Beruflich Dokumente
Kultur Dokumente
Caso A
Escenario
Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluar el alistamiento de la
organizacin para que una revisin mida el cumplimiento de los nuevos requisitos regulatorios.
Estos requisitos estn diseados para asegurar que la gerencia est asumiendo un papel activo
en establecer y mantener un entorno bien controlado y, en consecuencia, evaluar la revisin de
la gerencia y las pruebas del entorno general de control de TI. Las reas a ser evaluadas incluyen
seguridad lgica y fsica, administracin de cambios, control de produccin y administracin de
redes, gobierno de TI, y computacin de usuario final, Al auditor de SI se le han dado seis meses
para realizar este trabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se
debe sealar que en aos anteriores, se han identificado reiterados problemas en las reas de
seguridad lgica y administracin de cambios, de modo que estas reas muy probablemente
requerirn algn grado de rectificacin. Las deficiencias de seguridad lgica notadas incluyeron
compartir las cuentas de administrador y no ejecutar los controles adecuados sobre las
contraseas. Las deficiencias de administracin de cambios incluyeron indebida segregacin de
funciones incompatibles y no documentar todos los cambios, Adicionalmente, el proceso para
desplegar las actualizaciones del sistema operativo a los servidores se encontr que era slo
parcialmente efectivo. En anticipacin del trabajo a ser realizado por el auditor de SI, el director
de informacin (CIO) solicit reportes directos para desarrollar narrativas y flujos de proceso
que describieran las principales actividades de las que TI es responsable. Estos se llevaron a
cabo, fueron aprobados por los diferentes dueos de proceso y por el CIO, y fueron luego
enviados al auditor de SI para examen.
Preguntas del Estudio de Caso A
1. Qu debera hacer PRIMERO el auditor de SI?
A. Efectuar una evaluacin del riesgo de TI.
B. Realizar una auditora de inspeccin de los controles de acceso lgico.
C. Revisar el plan de auditora para concentrarse en la auditora basada en el riesgo.
D. Comenzar a probar los controles que el auditor de SI estima que son los ms crticos.