CASO ESTUDIO No.

Se ha pedido al auditor de SI que realice un trabajo preliminar que

evaluar el alistamiento de la organizacin para que una revisin mida
el cumplimiento de los nuevos requisitos regulatorios.
Estos requisitos estn diseados para asegurar que la gerencia est
asumiendo un papel activo en establecer y mantener un entorno bien
controlado y, en consecuencia, evaluar la revisin de la gerencia y las
pruebas del entorno general de control de TI.
Las reas a ser evaluadas incluyen seguridad lgica y fsica,
administracin de cambios, control de produccin y administracin de
redes, gobierno de TI, y computacin de usuario final, Al auditor de SI
se le han dado seis meses para realizar este trabajo preliminar, de
modo que debe haber disponible suficiente tiempo.
Se debe sealar que en aos anteriores, se han identificado reiterados
problemas en las reas de seguridad lgica y administracin de
cambios, de modo que estas reas muy probablemente requerirn
algn grado de rectificacin. Las deficiencias de seguridad lgica
notadas incluyeron compartir las cuentas de administrador y no ejecutar
los controles adecuados sobre las contraseas. Las deficiencias de
administracin de cambios incluyeron indebida segregacin de
funciones incompatibles y no documentar todos los cambios.
Adicionalmente, el proceso para desplegar las actualizaciones del
sistema operativo a los servidores se encontr que era slo
parcialmente efectivo.
En anticipacin del trabajo a ser realizado por el auditor de SI, el
director de informacin (CIO) solicit reportes directos para desarrollar
narrativas y flujos de proceso que describieran las principales
actividades de las que TI es responsable. Estos se llevaron a cabo,
fueron aprobados por los diferentes dueos de proceso y por el CIO, y
fueron luego enviados al auditor de SI para examen.
Preguntas del Estudio de Caso No. 1

Qu debera hacer PRIMERO el auditor de SI?

A. Efectuar una evaluacin del riesgo de TI.
B. Realizar una auditora de inspeccin de los controles de acceso
lgico.
C. Revisar el plan de auditora para concentrarse en la auditora basada
en el riesgo.
D. Comenzar a probar los controles que el auditor de SI estima que son
los ms crticos.

Cuando se prueba la administracin de cambios de programas,

Cmo se debe seleccionar la muestra?
A. Los documentos de administracin de cambios deben ser
seleccionados al azar y examinados para verificar si son apropiados.
B. Se deben sacar muestras de los cambios al cdigo de produccin y
stos deben ser rastreados hasta la documentacin apropiada que
autoriz.
C. Los documentos de administracin de cambios deben ser
seleccionados en base a la criticidad del sistema y deben ser
examinados para verificar si son apropiados.
D. A los cambios al cdigo de produccin se les debe sacar una muestra
y se les debe rastrear hasta los registros (102) producidos por el sistema
que indiquen la fecha y la hora del cambio.