Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Objetivos de aprendizaje Discutir tareas y declaraciones de conocimiento Discutir temas especficos incluidos en el captulo Casos de estudio Preguntas ejemplo
Relevancia en el Exmen
Asegurar que el Candidato CISA
Tenga los conocimientos necesarios para proporcionar servicios de Auditora de Sistemas de Informacin (SI) en conformidad con los estndares, directrices y mejores prcticas para apoyar a la organizacion a validar que su tecnologa de informacin y sus sistemas de negocios estn protegidos y controlados.
% del total de preguntas del examen CISA
Captulo 6 14%
.
El contenido de esta rea en este capitulo representa el 10% del examen CISA (aproximadamente 20 preguntas).
Captulo 3 16%
Comunicar los hallazgos emergentes, riesgos potenciales y resultados de auditoras a los accionistas clave /stakeholders. Asesorar en la implementacin de la Administracin de Riesgos y prcticas de control dentro de la organizacin al tiempo que se mantiene la independencia.
Planeacin
de
Auditora
Establecer el alcance y los objetivos de la auditora. Desarrollar el enfoque o la estrategia de auditora. Asignar los recursos de personal para la auditora y dirigir la logstica del trabajo de auditora.
El Cdigo de Etica Profesional de la Asociacin, provee una gua de conducta profesional y personal para los miembros de la Asociacin y/o de los poseedores de las designaciones CISA y CISM
S2. Independencia
S3. Etica y Estndares S4. Competencia S5. Planeacin
S6. Desempeo del trabajo de Auditora S13 Usar el trabajo de otros expertos S7. Reporte S14 Evidencia de Auditora
S5. Planeacin
Alcance del Plan de Auditora SI Desarrollar y documentar el enfoque de auditora basado en riesgos Desarrollar y documentar el plan de auditora Desarrollar el programa y los procedimientos de auditora
1.3.2 Estndares de ISACA para Auditora de SI (Continuacin) S6. Desempeo del trabajo de auditora
Supervisin Evidencia Documentacin
S7. Informe
Identificar la organizacin, los destinatarios y cualquier restriccin Establecer el alcance, objetivos, perodo cubierto y naturaleza del trabajo de auditora realizado Establecer los hallazgos, conclusiones y recomendaciones y limitaciones Justificar los resultados reportados Debe estar firmado, fechado y distribuido de acuerdo con el estatuto de auditora
S10. Gobierno de TI
Revisar y evaluar la alineacin de la funcin de TI con la misin, visin, valores, objetivos y estrategias de la organizacin. Revisar el estatuto de la funcin de SI acerca del desempeo esperado y evaluar su cumplimiento. Revisar y evaluar la efectividad de SI en la administracin de los recursos y del desempeo
Directrices Proveen una gua sobre cmo puede el auditor implementar los estndares Procedimientos Proveen ejemplos para la implementacin de los estndares.
1.3.6 (IATF )
TM
Seccin 2200 Estandares Generales. Seccin 2400 Estandares de Rendimiento. Seccion 2600 Estandares de Reportes. Seccin 3000 Guias de Aseguramiento de TI Seccin 3200 Temas Empresariales. Seccin 3400 Proceso de Gestin de TI Seccin 3600 Guias de Aseguramiento y Auditoria de TI Seccin 3800 Gestin de Aseguramiento y Auditoria de TI
Proceso de Administracin del Riesgo Evaluacin del riesgo Mitigacin del riesgo
Controles Detectivos
Controles Correctivos
CLASE
Preventivo
FUNCION
Detectar los problemas antes de que surjan Monitorear tanto operaciones como entradas Intentar predecir posibles problemas antes de que ocurran y hacer ajustes Prevenir un error, omisin o acto malicioso antes de que ocurran
EJEMPLOS
Emplear a personal calificado Segregacin de funciones (factor de disuasin) Controlar el acceso a instalaciones fsicas Uso de un adecuado disea de documentos (evitar errores) Establecer procedimientos adecuados para la autorizacin de transacciones Chequeos completos de ediciones programadas Uso de software de control de acceso que permita el acceso a archivos sensibles solo a personal autorizado. Utilizar software de encriptacin para evitar la divulgacin no autorizada de datos Hash totales Puntos de control en trabajos en produccin Controles de eco en telecomunicaciones Mensajes de error sobre etiquetas de cintas Chequeo duplicado de clculos. Reporteo peridico del rendimiento y sus variantes. Tener en cuentas los informes anteriores. Auditar las funciones internas. Revisar los registros de actividad para detectar intentos de acceso no autorizados. Planeacin de contingencias. Procedimientos de respaldos Ejecucin reiterada de procedimientos
Detectivo
Usar controles que detecten y reporten la ocurrencia de un error, omisin o acto malicioso.
Correctivo
Minimizar el impacto de una amenaza Remediar los problemas descubiertos por los controles detectivos Identificar la causa de un problema. Corregir los errores derivados de un problema Modificar el procesamiento de los sistemas para minimizar futuras ocurrencias del problema.
Salvaguarda de activos de TI Cumplimiento con las polticas organizacionales o requerimientos legales Entrada de informacin Autorizacin Exactitud e integridad del procesamiento de transacciones Salida de informacin Confiabilidad de los procesos Respaldo/Recuperacin Eficiencia y economa de las operaciones Proceso de Administracin de cambios en TI y los sistemas relacionados
Los objetivos de control interno aplican a todas las reas, ya sean manuales o automatizadas. Por lo tanto, conceptualmente, los objetivos de control en un ambiente de SI, permanecen invariables respecto de un ambiente manual.
- Autorizacin para ingreso de datos - Exactitud e integridad del procesamiento de transacciones - Confiabilidad de las actividades de procesamiento de informacin - Exactitud, integridad y seguridad de la informacin de salida - Integridad de la base de datos
Cumplimiento con los requerimientos, polticas y procedimientos; y, con las leyes aplicables
Desarrollo de un plan de respuesta a incidentes
efectivos
de
1.5.3 COBIT
Un marco con 34 objetivos de control de alto nivel
Planeacin y organizacin Adquisicin e Implementacin Entrega y Soporte Monitoreo y Evaluacin
Aplican a todas las reas de una organizacin e incluye polticas y prcticas establecidas por la administracin, para proveer garanta razonable que se alcanzarn objetivos especficos.
1.5.5 Controles de SI
Estrategia y direccin
Definicin de Auditora de SI
Una auditora que abarca la revisin y evaluacin (total o parcial) de los sistemas de procesamiento de informacin automatizados, los procesos no automatizados relacionados as como las interfases entre ellos.
Auditorias Administrativas
Auditoras de Sistemas de Informacin Auditoras Especializadas Auditoras Forenses
Descripcin
Identificar el Area a ser Auditada. Identificar el propsito de la auditoria. Por ejemplo, Un objetivo podra ser determinar cuando el cdigo fuente de un programa presenta cambio en un ambiente bien definido y controlado. Identificar los sistemas especficos, funciones o unidades de la organizacin para ser incluidas en la revisin. Por ejemplo, en el caso anterior, los cambios de programa, el alcance declarado podra limitar la revisin a una simple aplicacin del sistema o a un limitado periodo de tiempo. Identificar las habilidades tcnicas y los recursos necesarios. Identificar las Fuentes de informacin para probar o revisar que tanto son funcionales los diagramas de flujo, polticas, estndares, procedimientos o papeles de trabajo de la auditoria. Identificar locaciones o establecimientos para auditar. Identificar y seleccionar el enfoque de la auditoria para verificar y probar los controles. Identificar la lista de personas a entrevistar. Identificar y obtener polticas departamentales, estndares y guas para revisar. Desarrollar herramientas y metodologas de auditoria para probar y verificar los controles. Organizacin Especifica. Organizacin Especifica. Identificar el seguimiento de los procedimientos de revisin Identificar el procedimiento para evaluar/probar la eficiencia operacional y su eficacia. Identificar los procedimientos para probar los controles. revisar y evaluar la solidez de los documentos, polticas y procedimientos
Alcance de la auditoria
Planeacin de la pre-auditoria
Procedimientos para evaluar las pruebas o revisar los resultados Procedimientos para comunicar con gestin Preparar el reporte de auditoria
Actividades de Auditora
Pruebas de Auditora Hallazgos e incidentes de auditora
Pregunta de Prctica
1-1 Cul de lo siguiente describe MEJOR las primeras etapas de una auditora de SI?
A. Observar las instalaciones organizacionales clave
B. Evaluar el entorno de SI
C. Entender el proceso del negocio y el entorno aplicable a la revisin
Pregunta de Prctica
1-1 Cul de lo siguiente describe MEJOR las primeras etapas de una auditora de SI?
A. Observar las instalaciones organizacionales clave
B. Evaluar el entorno de SI
C. Entender el proceso del negocio y el entorno aplicable a la revisin
Responsabilidad de la Administracin
Beneficios de un sistema de control interno bien diseado
Disuadir fraudes en primera instancia Detectar fraudes oportunamente
Realizar Pruebas de Cumplimiento - Realizar pruebas de fiabilidad, prevencin del riesgo y adherencia a las polticas y procedimientos de la organizacin
Pregunta de Prctica
1-2 Al realizar una auditora basada en el riesgo, cul evaluacin del riesgo realiza inicialmente el auditor de SI?
A. Evaluacin del riesgo de deteccin
B. Evaluacin del riesgo de control C. Evaluacin del riesgo inherente D. Evaluacin del riesgo de fraude
Pregunta de Prctica
1-2 Al realizar una auditora basada en el riesgo, cul evaluacin del riesgo realiza inicialmente el auditor de SI?
A. Evaluacin del riesgo de deteccin
B. Evaluacin del riesgo de control C. Evaluacin del riesgo inherente D. Evaluacin del riesgo de fraude
Pregunta de Prctica
1-3 Mientras desarrolla un programa de auditora basado en el riesgo, en cual de lo siguiente es MS probable que el auditor de SI se concentre?
A. Los procesos del negocio B. Las aplicaciones crticas de TI
Pregunta de Prctica
1-3 Mientras desarrolla un programa de auditora basado en el riesgo, en cual de lo siguiente es MS probable que el auditor de SI se concentre?
A. Los procesos del negocio B. Las aplicaciones crticas de TI
Riesgo de Control
Riesgo de Deteccin Riesgo General de Auditora
Pregunta de Prctica
1-4 Cul de los siguientes tipos de riesgo de auditora asume una ausencia de controles compensatorios en el rea que se est revisando?
A. Riesgo de Control B. Riesgo de Deteccin
C. Riesgo Inherente
D. Riesgo de muestreo
Pregunta de Prctica
1-4 Cul de los siguientes tipos de riesgo de auditora asume una ausencia de controles compensatorios en el rea que se est revisando?
A. Riesgo de Control B. Riesgo de Deteccin
C. Riesgo Inherente
D. Riesgo de muestreo
Pregunta de Prctica
1-5 Un auditor de SI que realiza una revisin de los controles de una aplicacin encuentra una debilidad en el software del sistema que podra tener un impacto material sobre la aplicacin. El auditor de SI debera:
A. Ignorar estas debilidades de control, ya que una revisin de software del sistema est ms all del alcance de esta revisin. B. Realizar una revisin detallada del software del sistema y reportar las debilidades de control. C. Inclur en el reporte una declaracin de que la auditora se limit a una revisin de los controles de la aplicacin. D. Revisar los controles de software del sistema que son relevantes y recomendar una revisin detallada del software del sistema.
Pregunta de Prctica
1-5 Un auditor de SI que realiza una revisin de los controles de una aplicacin encuentra una debilidad en el software del sistema que podra tener un impacto material sobre la aplicacin. El auditor de SI debera:
A. Ignorar estas debilidades de control, ya que una revisin de software del sistema est ms all del alcance de esta revisin. B. Realizar una revisin detallada del software del sistema y reportar las debilidades de control. C. Inclur en el reporte una declaracin de que la auditora se limit a una revisin de los controles de la aplicacin. D. Revisar los controles de software del sistema que son relevantes y recomendar una revisin detallada del software del sistema.
regulatorios
Confidencialidad
Integridad Confiabilidad Disponibilidad
Determinan si los controles estn en cumplimiento con las polticas y procedimientos de la administracin.
Pruebas sustantivas
Evaluar los controles para determinar las bases de confianza y naturaleza, alcance y calendario de las pruebas sustantivas
Usar dos tipos de pruebas sustantivas para evaluar la validez de los datos.
1.6.11 Evidencia
Es un requisito que las conclusiones del auditor estn basadas en evidencia suficiente, relevante y competente.
Independencia del proveedor de la evidencia Calificacin del individuo que provee la informacin o
evidencia
Objetividad de la evidencia Tiempo de disponibilidad de la evidencia
Revisin de estndares de SI
Revisin de documentacin de SI Entrevistas al personal apropiado
1.6.13 Muestreo
Precisin
Tasa de error esperada
Seleccionar la muestra.
Evaluar la muestra desde una perspectiva de auditora.
Software utilitario
Software para depuracin y busqueda Datos de prueba
Pregunta de Prctica
1.6.15 Tcnicas de auditora asistidas por computador (Continuacin) Elementos a considerar antes de utilizar CAAT:
Facilidad de uso, para el personal de auditora existente y futuro Requerimientos de entrenamiento Complejidad de la codificacin y del mantenimiento Flexibilidad de uso Requerimientos de instalacin Eficiencia de procesamiento Confidencialidad procesando de los datos que se estn
1.6.15 Tcnicas de auditora asistidas por computador (Continuacin) CAAT como Metodologa de Auditora Contnua y en Lnea :
Mejorar la eficiencia de la auditora,
El auditor de SI debe:
desarrollar tcnicas de auditora apropiadas para ser usadas con sistemas computarizados avanzados
Valoracin de la evidencia
Evaluar la estructura general de control Evaluar procedimientos de control Valorar las fortalezas y debilidades de control
Tcnicas de presentacin
Resumen ejecutivo Presentacin visual
Una tcnica de administracin Una metodologa En la prctica, un conjunto de herramientas Puede ser implementado mediante diversos mtodos
3. Desarrollar Cuestionarios
Pregunta de Prctica
1-7 Cul de lo siguientes es MS efectivo para implementar una autoevaluacin del control (CSA) dentro de las unidades de negocio?
A. Revisiones informales de pares
B. Talleres de facilitacin C. Narrativas de flujo de proceso D. Diagramas de flujo de datos
Enfoque CSA
Empleados empoderados /sujetos a rendicin de cuentas Mejora continua /curva de aprendizaje Extensa participacin y capacitacin de empleados Amplio enfoque en accionistas
Evidencia de pruebas
Conclusiones Informes y otra informacin complementaria
Controles mnimos :
Acceso a los papeles de trabajo Pistas de Auditora Funciones automatizadas para ofrecer y registrar las aprobaciones Controles de Seguridad e Integridad Respaldo y Recuperacin
Tcnicas de encripcin
Proceso donde las disciplinas de auditora necesarias son combinadas para evaluar controles internos claves de una operacin, un proceso o una entidad Se enfoca en el riesgo de la organizacin (para el caso de la auditora interna) Se enfoca en el riesgo de proveer una opinin de auditora incorrecta o engaosa (para el caso del auditor externo)
Conductores
Mejor monitoreo de los aspectos financieros Permite el monitoreo en tiempo real de transacciones en linea Previene fiascos financieros y escndalos de auditora Usa software para determinar el control financiero ms apropiado
Monitoreo continuo
Lo provee herramientas de gestin de SI Basada en procedimientos automatizados para reunir responsabilidades fiduciarias
Auditora continua
Auditora conducida Realizada usando procedimientos de auditora automatizados
Desventajas
Dificultad en la implementacin Alto costo Eliminacin del juicio personal del auditor y su evaluacin
Pregunta de Prctica
Pregunta de Prctica
1-9 El enfoque que un auditor de SI debe usar para planear la cobertura de la auditora de SI debe estar basado en: A. riesgo B. materialidad
C. escepticismo profesional
D. Control de deteccin
Pregunta de Prctica
1-10 Una compaa realiza una copia de respaldo diaria de los datos crticos y de los archivos de software y almacena las cintas de respaldo en un lugar fuera del establecimiento. Las cintas de respaldo se usan para recuperar los archivos en caso de una interrupcin. Esto es:
A. B. C. D. control preventivo control administrativo control correctivo control de deteccin
Las deficiencias de seguridad lgica identificadas incluyeron el compartir las cuentas de administrador y no ejecutar los controles adecuados sobre las contraseas. Las deficiencias de administracin de cambios incluyeron indebida segregacin de funciones y no documentar todos los cambios. Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a los servidores se encontr que era slo parcialmente efectivo.
En anticipacin del trabajo a ser realizado por el auditor de SI, el director de informacin (CIO) solicit reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por los diferentes dueos de proceso y por el CIO, y fueron luego enviados al auditor de SI para revisin.
Un auditor de SI est planeando revisar la seguridad de una aplicacin financiera para una gran compaa con varias localidades en todo el mundo. El sistema aplicativo est constituido por una interfaz web, una capa lgica de negocio y una capa de base de datos. La aplicacin es accedida localmente a travs de una LAN y remotamente a travs de la Internet mediante una conexin VPN.
1. La herramienta CAAT MS apropiada que el auditor debe usar para probar los parmetros de configuracin de seguridad para todo sistema de aplicacin es: A. software generalizado de auditora B. datos de prueba C. Software utilitario D. sistemas expertos
La organizacin tiene un nuevo colaborador como Director de Seguridad de la Informacin (CISO), quien reporta al Director de Finanzas (CFO).
La entidad est sujeta a requerimientos regulatorios de cumplimiento que obligan a su gerencia a certificar la eficacia del sistema de control interno cuando ste se relaciona con el reporte financiero. La organizacin ha estado registrando crecimiento al doble del promedio de la industria consistentemente por los ltimos dos aos. Sin embargo, la organizacin ha visto tambin aumentada su rotacin de empleados.
2. Cmo debe el auditor de SI evaluar el respaldo y el procesamiento de lotes dentro de las operaciones de computo?
A. Planear y llevar a cabo una revisin independiente de las operaciones de computo B. Confiar en el reporte del auditor del prestador de servicio C. Estudiar el contrato entre la entidad y el proveedor del servicio D. Comparar el informe de entrega del servicio con el contrato de nivel de servicio.
Conclusin
Capitulo 1 Repaso Referencia Rpida
Pagina 34 del Manual de Prepracin CISA 2010