Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Capitulo 1 CISA SFP PDF
Capitulo 1 CISA SFP PDF
Introduction - page 1
2005 ISACA All Rights Reserved
Contenido
Organizacin de la Funcin de Auditora de SI Administracin de Recursos de Auditora de SI Planeacin de la Auditora
Leyes y regulaciones Estndares y guas de ISACA para la auditora de Sistemas Anlisis de riesgos Controles Internos Realizacin de una auditora de SI Auto - evaluacin del control (CSA) Gobernabilidad corporativa
Introduction - page 3
Objetivo
Asegurar que el candidato CISA El objetivo del rea de proceso es el de asegurar que el candidato CISA tenga el conocimiento necesario para planear y conducir auditoras de SI en conformidad con los estndares (normas) y guas (directrices) de auditora de SI generalmente aceptadas, para proveer una declaracin (reporte de auditora) asegurando que los procesos de negocio de la organizacin soportados por tecnologa de informacin son adecuadamente controlados, monitoreados y evaluados
Introduction - page 4
2005 ISACA All Rights Reserved
Resumen
De acuerdo con el Comit de Certificacin CISA, el rea de proceso representar aproximadamente el 10 % del examen CISA
(aproximadamente 20 preguntas)
Introduction - page 5
2005 ISACA All Rights Reserved
Introduction - page 6
2005 ISACA All Rights Reserved
2. 3. 4. 5. 6.
Leyes y Regulaciones
Requerimientos normativos
Establecimiento Organizacin Responsabilidades Correlacin con las funciones de auditora financiera, operacional y de TI
Introduction - page 9
2005 ISACA All Rights Reserved
Leyes y Regulaciones
Pasos para determinar el cumplimiento de requerimientos externos:
Identificar requerimientos externos Documentar leyes y regulaciones pertinentes Determinar si la gerencia y la funcin de SI han considerado los requerimientos externos pertinentes Revisar documentos internos del departamento de SI que muestren adherencia a las leyes aplicables Determinar la adherencia a procedimientos establecidos
Introduction - page 10
2005 ISACA All Rights Reserved
Introduction - page 12
2005 ISACA All Rights Reserved
Introduction - page 13
2005 ISACA All Rights Reserved
Introduction - page 14
2005 ISACA All Rights Reserved
Introduction - page 16
2005 ISACA All Rights Reserved
Independencia
Independencia profesional Relacin organizacional
Introduction - page 17
2005 ISACA All Rights Reserved
Introduction - page 18
2005 ISACA All Rights Reserved
Introduction - page 19
2005 ISACA All Rights Reserved
Introduction - page 20
2005 ISACA All Rights Reserved
Introduction - page 21
2005 ISACA All Rights Reserved
Introduction - page 22
2005 ISACA All Rights Reserved
Introduction - page 23
2005 ISACA All Rights Reserved
Introduction - page 24
2005 ISACA All Rights Reserved
Anlisis de Riesgos
Definicin de anlisis de riesgos
El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando prdida o dao a los mismos. El impacto o severidad relativa del riesgo es proporcional al valor para el negocio, de las prdidas o daos y a la frecuencia estimada de la amenaza
Introduction - page 26
2005 ISACA All Rights Reserved
Anlisis de Riesgos
Componentes del anlisis de riesgos
Amenazas para, y vulnerabilidades de, procesos y/o activos (incluyendo activos fsicos e informacin) Impacto sobre los activos basado en amenazas y vulnerabilidades Probabilidades de las amenazas (combinacin de la posibilidad y frecuencia de su ocurrencia)
Introduction - page 27
2005 ISACA All Rights Reserved
Controles
Definicin de control interno
Es un proceso establecido por la Junta Directiva, la alta gerencia y todos los niveles de personal para proveer una seguridad razonable de que los objetivos de la organizacin sern alcanzados
Introduction - page 28
2005 ISACA All Rights Reserved
Controles
Clasificacin de los controles
Preventivo Detectivo Correctivo
Introduction - page 29
2005 ISACA All Rights Reserved
Controles
Objetivos de Control de los Sistemas de Informacin
Los objetivos de control en un ambiente de SI permanecen invariable en relacin a los de un ambiente manual. Sin embargo, las caractersticas de los controles pueden ser diferentes Los objetivos de control interno, por lo tanto necesitan, ser dirigidos en una manera especfica a procesos relacionados con SI
Introduction - page 30
2005 ISACA All Rights Reserved
Controles
Objetivos de control de SI
COBIT
Objetivos de control en TI y estndares de buenas prcticas 34 objetivos de control de alto nivel
Ejemplos
Introduction - page 31
2005 ISACA All Rights Reserved
Controles
Procedimientos de control de SI
Los procedimientos de control incluyen polticas y prcticas establecidas por la gerencia para proveer seguridad razonable de que los objetivos especficos sern alcanzados
Introduction - page 32
2005 ISACA All Rights Reserved
Controles
Procedimientos de control de SI
Controles Generales de SI
Tambin llamados Controles Penetrantes dirigidos a los controles del Ambiente computacional y de Sistemas Operativos
Controles de Aplicacin
Dirigidos a las aplicaciones computacionales tales como GL, Nminas, RMP Planeacin de materia prima, etc
Introduction - page 33
2005 ISACA All Rights Reserved
Controles
Procedimientos de Control de SI
Ejemplos de Controles Generales
Estrategia y direccin Gerencia y organizacin general Acceso a datos y programas Desarrollo de sistemas y control de cambios Operaciones de procesamiento de datos Programacin de sistemas y funciones de soporte tcnico Procedimientos de aseguramiento de calidad del procesamiento de datos Controles de acceso fsico Planeacin de continuidad del negocio / Recuperacin de desastres Redes y comunicaciones Administracin de bases de datos
Introduction - page 34
2005 ISACA All Rights Reserved
Controles
Procedimientos de control de SI
Ejemplos de Controles de Aplicacin
Los procesos de las aplicaciones satisfacen las necesidades Corporativas y de los Usuarios Acceso a las funciones de las aplicaciones Ediciones y Validaciones (entrada) Nivel de autorizacin Exactitud de los procesos de las funciones Oportunidad del Procesamiento Reportes Pistas de auditora Etc
Introduction - page 35
2005 ISACA All Rights Reserved
Introduction - page 37
2005 ISACA All Rights Reserved
Introduction - page 40
2005 ISACA All Rights Reserved
Desarrollar Herramientas y metodologa de auditora para probar y verificar el control Procedimientos para evaluar los resultados de las pruebas o revisiones Procedimientos de comunicacin con la gerencia Identificar Procedimientos para revisiones de seguimiento Procedimientos para evaluar/probar la eficiencia y efectividad operacional Procedimientos para probar controles
Revisar y evaluar la solidez de los documentos, polticas y procedimientos
Introduction - page 41
Introduction - page 42
2005 ISACA All Rights Reserved
Introduction - page 43
2005 ISACA All Rights Reserved
Introduction - page 45
2005 ISACA All Rights Reserved
Introduction - page 48
2005 ISACA All Rights Reserved
(Continuacin)
Muestreo de atributos
Muestreo parar-o-seguir Muestreo por descubrimiento Media estratificada por unidad Media no-estratificada por unidad Estimacin de diferencias
Muestreo de variables
Introduction - page 51
2005 ISACA All Rights Reserved
Introduction - page 52
2005 ISACA All Rights Reserved
computador
Las herramientas CAAT son muy importantes para los auditores de SI en la recoleccin independiente de informacin CAATs incluyen:
SW generalizado de auditora (ACL, IDEA, etc.) SW utilitario Datos de prueba SW de aplicacin para auditoras continuas en lnea Sistemas expertos de auditora
Introduction - page 54
2005 ISACA All Rights Reserved
computador
Necesidad de CAATs Recoleccin de evidencia Capacidades funcionales Funciones soportadas reas de inters
Introduction - page 55
2005 ISACA All Rights Reserved
computador
Ejemplos de CAATs utilizados para recolectar evidencia Enfoque de auditora continua en lnea
Introduction - page 56
2005 ISACA All Rights Reserved
computador
Ventajas de CAATs Costo/beneficio de CAATs
Introduction - page 57
2005 ISACA All Rights Reserved
computador
Desarrollo de CAATs
Retencin de documentacin Acceso a datos de produccin Manipulacin de datos
Introduction - page 58
2005 ISACA All Rights Reserved
Introduction - page 59
2005 ISACA All Rights Reserved
Introduction - page 60
2005 ISACA All Rights Reserved
Tcnicas de presentacin
Resumen ejecutivo Presentacin visual Presentacin oral
Introduction - page 61
2005 ISACA All Rights Reserved
Documentacin de la auditora
Introduction - page 62
2005 ISACA All Rights Reserved
Introduction - page 63
2005 ISACA All Rights Reserved
Auto-evaluacin de Control
Objetivos de un programa de Autoevaluacin de Control (CSA):
Realce de las responsabilidades de la auditora (no un reemplazo) Educacin para la gerencia media sobre responsabilidad y monitoreo del control Concentracin en reas de alto riesgo
Rol del auditor de SI en CSAs Facilitadores tecnolgicos Enfoque tradicional vs. CSA
Introduction - page 65
2005 ISACA All Rights Reserved
Gobernabilidad Corporativa
Gobernabilidad Corporativa
Comportamiento tico corporativo por directivos y otros encargados de la gobernabilidad en la creacin y presentacin de riqueza para todas las personas con intereses en la organizacin Establecimiento de reglas para la administracin y reporte de riesgos del negocio Gobernabilidad de TI
Introduction - page 66
2005 ISACA All Rights Reserved
Gobernabilidad de TI
Gobernabilidad de TI
Un conjunto de responsabilidades y prcticas utilizadas por la gerencia de una organizacin para proveer direccin estratgica Asegurar que las metas son alcanzables Los riesgos se manejan apropiadamente Los recursos organizacionales se utilizan apropiadamente
Introduction - page 67
2005 ISACA All Rights Reserved
Captulo 1: Glosario
Controles administrativos Muestreo de atributos Riesgo de auditora Pruebas de cumplimiento CAATs Riesgo de control Mdulos de auditora integrados Materialidad
Introduction - page 68
2005 ISACA All Rights Reserved
Captulo 1: Recapitulacin
Discusin en grupo Preguntas
Introduction - page 69
2005 ISACA All Rights Reserved
Captulo 1: Preguntas
1.
Al realizar una revisin de los controles de una aplicacin, el auditor de SI descubre una debilidad en el SW de sistema, que podra impactar materialmente a la aplicacin. El auditor de SI debe:
No prestar atencin a esta debilidad de control ya que la revisin del software de sistema est fuera del alcance de esta revisin B. Conducir una revisin detallada del SW de sistema y reportar la debilidad de control C. Incluir en el reporte una declaracin de que la auditora estuvo limitada a la revisin de los controles de la aplicacin D. Revisar los controles del SW de sistema relevantes y recomendar una revisin detallada del SW de sistema
A.
Introduction - page 70
Captulo 1: Preguntas
2. La razn para tener controles en un ambiente de SI:
A. Permanece invariable con relacin a un ambiente manual, pero las caractersticas de los controles implementados pueden ser diferentes B. Cambia con relacin a un ambiente manual, por lo tanto las caractersticas de los controles implementados pueden ser diferentes C. Cambia con relacin a un ambiente manual, pero las caractersticas de los controles implementados sern las mismas D. Permanece invariable con relacin a un ambiente manual y las caractersticas de los controles implementados sern tambin las mismas
Introduction - page 71
2005 ISACA All Rights Reserved
Captulo 1: Preguntas
3. Cul de los siguientes tipos de riesgo asume una ausencia de controles compensatorios en el rea bajo revisin?
A. Riesgo de control B. Riesgo de deteccin C. Riesgo inherente D. Riesgo de muestreo
Introduction - page 72
2005 ISACA All Rights Reserved
Captulo 1: preguntas
4. Un auditor de SI est realizando pruebas de auditora sustantivas a un nuevo mdulo de cuentas por cobrar. l tiene un cronograma ajustado y una experiencia limitada con el computador. Cul sera la MEJOR tcnica de auditora a utilizar en esta situacin?
A. B. C. D. Datos de prueba Simulacin en paralelo Facilidad de prueba integrada Mdulo de auditora integrado
Introduction - page 73
2005 ISACA All Rights Reserved
Captulo 1: Preguntas
5. El objetivo PRIMARIO de un programa de autoevaluacin o auto-aseguramiento del control (CSA) es:
A. B. C. D. reemplazar algunas responsabilidades de auditora interna. remover la responsabilidad sobre los controles de la gerencia media. traspasar algunas de las responsabilidades de supervisin de los controles a reas funcionales. Mejorar la supervisin del control global en la organizacin.
Introduction - page 74
2005 ISACA All Rights Reserved
Captulo 1: preguntas
6. Cul de los siguientes describe MEJOR las etapas
iniciales de una auditora de SI? A. Observacin de las instalaciones organizacionales claves
B. Evaluacin del ambiente de SI C. Comprensin de los procesos de negocio y del ambiente aplicable a la revisin D. Revisin de reportes de auditora de SI anteriores
Introduction - page 75
2005 ISACA All Rights Reserved
Captulo 1: Preguntas
7. El MAYOR inconveniente en el uso de una facilidad de prueba integrada es la necesidad de:
A. aislar los datos de prueba de los de produccin. B. notificar al personal usuario para que puedan hacer ajustes a las salidas. C. segregar registros especficos de archivos maestros. D. reunir registros de archivos maestros y de transaccin en un archivo separado.
Introduction - page 76
2005 ISACA All Rights Reserved
Captulo 1: preguntas
8. Antes de reportar los resultados de una auditora a la alta gerencia, un auditor de SI debe:
A. Confirmar los hallazgos con los auditados B. Preparar un resumen ejecutivo y enviarlo al gerente del rea auditada C. Definir recomendaciones y presentar los hallazgos al comit de auditora D. Obtener conformidad del auditado sobre los hallazgos y las acciones a ser tomadas
Introduction - page 77
2005 ISACA All Rights Reserved
Captulo 1: Preguntas
9. Al desarrollar un programa de auditora basado en riesgos, en cul de los siguientes se enfocara un auditor de SI con MAYOR posibilidad?
A. B. C. D. Procesos de negocio Aplicaciones de TI crticas Objetivos corporativos Estrategias de negocio
Introduction - page 78
2005 ISACA All Rights Reserved
Captulo 1: Preguntas
10. El uso PRIMARIO del software de auditora generalizado es:
A. B. C. D. probar los controles integrados en los programas. probar los accesos no autorizados a los datos. extraer datos relevantes con la auditora. reducir la necesidad de tener recibos de las transacciones.
Introduction - page 79
2005 ISACA All Rights Reserved