos) ejemplos de cada uno de ellos. Control general mitiga los riesgos generales, los del entorno de procesamiento, mientras que le control directo, mitigan los riesgos de las aplicaciones. Ejemplo: control general, acceso al sistema y procedimientos de cambios en los programas, control directo, personal no autorizado accede a la aplicaciones, control sobre transacciones incompleta o en suspenso 41. Un Auditor Externo de Sistemas se encuentra revisando la implantación de un nuevo sistema informático, y particularmente, analiza cómo se está realizando el pasaje a producción. ¿Qué pruebas debe incluir en su programa de trabajo para asegurar que el acceso concedido a los usuarios es el adecuado en relación a las tareas y responsabilidades de su trabajo (entorno Operativo, de Prueba, Preproductivo (o Quality Assurance)? Debe revisar si los desarrolladores tienen acceso a producción Se debe asegurar que las áreas de desarrollo, testing y producción este separadas y no compartan equipos Los datos no deben ser compartidos Los DBA son lo que deben pasar las modificaciones de las BD entre los distintos ambientes, mientras que los administradores de servidores son los encargados de cambiar las fuentes. 42. Dado un sistema integrado de administración y finanzas, explique que controles debe tener incorporado un módulo de cuentas por pagar antes de emitir la lista propuesta de pago de facturas por materiales ya recibidos. Pago amparado con la totalidad de los comprobantes, factura, remito, orden de compra 8 Firmas del personal responsable Segregación de funciones, el que paga no es el mismo que hizo la orden de compra Control de la mercadería recibida Numeración de los formularios 43. ¿Qué son los riesgos inherentes? Dado un sistema de liquidación de haberes de 5 ejemplos de controles que mitiguen estos riesgos. Explique cada uno de los riesgos y detalle el plan de trabajo del auditor para verificar que los mismos estén contemplados. Ídem 29. Segregación de funciones, el que liquida no puede ser el mismo que determina la cantidad de horas trabajadas Acreditación de identidad para cobro de sueldo Existencia de recibo de sueldo Formularios o sistema para el calculo del sueldo Preservar la confidencialidad de la información, el acceso al legajo del empleado debe ser restringido 44. Los controles que realiza el Gerente de RRHH para verificar la razonabilidad global de la liquidación de Nómina, qué tipo de control es? De 2 ejemplos más de este tipo de Controles. Es un control directo, sobre el proceso de negocio y la aplicación de liquidación. Control que personal autorizado no acceda a ese sistema y que las transacciones se ingresen en periodos contables correctos. 45. Según la definición de la Compañía, Seguridad Informática tiene asignadas las funciones de control tanto sobre las actividades de los usuarios de Sistemas (administradores, operadores, etc.) como Finales, ¿qué tareas debe realizar el Auditor de Sistemas para: a. Verificar que esta definición se cumple en la realidad Debe verificar que se cumplan algunos controles compensatorios como una supervisión permanente, que se revisan los logs de acceso, etc. b. Los controles que realiza Seguridad Informática son efectivos Par que los controles sean efectivos, los empleados de sistemas, no deben realizar funciones incompatibles y las actividades que realizan deben ser supervisadas por personal técnicamente capacitado. 9