Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Fabrizzio Parrales

Estudio de Casos Resueltos-Taller De Clase

Anuncio 
Estudio de Caso A
Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluará el alistamiento de la
organización para que una revisión mida el cumplimiento de los nuevos requisitos regulatorios. Estos
requisitos están diseñados para asegurar que la gerencia este asumiendo un papel activo en establecer
y mantener un entorno bien controlado y, en consecuencia, evaluará la revisión de la gerencia y las
pruebas del entrono general de control de TI. Las áreas a ser evaluados incluyen seguridad lógica y física,
administración de cambios, control de producción y administración de redes, gobierno de TI, y
computación de usuario final. AL auditor de SI se le han dado seis meses para realizar este trabajo
preliminar, de modo que debe haber disponible suficiente tiempo. Se debe señalar que, en años
anteriores, se han identificado reiterados problemas en las áreas de seguridad lógica y administración.
Las deficiencias de seguridad lógica notas incluyeron compartir las cuentas de administrador y no
ejecutar los controles adecuados sobre las contraseñas. Las deficiencias de administración de cambios
incluyeron indebida segregación de funciones incompatibles del sistema operativo a los servidores se
encontró que era solo parcialmente efectivo.
En anticipación del trabajo a ser realizado por el auditor de SI, el director de información (CIO) solicitó
reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales
actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por los diferentes
dueños de proceso y por el CIO, y fueron luego enviados al auditor de SI para examen.
Preguntas:
1. ¿Qué debería hacer Primero el auditor de SI?
a.
b.
c.
d.
Realizar una auditoría de inspección de los controles de acceso lógico.
Revisar el Plan de auditoria para concentrarse en la auditoria basada en el riesgo.
Comenzar a probar los controles que el auditor de SI estima que son los más críticos.
Efectuar una evaluación del riesgo de TI
Justificación de su Respuesta:
2. Cuando se prueba la administración de cambios de programas. ¿Cómo se debe seleccionar la
muestra?
a. Los documentos de administración de cambios deben ser seleccionados al azar y examinados
para verificar si son apropiados.
b. Se deben sacar muestras de los cambios al código de producción y estos deben ser rastreados
hasta la documentación apropiada que se autorizó.
c. Los documentos de administración de cambios deben ser seleccionados en base a la criticidad
del sistema y deben ser examinados para verificar si son apropiados.
d. A los cambios al código de producción se les debe sacar una muestra y se les debe rastrear
hasta los registros producidos por el sistema que indiquen la fecha y hora del cambio.
Justificación de su Respuesta:
Caso 2.
Un auditor de SI está planeando revisar la seguridad de una aplicación financiera para una gran
compañía con varias sucursales en el mundo. EL sistema de aplicación está constituido por una interfaz
web, una capa lógica de negocio y una capa de Base de datos. La aplicación es accedida localmente a
través de una LAN y remotamente a través de la Internet mediante una conexión VPN.
1. Dado que la aplicación es accedida a través de la Internet ¿Cómo debe el auditor determinar si
debe revisar las reglas del firewall y los parámetros de configuración de VPN?
a.
b.
c.
d.
Análisis de documentado del riesgo
Método usado en la auditoria anterior
Disponibilidad de experiencia y conocimientos técnicos.
Directrices y mejores prácticas de auditoría de SI
Justificación de su Respuesta:
2. Durante la revisión, si el auditor detecta que el objetivo de control de autorización de
transacciones no puede cumplirse a una ausencia de roles y privilegios claramente definidos en
la aplicación, el auditor debe Primero:
a. Usar un software que la gerencia del auditado revise si los derechos de acceso para todos los
usuarios son apropiados.
b. Solicitar que la gerencia del auditado revise si los derechos de acceso para todos los usuarios
son apropiados.
c. Reportar inmediatamente este hallazgo a la gerencia superior.
d. Revisar la automatización en las transacciones.
Justificación de su Respuesta:
Caso 3.
Un auditor de SI ha sido designado para llevar a cabo auditorías de SI en una entidad por un periodo de
2 años. Después de aceptar la designación el auditor de SI notó que:


La entidad tiene un estatuto de auditoria que detalla, entre otras cosas, el alcance y las
responsabilidades de la función de auditoria de SI y especifica al comité de auditoría como el
organismo de supervisión para la actividad de auditoria.
La entidad está planeando un aumento importante en la inversión de TI, principalmente a
cuesta de la implementación de una nueva aplicación de ERP, integrando los procesos del
negocio en todas las unidades dispersas geográficamente. La implementación de ERP se espera
que esté en operación dentro de los próximos 90 días. Los servidores que soportan las


aplicaciones del negocio están alojados fuera de las instalaciones por un tercero proveedor de
servicios.
La entidad tiene un nuevo colaborador como Director de Seguridad de Información (CISO),
quien se reporta al Director de Finanzas. (CFO).
La entidad está sujeta a requerimientos regulatorios de cumplimiento que obligan a su gerencia
a certificar la eficacia del sistema de control interno cuando este se relaciona con el reporte
financiero. La entidad ha estado registrando crecimiento al doble del promedio de la industria
consistentemente por los últimos dos años. Sin embargo, la entidad ha visto también
aumentada su rotación de empleados.
1.
a.
b.
c.
d.
¿Cuál debe ser la primera prioridad del auditor de SI a estudiar en el primer año?
Los reportes de auditorías de SI anteriores y planear el cronograma de auditoria.
Auditar el estatuto y planear el cronograma de auditoria.
EL impacto del nuevo colaborador como CISO
EL impacto de la Implementación del nuevo ERP en el entorno de TI y planear el cronograma
de auditoria.
Justificación de su Respuesta:
2. ¿Cómo debe el auditor de SI evaluar el respaldo y el procesamiento de lotes dentro de las
operaciones de computadora?
a. Planear y llevar a cabo una revisión independiente de las operaciones de computadora.
b. Basarse en el informe del auditor de servicio del proveedor de servicio.
c. Estudiar el Contrato entre la entidad y el proveedor de Servicio
d. Comparar el informe de entrega del servicio con el contrato de nivel de servicio.
Justificación de su Respuesta:
Documentos relacionados
reporte de trabajos realizados
reporte de trabajos realizados
SISTEMA INTEGRADO DE GESTIÓN PLAN DE AUDITORIA
SISTEMA INTEGRADO DE GESTIÓN PLAN DE AUDITORIA
Buscamos cargo de Auditor, para empresa multinacional americana
Buscamos cargo de Auditor, para empresa multinacional americana
leer más - Instituto de Auditoría Interna y Gobierno Corporativo de
leer más - Instituto de Auditoría Interna y Gobierno Corporativo de
Descargar el archivo Cronograma de Auditoria Tipo de archivo: docx Tamaño: 50.2 kB
Descargar el archivo Cronograma de Auditoria Tipo de archivo: docx Tamaño: 50.2 kB
Registros fija qu6 auditor debe dar luz verde al aumento de capital
Registros fija qu6 auditor debe dar luz verde al aumento de capital
Descargar
Anuncio
Anuncio