Examen Auditor Interno Iso 19011-2018

Examen para certificación como Auditor Interno de Sistemas de Gestión conforme a ISO19011:2018

NOMBRES Y APELLIDOS

CEDULA

NOTA

Puntaje Mínimo total necesario para aprobar el examen 80 puntos

INSTRUCCIONES   



Diligencie en Bolígrafo las preguntas del examen. Desarrolle todas las preguntas, trate de no dejar espacios en blanco. Los casos tienen la información que deben tener, NO SUPONGA NI ASUMA NADA, estos hechos plasmados allí es lo único que prevalece en el examen. Maneje su tiempo de forma adecuada.

VERSION 2.0 – FEBRERO 2017

TUV RHEINLAND COLOMBIA

PRIMERA PARTE (2 puntos cada una) Relacione la columna A con la B y en la columna sombreada, coloque el número que mejor corresponda. A

B Situación con alto nivel de incertidumbre que interrumpe las actividades claves y/o la credibilidad de una organización y demanda acción urgente. Documento que establece requisitos. Conjunto de una o más auditorias planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico. Extensión en la que se realizan las actividades planeadas y se alcanzan los resultados planeados. Acción para eliminar la causa de la no conformidad y prevenir su recurrencia. Resultado de una auditoría tras considerar los objetivos de la auditoría y todos los hallazgos de auditoría. Descripción de las actividades y de los detalles acordados de una auditoria. Documento que presenta resultados obtenidos o proporciona evidencia de actividades desempeñadas. Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría. Conjunto de requisitos usados como referencia contra los cuales es comparada la evidencia de auditoría. Registros, declaraciones de hechos o cualquier otra información que son verificables y pertinentes para los criterios de auditoria. Acción tomada para eliminar una no conformidad detectada.

A

Eficacia

B

Criterios de auditoría

C

Acción correctiva

D

Registro

E

Conclusiones de la auditoría

F

Corrección

G

Crisis

H

Evidencia de auditoría

I

Programa de auditoría

J

Especificación

K

Hallazgo de la auditoría

L

Plan de auditoría

M

No Conformidad

Recomendación de optimizar un proceso

N

Oportunidad de Mejora

Auditor que tiene el mando general del equipo de auditores

O

Auditor Lider

Hallazgo de incumplimiento

VERSION 2.0 – FEBRERO 2017

TUV RHEINLAND COLOMBIA

SEGUNDA PARTE (20 puntos) Realizar una lista de verificación para el numeral 6.1. de un estándar ISO posterior al año 2011.

Fecha Proceso a Auditar Equipo Auditor Estándar:

AUDITORIA INTERNA DEL SIG LISTA DE VERIFICACION Organización: Líder: Co-auditores: Idioma

NUMERAL

VERSION 2.0 – FEBRERO 2017

PREGUNTA

COMENTARIO

EVIDENCIA ó HALLAZGO

TUV RHEINLAND COLOMBIA

Realizar la lista de documentos que deben estar incluidos como parte de la revisión documental en un proceso de inicio de la auditoría del SIG.

VERSION 2.0 – FEBRERO 2017

TUV RHEINLAND COLOMBIA

TRECERA PARTE (50 puntos) Caso Una compañía prestadora de servicios de resguardo de información (Depósito Externo) cuenta con un sistema integrado de gestión de seguridad de la información y continuidad de negocios SIG. Ha solicitado una auditoría que permita asegurar el cumplimiento de los requisitos de las normas ISO27001:2013 e ISO22301:2012 y el cumplimiento de la circular 052 de 2009 de la superfinanciera de Colombia. Usted es el encargado de hacer esta auditoría y lo recibe el Doctor Tyss Morgan, como encargado del SIG. Al ingresar al área documental usted ingresa con una taza de café al área porque se lo brindaron al entrar y no quiere dejarlo enfriar. Usted le aclara a Tyss que el alcance de la auditoría es la revisión documental, los aspectos relacionados con gestión de incidentes y las pruebas del SIG. Respecto a la revisión documental, usted pidió la política, el alcance, la circular 052 y los objetivos del SIG y pudo observar que se encuentran incluidos en el manual del SIG. Pudo establecer que en la política del SIG y los objetivos correspondientes la alta dirección fue muy diligente en la elaboración del documento y en su publicación, para que dicho SIG fuese de conocimiento amplio de las personas consideradas claves de la compañía. Usted apuntó en su lista de chequeo esta última consideración. Usted indagó sobre los aspectos relacionados con el proceso de visita de los clientes a las instalaciones de la empresa. Dichas visitas se realizan por parte de los clientes que quieren ver las condiciones de resguardo de la información confiada a la empresa, además de observar la infraestructura de la entidad. Usted solicitó la lista de las visitas de clientes realizadas en los últimos 6 meses. Al revisar dichos registros, pudo establecer que la compañía cuenta con los siguientes documentos así: los correos electrónicos donde se hace la solicitud de visita, el formato autorizado por el jefe de seguridad con los nombres e identificación de los visitantes, el formato de visita firmado por los representantes del cliente que fueron a realizar la visita y un registro fílmico de las personas que estuvieron acompañando a los visitantes. Usted tomó una muestra de 15 visitas y pudo establecer que en 3 casos, no se encontró el correo electrónico de solicitud, al indagar sobre esta situación, el Sr. Morgan, le comentó que es muy probable que el cliente haya hecho la solicitud vía telefónica y no queda registro de ese tipo de solicitudes. De la misma forma pudo establecer que cinco de los casos, no cuentan con el Visto Bueno del jefe de seguridad, pues, según lo que comentó don Tyss Morgan, al momento de pasarle el formato, no se encontraba disponible y quedó pendiente. Así mismo, de las visitas realizadas usted corroboró que algunos de los visitantes anunciados y registrados en el formato no firmaron el mencionado formato. Se indagó sobre ello y el Sr. Morgan comentó que se había establecido que con la firma de un único funcionario era suficiente.

VERSION 2.0 – FEBRERO 2017

TUV RHEINLAND COLOMBIA

También pudo comprobar que los formatos no tienen un consecutivo asociado, se ordenan por fecha pero algunos se sobre ponen, aumentando la demora en las posibles consultas. Pasa usted con el encargado de la Gestión de Incidentes y se pudo comprobar que la Sra. Pitica Ubilla es quién ha venido trabajando en el desarrollo de esta labor. La gestión de incidentes sigue el modelo CSIRT y es a través de este procedimiento como se generan todo el manejo de los mismos. Se supo que hubo un amago de incendio en las instalaciones de la entidad lo cual despertó las alertas de la alta dirección de la compañía y sobre este hecho se manifestó buscando entender como se había generado el incidente y qué se había hecho para gestionarlo. El gerente indagó y no encontró el documento que le informará sobre el incidente ni sobre la acción realizada sobre el hecho. Pidió a la Sra. Ubilla le informara y ella muy hábilmente y de forma muy rápida realizó una presentación ejecutiva sobre lo sucedido. Usted indagó por la presentación y la observó, revisó el sistema donde se registran los incidentes y las acciones tomadas al respecto y pudo comprobar que no había un registro de dicho incidente. Al indagar con Pitica, ella manifestó que el sistema ese día no estaba funcionando y que al ser requerido el informe desde la gerencia dejó esa presentación como suficiente evidencia del incidente. Usted en su lista de chequeo dejó la anotación correspondiente. Finalmente se reúne nuevamente con el Sr. Morgan y le pide el procedimiento de pruebas del SIG y él le entrega un cronograma de las pruebas a realizar sobre el plan. Usted verifica el cronograma y logra establecer que éste incluye una serie de tareas muy puntuales, tales como pruebas de recuperación de Backups, pruebas de recuperación del Data center, pruebas de almacenamiento físico, pero no habían pruebas relacionadas con alcance total al plan ni posterior al evento que se presentó e incluso no fue registrado como incidente. Usted pidió la aprobación de estas pruebas desde la alta dirección y pudo comprobar que ellos ni siquiera conocen este cronograma. Usted escribe esa observación en su lista de chequeo y da las gracias a don Tyss quién le pregunta a usted si hay algún indicio de cómo le fue en la auditoría. Usted le comenta que debe esperar el resultado en el informe. Le agradece su atención y se retira de las instalaciones. Con esta información establezca las no conformidades, elabore las SAC y las oportunidades de mejora que considere haya lugar.

VERSION 2.0 – FEBRERO 2017

TUV RHEINLAND COLOMBIA

NOMBRE DE LA COMPAÑÍA: Auditoria al Sistema Integrado de Gestión Solicitud de Acción Correctiva - SAC No. _______________ Proceso Revisado: Estándar y Numeral: Hallazgo:

Preparó:

Revisó:

Fecha de la SAC:

NOMBRE DE LA COMPAÑÍA: Auditoria al Sistema Integrado de Gestión Solicitud de Acción Correctiva - SAC No. _______________ Proceso Revisado: Estándar y Numeral: Hallazgo:

Preparó:

Revisó:

Fecha de la SAC:

NOMBRE DE LA COMPAÑÍA: Auditoria al Sistema Integrado de Gestión Solicitud de Acción Correctiva - SAC No. _______________ Proceso Revisado: Estándar y Numeral: Hallazgo:

Preparó:

Revisó:

VERSION 2.0 – FEBRERO 2017

Fecha de la SAC:

TUV RHEINLAND COLOMBIA

Compañía _______________________________________________________

Auditoria al Sistema Integrado de Gestión OBSERVACION U OPORTUNIDAD DE MEJORA Observación:

Estándar:

Numeral o Elemento de Referencia:

Elaboró:

Aprobó:

Fecha:

Compañía _______________________________________________________

Auditoria al Sistema Integrado de Gestión OBSERVACION U OPORTUNIDAD DE MEJORA Observación:

Estándar: Elaboró:

Numeral o Elemento de Referencia: Aprobó:

Fecha:

RESULTADOS PRIMERA PARTE SEGUNDA PARTE TERCERA PARTE TOTAL

VERSION 2.0 – FEBRERO 2017

Porcentaje Obtenido 30% 20% 50% 100%

TUV RHEINLAND COLOMBIA