Casos Seminario (2018-2)
Casos Seminario (2018-2)
Casos Seminario (2018-2)
2) Un auditor interno está auditando una división en la cual el Gerente de Sistemas es un amigo
cercano y personal. El auditor se entera que su amigo será despedido debido a una serie de
irregularidades en negociaciones con proveedores de Tecnología. El auditor le comunica esto a
su amigo, antes de que sea despedido de manera formal. ¿Qué principio del código de ética se
ha incumplido?
a. Integridad
b. Objetividad
c. Confidencialidad
d. Privacidad
7) ¿Cuál de los siguientes casos no serían considerados como información confidencial obtenida
en el curso de una evaluación de auditoria, por la cual el cliente debería dar consentimiento de
uso?
a. Información de un cliente que ha pagado puntualmente los montos de crédito.
b. Los cálculos de tasas e intereses aplicados por la empresa para sus productos
financieros.
c. Plan Estratégico de Tecnología del siguiente año, el cual detalla la contratación de
proveedores y próximas negociaciones.
d. Información de los cambios tecnológicos del siguiente año.
CONTROLES
8) Cuando se viene realizando una revisión de auditoría, un auditor de sistemas encontró que un
control clave preventivo ha sido retirado y no mitiga adecuadamente un riesgo. ¿Qué debería
hacer el auditor?
a. Informar a la gerencia sobre el hallazgo y determinar si la gerencia está dispuesta a
aceptar el riesgo de contar con el control.
b. Determinar si el control detectivo ha reemplazado al control preventivo retirado, de ser
el caso no reportar el hallazgo.
c. Hay que recomendar que el control retirado sea nuevamente implementado en la
brevedad
d. Desarrollar una auditoría para verificar el efecto del retiro del control
9) ¿Cuál de los siguientes tipos de riesgos asume el auditor ante la ausencia de controles?
a. Riesgo de Control
b. Riesgo de Detección
c. Riesgo Inherente
d. Riesgo Muestral
10) En cuál de las siguientes circunstancias un auditor esperaría encontrar que la entidad ha
implementado un control automático para reducir riesgos de declaración errónea de información
a. Cuando los errores son difíciles de predecir
b. Cuando los escenarios de declaración errónea de información son difíciles de definir
c. Cuando una transacción compleja, inusual y esporádica requiere un juicio
d. Cuando existe un alto y recurrente volumen de transacciones.
11) ¿Cuál de los siguientes controles sería el más apropiado para asegurar la confidencialidad de
una transacción en internet?
a. Firma Digital
b. Uso del DES
c. VPN
d. Encriptación de Llave Pública
12) ¿Cuál de los siguientes es el control MÁS efectivo para restringir el acceso a sitios de Internet
no autorizados en una organización?
a. Enrutar el tráfico de Internet saliente a través de un servidor proxy de filtrado de
contenido
b. Enrutar el tráfico entrante de Internet a través de un servidor proxy inverso.
c. Implementando un firewall con las reglas de acceso apropiadas.
d. Despliegue de utilidades de software de cliente que bloquean contenido inapropiado.
13) ¿Cuál de las siguientes declaraciones representa mejor la necesidad de considerar un control
para una empresa que registra su contabilidad a través de dispositivos móviles?
a. Es difícil detectar errores aritméticos
b. Personas no autorizadas encuentran fácil acceder a los dispositivos móviles y alterar los
archivos
c. Las tracciones están codificadas bajo un esquema contable antes de ser procesadas.
d. Errores aleatorios y esporádicos en el reporte del sistema
14) ¿Cuál de los siguientes son controles típicos de los sistemas de información que se utilizan para
garantizar las transacciones debidamente autorizadas?
a. Rutinas de validación en línea que verifican los límites de la autoridad en dólares.
b. Controles de acceso de usuario en línea.
c. Rutinas automatizadas de equilibrio y reconciliación.
d. Ediciones que validan la finalización completa de los campos de entrada de datos.
A y B solamente.
B y C solamente.
C y D solamente.
A, B y D solamente.
PLAN DE AUDITORIA
15) Un auditor de sistemas está desarrollando un Plan de Auditoría para un cliente por segundo año
consecutivo. El plan del año anterior tuvo como alcance revisar la red y el sistema contable,
pero no comprendió al sistema de e-commerce el cual fue recientemente implementado.
Adicionalmente, la Gerencia General indica que este año el foco del alcance debe ser el ERP.
¿Qué alcance se debe definir?
a. El alcance se determinará con base un análisis de criticidad y riesgos de los sistemas
b. El alcance debe cubrir el ERP y el sistema de E-Commerce
c. Auditar sólo el sistema de E-Commerce, dado que no se realizó el año pasado
d. Auditar solo el sistema ERP, tal como lo indica la Gerencia General
16) ¿Cuál de los siguientes describe mejor el primer paso que debe realizar un auditor de sistemas?
a. Observar las instalaciones tecnológicas del cliente
b. Evaluar el control interno de los procesos tecnológicos
c. Entender los procesos de negocio y el entorno tecnológico aplicable a este.
d. Revisar los reportes de auditoría anteriores
17) Antes de reportar los resultados finales de auditoría a los mandos gerenciales de la compañía,
el auditor de sistemas debe:
a. Confirmar los hallazgos o resultados con los auditados
b. Preparar un resumen ejecutivo y enviarlo a la gerencia del área auditada
c. Definir recomendaciones y presentar los hallazgos al comité de auditoria
d. Obtener la aceptación de los auditados y de las acciones a realizar.
18) Un auditor está revisando el proceso de “Desvinculación Laboral” de una empresa, cuál de los
siguientes aspectos serían los más importantes a revisar en el alcance:
a. El gerente de área y compañeros del colaborador a desvincular estén comunicados.
b. El usuario y contraseña del empleado sean eliminados de los sistemas
c. El registro de los pagos percibidos y datos personales sean eliminados.
d. Los activos de información entregados al colaborador sean entregados.
19) Al realizar una evaluación de riesgos de seguridad de TI, el auditor de SI solicitó al oficial de
seguridad de TI que participe en un taller de identificación de riesgos con usuarios y
representantes de unidades de negocio. ¿Cuál es la recomendación MÁS importante que debe
hacer el auditor de SI para obtener resultados exitosos y evitar futuros conflictos?
a. Asegurarse de que la evaluación de riesgos de seguridad de TI tenga un alcance
claramente definido.
b. Requiere que el oficial de seguridad de TI apruebe cada clasificación de riesgo durante
el taller.
c. Sugiera que el oficial de seguridad de TI acepte el riesgo y la calificación de la unidad
de negocio.
d. Seleccione solo el riesgo comúnmente aceptado con la calificación más alta enviada
NORMAS
20) Para asegurar que una organización cumpla con los requisitos de privacidad, un auditor de SI
debe PRIMERO revisar:
a. La infraestructura de TI.
b. Las Políticas organizacionales, estándares y procedimientos.
c. Requisitos legales y regulatorios.
d. Adherencia a las políticas, normas y procedimientos de la organización
A y B solamente.
B y C solamente.
C y D solamente.
A, B y D solamente.
VIPBANK
El Banco VIPBANK es uno de los bancos más grandes del país y conscientes que uno de sus
procesos más importantes es el de tarjetas de crédito, se ha encargado realizar una auditoría a la
aplicación que soporta este proceso. Las principales responsabilidades comprendidas en este
proceso se describen a continuación:
¿Existen controles para verificar que se usan las versiones correctas de archivos?
Se confía en la información de los sistemas.
¿Existe un procedimiento de aceptación formal de las modificaciones por parte del usuario?
Información Adicional
El Banco dispuso como política autorizar a sus ejecutivos a colocar más productos financieros,
identificándose situaciones en la que empleados ejecutivos habían otorgado un 50% más de las
tarjetas que habían sido planificadas. Uno de los problemas generados es que varios de los clientes
a los que se había otorgado una línea de crédito no tenían capacidad de pago. Uno de los directivos
comentó que se habían eliminado etapas importantes de evaluación del riesgo crediticio. ¿Se
estaría presentando una disputa entre los valores éticos de la institución financiera y la estrategia
comercial?
Otro directivo del Banco está muy preocupado por las posibilidades de que puedan estar ocurriendo
fraudes generados por los empleados.
Al respecto, se le pide desarrollar el Plan de Auditoria basado en la metodología definida por ISACA,
considerando los siguientes pasos:
NETFLIX
Netflix es un servicio de transmisión de medios cuya sede principal está en los Estados Unidos. La
compañía comenzó en 1997 como un servicio de DVD por correo, pero en los últimos años se ha
convertido en un servicio líder de transmisión de contenidos y medios. Por una tarifa de suscripción
mensual, Netflix ofrece más de 125 millones de horas de películas, programas de televisión y
documentales para ver a pedido con un dispositivo conectado a Internet. Netflix lanzó su servicio de
transmisión en 2007 y se ha consolidado a la vanguardia de los servicios de transmisión de
contenido en los mercados nacionales e internacionales. Netflix superó los 100 millones de
suscriptores totales en el segundo trimestre de 2017 y continúa expandiéndose internacionalmente
a tasas rápidas. Este ascenso meteórico ha posicionado a Netflix como el líder de la industria en
servicios de transmisión de medios en todo el mundo. Los principales objetivos de Netflix son
fortalecer su oferta de contenido original de Netflix, aumentar su base de suscriptores a nivel
nacional e internacional y defenderse de la competencia
Ud. es el nuevo Information Technology Chief Audit Executive de Netflix; y sabe que la tecnología es
crucial para el desarrollo de Netflix. En el reporte 2017 de evaluación de riesgos, la compañía afirma
“Si la tecnología que utilizamos para operar nuestro negocio falla, no está disponible o no
funciona según las expectativas, nuestro negocio y los resultados de operación podrían ser
impactado negativamente”. Asimismo, se le ha entregado el Plan Estratégico de la compañía
donde se listan los macroprocesos de su modelo de negocio: Gestión de Tecnología e Innovación,
Diseño del Servicio, Producción de Películas y Series, Marketing y Distribución.
Adicionalmente, Ud. identifica en el reporte anual 2017 de la compañía que se definido lo siguiente
para el año en curso:
- Objetivos a Largo Plazo: En el 2020 llegar a 170 millones de suscriptores y estar presentes en el
mundo entero.
- Objetivos a Corto Plazo: Mejorar la contribución marginal en 10% cada semestre. Esto
considerando el alto margen de competidores con bienes sustitutos (HBO, Hulu, Amanzon,
QuickFlix, etc)
- Cualquier interrupción significativa o acceso no autorizado a los sistemas informáticos o los de
terceros que utiliza en sus operaciones, incluidos aquellos relacionados con la ciberseguridad o
que surjan de ciberataques, podría dar lugar a una pérdida o degradación del servicio,
divulgación no autorizada de datos, incluidos información corporativa y de miembros, o robo de
propiedad intelectual, incluidos los activos de contenido digital, que podría afectar
negativamente a nuestro negocio.
- La reputación y capacidad de Netflix para atraer, retener y servir a sus clientes depende del
rendimiento confiable y la seguridad de sus sistemas informáticos y los de terceros que
utilizamos en nuestras operaciones. Estos sistemas pueden estar sujetos a interrupciones por
cortes del servicio de Internet en general, lo podría hacer que el servicio no esté disponible o
degradado o, de lo contrario, obstaculizar la capacidad para ofrecer contenido de transmisión.
- Errores en el software o la falta de disponibilidad de los sistemas informáticos utilizados en las
operaciones podrían disminuir el atractivo general de nuestro servicio de membresía a
miembros existentes y potenciales.
Es su segundo día de trabajo y el CEO (Mr. Reed Hastings) se encuentra muy preocupado.
Requiere una opinión independiente y objetiva sobre el grado de Control Interno de la seguridad de
la información de la compañía. Sin embargo, no logra identificar qué está fallando dado los recientes
hechos de ataques de ciberseguridad a la compañía y los vividos en los últimos 3 años. Esto han
motivado al directorio a determinar que requieren de una evaluación de Auditoria de Sistemas.
1. (21 de abril de 2018): Hace dos días un grupo de Hackers “OurMine” logró tener acceso a la
cuenta oficial de Netflix de Twitter, publicando un Tweet para los millones y medio de los
seguidores de dicha cuenta, haciendo énfasis en la pobre seguridad con que contaba, luego ese
Tweet fue seguido por el grupo donde se ofrecían a probar la seguridad de otras cuentas.Los
objetivos de OurMine incluyeron cuentas de superhéroes de Marvel como The Avengers, Dr.
Strange, Captain America y Ant-man.
3. (marzo 2018) Netflix anunció la puesta en marcha de un programa público de recompensas por
hallar fallos de seguridad en su servicio de contenidos de vídeo por streaming. La compañía,
que ha ido expandiendo su programa a lo largo de los años, comenzó con uno de divulgación en
2013. Netflix ha pagado de media 1.102 dólares por cada informe válido relacionado con un
problema de seguridad, aunque ha llegado a dar recompensas de 15.000
6. Las sanciones regulatorias por fugas de datos pueden bordear entre los $200 millones y los
$600 millones de dólares, tomando en consideración las sanciones realizadas por la SEC a
Yahoo y otras compañías.
Al respecto, se le pide desarrollar el Plan de Auditoria basado en la metodología definida por ISACA,
considerando los siguientes pasos:
OWAP “SQLinyection”