PREGUNTAS DE REPASO

ÈTICA, INDEPENDENCIA Y OBJETIVIDAD EN EL EJERCICIO PROFESIONAL DE AUDITORIA

1) Un Estatuto de auditoría debería:

a. ser dinámico y cambiar a menudo para coincidir con la naturaleza cambiante de la
tecnología y la profesión de auditoría.
b. establecer claramente los objetivos de auditoría y la delegación de autoridad para el
mantenimiento y la revisión de los controles internos.
c. documentar los procedimientos de auditoría diseñados para lograr los objetivos
de auditoría planificados.
d. describir la autoridad, el alcance y las responsabilidades generales de la función
de auditoría.

2) Un auditor interno está auditando una división en la cual el Gerente de Sistemas es un amigo
cercano y personal. El auditor se entera que su amigo será despedido debido a una serie de
irregularidades en negociaciones con proveedores de Tecnología. El auditor le comunica esto a
su amigo, antes de que sea despedido de manera formal. ¿Qué principio del código de ética se
ha incumplido?
a. Integridad
b. Objetividad
c. Confidencialidad
d. Privacidad

3) ¿Cuál de las siguientes situaciones no perjudicaría la objetividad de la auditoría?

a. Se asigna a un auditor para auditar una función comercial de la cual fue responsable
hace nueve meses.
b. Un individuo asignado temporalmente a la actividad de auditoría interna de una función
comercial debido al conocimiento experto que posee, debido a que él/ella era el
responsable del proceso justo antes de ser transferida a la actividad de auditoría
interna.
c. Se asigna un auditor para realizar una revisión posterior a la implementación en un
sistema para el cual el auditor participó en el diseño de los controles durante el proceso
de diseño del sistema.
d. Se asigna un auditor para realizar una revisión posterior a la implementación en un
sistema para el cual el auditor realizó una revisión del procedimiento y realizó
recomendaciones de control antes de la implementación del sistema.

4) Los auditores están interesados en tener independencia debido a:

a. Que se requiere dar la impresión pública de que la independencia es un hecho
b. Quieren que la opinión pública tenga confianza en la profesión.
c. Necesitan cumplir con los principios fundamentales del Código de Ética de SACA
d. La auditoria debe ser planeada y apropiadamente supervisada

5) La independencia de auditoria se pierde de facto cuando:

a. El mismo equipo de auditoria, realiza exámenes de auditoria en paralelo a dos

empresas competidoras (por ejemplo: Seguros Pacífico y Rimac Seguros).
b. Un auditor concuerda con la opinión del Gerente de Sistemas sobre la imposibilidad de
la empresa de colocar controles de acceso debido a que la inversión requerida
sobrepasa el presupuesto y que históricamente no han sufrido eventos de seguridad
adversos.
c. El equipo de auditoria falla en descubrir un riesgo no atendido (sin control).
d. Se emite un informe final de auditoría, el cual por un error de supervisión no presenta
información completa.
6) ¿Cuál de las siguientes aseveraciones es verdadera?
a. Los miembros del equipo de auditoria no deben hablar con los clientes de auditoria
sobre hechos de importancia (hallazgos) fuera del alcance de auditoria mientras la
evaluación esté en marcha.
b. Los auditores que pertenecieron a una firma externa de auditoria, pero que fueron
empleados por el cliente al cual auditaban, pueden realizar el plan de auditoria sobre el
proceso que revisaron el mismo año.
c. Se debe prohibir siempre que auditores de firmas externas que hayan realizado
auditorias para un cliente, puedan pasar a trabajar como empleados de sus clientes.
d. Los auditores externos deben discutir y revisar con el comité de auditoría o la Junta
Directiva del cliente, sobre las posibles implicancias de auditoria de contratar a un ex
auditor financiero externo como Gerente Financiero.

7) ¿Cuál de los siguientes casos no serían considerados como información confidencial obtenida
en el curso de una evaluación de auditoria, por la cual el cliente debería dar consentimiento de
uso?
a. Información de un cliente que ha pagado puntualmente los montos de crédito.
b. Los cálculos de tasas e intereses aplicados por la empresa para sus productos
financieros.
c. Plan Estratégico de Tecnología del siguiente año, el cual detalla la contratación de
proveedores y próximas negociaciones.
d. Información de los cambios tecnológicos del siguiente año.

CONTROLES

8) Cuando se viene realizando una revisión de auditoría, un auditor de sistemas encontró que un
control clave preventivo ha sido retirado y no mitiga adecuadamente un riesgo. ¿Qué debería
hacer el auditor?
a. Informar a la gerencia sobre el hallazgo y determinar si la gerencia está dispuesta a
aceptar el riesgo de contar con el control.
b. Determinar si el control detectivo ha reemplazado al control preventivo retirado, de ser
el caso no reportar el hallazgo.
c. Hay que recomendar que el control retirado sea nuevamente implementado en la
brevedad
d. Desarrollar una auditoría para verificar el efecto del retiro del control

9) ¿Cuál de los siguientes tipos de riesgos asume el auditor ante la ausencia de controles?
a. Riesgo de Control
b. Riesgo de Detección
c. Riesgo Inherente
d. Riesgo Muestral

10) En cuál de las siguientes circunstancias un auditor esperaría encontrar que la entidad ha
implementado un control automático para reducir riesgos de declaración errónea de información
a. Cuando los errores son difíciles de predecir
b. Cuando los escenarios de declaración errónea de información son difíciles de definir
c. Cuando una transacción compleja, inusual y esporádica requiere un juicio
d. Cuando existe un alto y recurrente volumen de transacciones.

11) ¿Cuál de los siguientes controles sería el más apropiado para asegurar la confidencialidad de
una transacción en internet?
a. Firma Digital
b. Uso del DES
c. VPN
d. Encriptación de Llave Pública
12) ¿Cuál de los siguientes es el control MÁS efectivo para restringir el acceso a sitios de Internet
no autorizados en una organización?
a. Enrutar el tráfico de Internet saliente a través de un servidor proxy de filtrado de
contenido
b. Enrutar el tráfico entrante de Internet a través de un servidor proxy inverso.
c. Implementando un firewall con las reglas de acceso apropiadas.
d. Despliegue de utilidades de software de cliente que bloquean contenido inapropiado.

13) ¿Cuál de las siguientes declaraciones representa mejor la necesidad de considerar un control
para una empresa que registra su contabilidad a través de dispositivos móviles?
a. Es difícil detectar errores aritméticos
b. Personas no autorizadas encuentran fácil acceder a los dispositivos móviles y alterar los
archivos
c. Las tracciones están codificadas bajo un esquema contable antes de ser procesadas.
d. Errores aleatorios y esporádicos en el reporte del sistema

14) ¿Cuál de los siguientes son controles típicos de los sistemas de información que se utilizan para
garantizar las transacciones debidamente autorizadas?
a. Rutinas de validación en línea que verifican los límites de la autoridad en dólares.
b. Controles de acceso de usuario en línea.
c. Rutinas automatizadas de equilibrio y reconciliación.
d. Ediciones que validan la finalización completa de los campos de entrada de datos.

A y B solamente.
B y C solamente.
C y D solamente.
A, B y D solamente.

PLAN DE AUDITORIA

15) Un auditor de sistemas está desarrollando un Plan de Auditoría para un cliente por segundo año
consecutivo. El plan del año anterior tuvo como alcance revisar la red y el sistema contable,
pero no comprendió al sistema de e-commerce el cual fue recientemente implementado.
Adicionalmente, la Gerencia General indica que este año el foco del alcance debe ser el ERP.
¿Qué alcance se debe definir?
a. El alcance se determinará con base un análisis de criticidad y riesgos de los sistemas
b. El alcance debe cubrir el ERP y el sistema de E-Commerce
c. Auditar sólo el sistema de E-Commerce, dado que no se realizó el año pasado
d. Auditar solo el sistema ERP, tal como lo indica la Gerencia General

16) ¿Cuál de los siguientes describe mejor el primer paso que debe realizar un auditor de sistemas?
a. Observar las instalaciones tecnológicas del cliente
b. Evaluar el control interno de los procesos tecnológicos
c. Entender los procesos de negocio y el entorno tecnológico aplicable a este.
d. Revisar los reportes de auditoría anteriores

17) Antes de reportar los resultados finales de auditoría a los mandos gerenciales de la compañía,
el auditor de sistemas debe:
a. Confirmar los hallazgos o resultados con los auditados
b. Preparar un resumen ejecutivo y enviarlo a la gerencia del área auditada
c. Definir recomendaciones y presentar los hallazgos al comité de auditoria
d. Obtener la aceptación de los auditados y de las acciones a realizar.

18) Un auditor está revisando el proceso de “Desvinculación Laboral” de una empresa, cuál de los
siguientes aspectos serían los más importantes a revisar en el alcance:
a. El gerente de área y compañeros del colaborador a desvincular estén comunicados.
b. El usuario y contraseña del empleado sean eliminados de los sistemas
c. El registro de los pagos percibidos y datos personales sean eliminados.
d. Los activos de información entregados al colaborador sean entregados.
19) Al realizar una evaluación de riesgos de seguridad de TI, el auditor de SI solicitó al oficial de
seguridad de TI que participe en un taller de identificación de riesgos con usuarios y
representantes de unidades de negocio. ¿Cuál es la recomendación MÁS importante que debe
hacer el auditor de SI para obtener resultados exitosos y evitar futuros conflictos?
a. Asegurarse de que la evaluación de riesgos de seguridad de TI tenga un alcance
claramente definido.
b. Requiere que el oficial de seguridad de TI apruebe cada clasificación de riesgo durante
el taller.
c. Sugiera que el oficial de seguridad de TI acepte el riesgo y la calificación de la unidad
de negocio.
d. Seleccione solo el riesgo comúnmente aceptado con la calificación más alta enviada

NORMAS

20) Para asegurar que una organización cumpla con los requisitos de privacidad, un auditor de SI
debe PRIMERO revisar:
a. La infraestructura de TI.
b. Las Políticas organizacionales, estándares y procedimientos.
c. Requisitos legales y regulatorios.
d. Adherencia a las políticas, normas y procedimientos de la organización

21) ¿Cuál es el principal objetivo de los estándares generales de auditoría?

a. Promover la coordinación entre auditores externos e internos
b. Establecer una base para realizar una evaluación integral de auditoría
c. Desarrollar prácticas consistentes de auditoría
d. Proveer una lista de las prácticas existentes de auditoría.

22) ¿Cuál de las siguientes son estándares regulatorios

peruanos?
a. ISO 27001:2014
b. NIST SP 800-145.
c. NTP-ISO/IEC 27001:2014
d. Circular SBS G140-2009

A y B solamente.
B y C solamente.
C y D solamente.
A, B y D solamente.

23) ¿Cuál de los siguientes tipos de control están presentes en la ISO27002?

a. Controles Preventivos y Correctivos
b. Controles Predictivos
c. Controles Detectivos
d. Controles Preventivos, Detectivos y Correctivos
 REPASO DE CASOS - ELABORACIÓN DE FASE 1 y 2 del PLAN DE AUDITORIA DE SISTEMAS
METODOLOGIA ISACA

VIPBANK
El Banco VIPBANK es uno de los bancos más grandes del país y conscientes que uno de sus
procesos más importantes es el de tarjetas de crédito, se ha encargado realizar una auditoría a la
aplicación que soporta este proceso. Las principales responsabilidades comprendidas en este
proceso se describen a continuación:

1. Recepción y llenado de solicitudes de clientes en las áreas de Ventas de las

distintas sucursales.
2. El ejecutivo de servicio se encarga de digitar la solicitud en el Sistema VIPBANKPRO.
3. Análisis automático de la solicitud a través del Módulo Integral de Créditos del Sistema
VIPBANKPRO, el cual establece en forma automática el cupo disponible para la tarjeta.
4. Otorgamiento y activación de la Línea de Crédito por el Analista de Créditos.
5. Registro o actualización del Cliente en el archivo CIF (Consumer Information File).
6. Enviar interfaces con datos del cliente y tarjeta para la creación de plásticos al área de
Embozado y al área de Procesamiento de sistemas para la generación e impresión de claves
secretas.
7. El área de Procesamiento de Sistemas se encarga de la generación e impresión de claves
secretas y posteriormente envía físicamente las claves secretas al área de Distribución a través
del Operador de Turno.
8. El área de Embozado se encarga de la Grabación y ensobrado de la Tarjeta de Crédito y
envía los plásticos al área de Distribución.
9. El área de Distribución se encarga de enviar las tarjetas a las sucursales
correspondientes según las solicitudes del Sistema VIPBANKPRO.
10. Los Gerentes de cada sucursal se encargan de recepcionar y verificar las tarjetas de crédito de
acuerdo con su solicitud en el Sistema VIPBANKPRO.
11. Cada sucursal se encarga de las Coordinaciones y entrega de la Tarjeta de Crédito al Cliente
realizando las validaciones respectivas al titular de la tarjeta.
12. Una vez entregada la tarjeta, los ejecutivos de servicio de cada Sucursal deberán cambiar el
estado de la solicitud de tarjeta a activada a través del Sistema VIPBANKPRO, lo cual genera
un aviso al área de Control de Operaciones, quienes deberán efectuar la activación de las
tarjetas de crédito.

Adicionalmente se cuenta con la siguiente información de una entrevista al Gerente de la División de

Tarjetas de Crédito:

¿Los datos importantes ingresados se validan en tipo correcto de datos?

Si, por sistema se tiene restringido el tipo de dato a ingresar en cada campo.

¿Existen controles para verificar que se usan las versiones correctas de archivos?
Se confía en la información de los sistemas.

¿Son los informes de control oportunos?

En general el sistema tiene la información actualizada de manera oportuna, sin embargo, algunos
reportes a veces no están actualizados al día.

¿Existe un inventario de todos los reportes emitidos?

No, cualquiera con acceso puede generar cualquier reporte del Sistema VIPBANKPRO.

¿Existe un procedimiento de aceptación formal de las modificaciones por parte del usuario?

¿Se registran y documentan todos los cambios introducidos a los programas?

Los cambios solicitados por nuestra área los autorizo yo previo al pase a producción.
¿Los usuarios están debidamente autorizados?
 Los perfiles de usuario fueron heredados en un Sistema Anterior por lo cual existen algunos
usuarios con accesos que no les corresponden de acuerdo con sus funciones.

¿Se obtiene respaldos de archivos?

Una vez al mes.

¿El personal de operación conoce la clave de los usuarios?

Si, como contingencia.

Información Adicional

El Banco dispuso como política autorizar a sus ejecutivos a colocar más productos financieros,
identificándose situaciones en la que empleados ejecutivos habían otorgado un 50% más de las
tarjetas que habían sido planificadas. Uno de los problemas generados es que varios de los clientes
a los que se había otorgado una línea de crédito no tenían capacidad de pago. Uno de los directivos
comentó que se habían eliminado etapas importantes de evaluación del riesgo crediticio. ¿Se
estaría presentando una disputa entre los valores éticos de la institución financiera y la estrategia
comercial?

Otro directivo del Banco está muy preocupado por las posibilidades de que puedan estar ocurriendo
fraudes generados por los empleados.

Al respecto, se le pide desarrollar el Plan de Auditoria basado en la metodología definida por ISACA,
considerando los siguientes pasos:

A. Determinar el sujeto de la auditoría a nivel de proceso de negocio. Construir un

modelo adecuado dependiendo de su perspectiva del caso.
B. Determinar el objeto de la auditoría a realizar.
C. Establecer el alcance de la auditoría.
i. Realizar una pre-planificación.
ii. Construir la matriz de evaluación de riesgos.
D. Establecer el equipo de trabajo. Objetivo. Identificar el equipo de auditoría, recursos
necesarios para realizar la auditoría.
E. Identificar los controles existentes e incluirlos en la matriz de controles. Objetivo. Identificar
controles existentes de acuerdo con el o los riesgos identificados. Considerar clasificación
de controles y relacionarlos con riesgos identificados. Utilizar 5 W y 1H.
F. Determinar procedimientos del programa de auditoría. Objetivo: Identificar o seleccionar el
enfoque o estrategia de auditoría para desarrollar el programa de auditoría.
R(x): Evento de Riesgo
Exceso de Otorgación de Créditos
Fraude/capacidad
- Fraude
- Exp. Falta de Gestión de Usuarios
- Acceso irrestrictos a los reportes
- Perdida de Información. Est. Respaldo
- Falta de controles que garanticen la exactitud de la información

Sujeto: Otorgamiento de Crédito VIPBANKPRO

Objeto: MEA02 / APO12 MEA02 / DSS05

DSS05 / APO03
Ob. General del Auditor: Ob. General del Auditor:
Asegurar que se asigna correctamente el crédito Validar que el software cumpla con las políticas
de seguridad de información cuente con un
basado en un adecuado control interno y
adecuado control de información
seguridad en el VIPBAKPRO

Alcance: VikBank Modulos

NETFLIX

Netflix es un servicio de transmisión de medios cuya sede principal está en los Estados Unidos. La
compañía comenzó en 1997 como un servicio de DVD por correo, pero en los últimos años se ha
convertido en un servicio líder de transmisión de contenidos y medios. Por una tarifa de suscripción
mensual, Netflix ofrece más de 125 millones de horas de películas, programas de televisión y
documentales para ver a pedido con un dispositivo conectado a Internet. Netflix lanzó su servicio de
transmisión en 2007 y se ha consolidado a la vanguardia de los servicios de transmisión de
contenido en los mercados nacionales e internacionales. Netflix superó los 100 millones de
suscriptores totales en el segundo trimestre de 2017 y continúa expandiéndose internacionalmente
a tasas rápidas. Este ascenso meteórico ha posicionado a Netflix como el líder de la industria en
servicios de transmisión de medios en todo el mundo. Los principales objetivos de Netflix son
fortalecer su oferta de contenido original de Netflix, aumentar su base de suscriptores a nivel
nacional e internacional y defenderse de la competencia

Ud. es el nuevo Information Technology Chief Audit Executive de Netflix; y sabe que la tecnología es
crucial para el desarrollo de Netflix. En el reporte 2017 de evaluación de riesgos, la compañía afirma
“Si la tecnología que utilizamos para operar nuestro negocio falla, no está disponible o no
funciona según las expectativas, nuestro negocio y los resultados de operación podrían ser
impactado negativamente”. ​Asimismo, se le ha entregado el Plan Estratégico de la compañía
donde se listan los macroprocesos de su modelo de negocio: Gestión de Tecnología e Innovación,
Diseño del Servicio, Producción de Películas y Series, Marketing y Distribución.

Adicionalmente, Ud. identifica en el reporte anual 2017 de la compañía que se definido lo siguiente
para el año en curso:

- Objetivos a Largo Plazo: En el 2020 llegar a 170 millones de suscriptores y estar presentes en el
mundo entero.
- Objetivos a Corto Plazo: Mejorar la contribución marginal en 10% cada semestre. Esto
considerando el alto margen de competidores con bienes sustitutos (HBO, Hulu, Amanzon,
QuickFlix, etc)
- Cualquier interrupción significativa o acceso no autorizado a los sistemas informáticos o los de
terceros que utiliza en sus operaciones, incluidos aquellos relacionados con la ciberseguridad o
que surjan de ciberataques, podría dar lugar a una pérdida o degradación del servicio,
divulgación no autorizada de datos, incluidos información corporativa y de miembros, o robo de
propiedad intelectual, incluidos los activos de contenido digital, que podría afectar
negativamente a nuestro negocio.
- La reputación y capacidad de Netflix para atraer, retener y servir a sus clientes depende del
rendimiento confiable y la seguridad de sus sistemas informáticos y los de terceros que
utilizamos en nuestras operaciones. Estos sistemas pueden estar sujetos a interrupciones por
cortes del servicio de Internet en general, lo podría hacer que el servicio no esté disponible o
degradado o, de lo contrario, obstaculizar la capacidad para ofrecer contenido de transmisión.
- Errores en el software o la falta de disponibilidad de los sistemas informáticos utilizados en las
operaciones podrían disminuir el atractivo general de nuestro servicio de membresía a
miembros existentes y potenciales.

Es su segundo día de trabajo y el CEO (Mr. Reed Hastings) se encuentra muy preocupado.
Requiere una opinión independiente y objetiva sobre el grado de Control Interno de la seguridad de
la información de la compañía. Sin embargo, no logra identificar qué está fallando dado los recientes
hechos de ataques de ciberseguridad a la compañía y los vividos en los últimos 3 años. Esto han
motivado al directorio a determinar que requieren de una evaluación de Auditoria de Sistemas.

A continuación, se listan los eventos de ataque sufridos:

1. (21 de abril de 2018): Hace dos días un grupo de Hackers “OurMine” logró tener acceso a la
cuenta oficial de Netflix de Twitter, publicando un Tweet para los millones y medio de los
 seguidores de dicha cuenta, haciendo énfasis en la pobre seguridad con que contaba, luego ese
Tweet fue seguido por el grupo donde se ofrecían a probar la seguridad de otras cuentas.Los
objetivos de OurMine incluyeron cuentas de superhéroes de Marvel como The Avengers, Dr.
Strange, Captain America y Ant-man.

2. (abril 2018) PandaLabs, el laboratorio anti-malware de Panda Security, ha detectado un ataque

masivo a cientos de usuarios en España y Estados Unidos, en el que unos hackers se hacen
pasar por Netflix para robar los datos de acceso de la cuenta. El ataque de phishing se propaga
por medio de un correo electrónico que llega con el asunto “Notice – Document”, seguido por
una serie de números como “941-4259”. En el email, que suplanta con bastante acierto la
identidad corporativa de Netflix, los piratas informáticos piden a sus víctimas que verifiquen sus
datos de acceso a la plataforma audiovisual. El verdadero riesgo es que los delincuentes
revenden todas estas cuentas en el mercado negro. Además, pueden llegar a llevar a cabo
ataques a mayor escala, ya que la mayoría de los usuarios reutiliza sus contraseñas y,
seguramente a través de los datos robados, otros hackers puedan llegar a sus cuentas de
correo y redes sociales. Detrás de estos ataques hay bandas organizadas de ciberdelincuentes
que van a por dinero”, advierte Luis Corrons, Director Técnico de PandLabs.

3. (marzo 2018) Netflix anunció la puesta en marcha de un programa público de recompensas por
hallar fallos de seguridad en su servicio de contenidos de vídeo por streaming. La compañía,
que ha ido expandiendo su programa a lo largo de los años, comenzó con uno de divulgación en
2013. Netflix ha pagado de media 1.102 dólares por cada informe válido relacionado con un
problema de seguridad, aunque ha llegado a dar recompensas de 15.000

4. Se ha establecido estrategias y campañas en las que cualquier persona que reporte

vulnerabilidades en la plataforma, para luego ser corregidos recibe premios de hasta 15 mil
dólares. Los investigadores que detectan un problema que luego es corregido son añadidos al
Salón de la Fama de los Investigadores de Seguridad. En promedio la corrección demora 2,7
días.
5. (Nov 2017) En la semana, se filtraron 10 nuevos episodios del popular programa de Netflix
Original "Orange is the New Black" como resultado de un ataque contra la compañía de
postproducción del servicio de transmisión, Larson Studios. Esta violación y acto de extorsión
expuso aún más una falla crítica en la ciberseguridad empresarial que continuará siendo una
causa de violaciones cibernéticas perjudiciales similares si no se toman las medidas
adecuadas para defenderse de ellas.

6. Las sanciones regulatorias por fugas de datos pueden bordear entre los $200 millones y los
$600 millones de dólares, tomando en consideración las sanciones realizadas por la SEC a
Yahoo y otras compañías.

Al respecto, se le pide desarrollar el Plan de Auditoria basado en la metodología definida por ISACA,
considerando los siguientes pasos:

A. Determinar el sujeto de la auditoría a nivel de proceso de negocio. Construir un

modelo adecuado dependiendo de su perspectiva del caso.
B. Determinar el objeto de la auditoría a realizar.
C. Establecer el alcance de la auditoría.
D. Realizar una preplanificación.
i. Construir la matriz de evaluación de riesgos.
ii. Establecer el equipo de trabajo. Objetivo. Identificar el equipo de auditoría,
recursos necesarios para realizar la auditoría.
E. Identificar y registrar en la matriz de controles1 control preventivo, 1 control detectivo y 1
control correctivo Objetivo. Identificar controles existentes de acuerdo con riesgo
identificado. Considerar clasificación de controles y relacionarlos con riesgos identificados.
Utilizar 5 W y 1H.
 F. Determinar procedimientos del programa de auditoría. Objetivo: Identificar o seleccionar el
enfoque o estrategia de auditoría para desarrollar el programa de auditoría

OWAP “SQLinyection”

Preventivo Detectivo Correctivo

Políticas de Desarrollo seguro Herramienta de análisis de Gestión de Cambios

(manual) vulnerabilidad de código “Autorizada”
(dependiente de TI)
Análisis
Alertas
Automáticas