Este documento presenta las instrucciones y preguntas para la tercera práctica de la asignatura Auditoría de Sistemas Informáticos. Contiene cinco preguntas con múltiple opción sobre conceptos de auditoría y seguridad de la información, una pregunta que pide evaluar controles generales de TI, otra pregunta para evaluar la efectividad de un control automatizado entre dos sistemas, y una última pregunta para evaluar a un auditor que desea ascender basado en dos criterios.
1. Facultad de Ingeniería de Sistemas y Electrónica 27/11/2014
Elaborado por: J. Cevallos 2014-II
Auditoría de Sistemas Informáticos (WIA031102)
Tercera práctica
Instrucciones:
Duración del examen: 90 minutos.
La práctica es individual. Se pueden realizar consultas al docente; no se permitirá consultas a los demás
compañeros del salón.
Todas las respuestas se contestan en el cuadernillo entregado, no en este documento.
Pregunta 1 (05 puntos):
Seleccione la alternativa que considere correcta para cada una de las siguientes preguntas:
I. Si la alta gerencia no está comprometida con el planeamiento estratégico, ¿qué tan factible es que la
implementación de estrategias de TI sea exitosa?
a. No es factible implementar estrategias de TI si la alta gerencia no está comprometida con el
planeamiento estratégico (se admite también)
b. Es muy factible.
c. Es poco factible (es la mejor respuesta)
d. El planeamiento estratégico no afecta el éxito de la implementación de estrategias de TI.
II. ¿Cuál de las siguientes opciones podría podría ocasionar una pérdida no intencional de confidencialidad?
Elija la mejor respuesta:
a. Falta de capacitación del usuario, sobre las políticas de seguridad de información.
b. Falla en el cumplimiento de las políticas de seguridad de información.
c. Una decisión errónea.
d. Falta de procedimientos para reforzar las políticas de seguridad de información.
III. Cuando un programa perteneciente a una aplicación es modificado, ¿qué debe ser probado para determinar
el impacto total del cambio? Elija la mejor respuesta:
a. Interface con otras aplicaciones o sistemas.
b. El programa entero, incluyendo las interfaces con otras aplicaciones o sistemas.
c. Todos los programas de la aplicación, incluyendo las interfaces con otras aplicaciones o sistemas.
d. Las funcionalidades críticas y sus interfaces con otras aplicaciones o sistemas.
IV. ¿Cuál es un objetivo primordial para un auditor que revisa un proyecto de desarrollo de sistemas?
a. Asegurarse que exista ambientes de desarrollo y producción separados.
b. Asegurarse que el proyecto ha sido aprobado formalmente.
c. Asegurarse que los objetivos del negocio sean logrados con el proyecto.
d. Asegurarse que el proyecto sea monitoreado y administrado eficazmente.
V. ¿Qué beneficios otorga utilizar software de monitoreo de uso y tendencias de capacidad a la gerencia? Elija
la mejor respuesta:
a. El software puede reajustar dinámicamente la capacidad del tráfico de la red, basado en el uso actual.
b. El software produce reportes amigables para la gerencia.
c. El software permite a los usuarios distribuir adecuadamente los recursos y asegurar la eficiencia de las
operaciones.
d. El software permite a la gerencia distribuir adecuadamente los recursos y asegurar la eficiencia de las
operaciones.
2. Facultad de Ingeniería de Sistemas y Electrónica 27/11/2014
Elaborado por: J. Cevallos 2014-II
Pregunta 2 (05 puntos):
Usted es un auditor que va a iniciar la revisión de controles generales de TI de la empresa “Banco Bavaria” (ver anexo).
En base a la información proporcionada en la visita inicial, indique al menos dos (02) controles para alguna de las
siguientes áreas:
Acceso a programas y datos (APD)
Cambios a los programas (PC)
Desarrollo de programas (PD)
Operaciones computarizadas (CO)
Procedimiento para evaluar el diseño Procedimiento para evaluar la efectividad
CTRL1
CTRL2
Se admiten los procedimientos que cumplen con los siguientes criterios:
- Inician con un verbo en infinitivo.
- Indican claramente cómo se va a evaluar el diseño o la efectividad.
- No indicar el resultado, la pregunta era sobre los procedimientos.
- De modo excepcional, se admiten controles de diferentes áreas.
Pregunta 3 (05 puntos):
En la revisión de controles de aplicación de TI de la empresa “Banco Bavaria”, le han solicitado evaluar el siguiente
control automatizado: Interface entre el sistema BankTrader y el sistema SAP R/3. Basándose en la evidencia
proporcionada (ver anexo), complete la evaluación de efectividad:
Descripción del control:
Mediante la interface entre ambos sistemas, se
transfiere la información de las operaciones de
créditos comerciales procesada en el sistema
BankTrader para su registro contable en el sistema
SAP R/3.
Evaluación del diseño
Efectivo.
Diariamente, se realizan procedimientos de cierre del sistema
BankTrader. Se ha configurado una interface para el traslado
de información, entre el sistema BankTrader y el sistema SAP
R/3, la cual se ejecuta como parte del proceso de cierre diario.
Los procedimientos de inicio y cierre diario del sistema
BankTrader son ejecutados por el Analista de Operaciones en
coordinación con el Analista Financiero, de acuerdo al
procedimiento establecido en el banco.
Evaluación de efectividad
(Efectivo / No efectivo).
(Describir la evaluación).
Sustentar por qué el control de aplicación de TI (proceso de
interface entre dos aplicaciones, segregación de funciones) es
efectivo, de acuerdo al caso.
Pregunta 4 (05 puntos):
Usted pertenece al equipo de auditoría interna de un grupo empresarial, y está entrevistando a un auditor que desea
ascender a una posición senior. Indique dos (02) criterios con los cuales debería evaluarlo, usando el siguiente formato:
Criterio Fundamento
3. Facultad de Ingeniería de Sistemas y Electrónica 27/11/2014
Elaborado por: J. Cevallos 2014-II
- Se admiten los siguientes criterios: liderazgo, objetividad, relaciones de reporte.
- Relacionar los fundamentos a la función de auditoría interna.