DOMINIO 1 The IS Audit Process
1. Durante una revisión de los controles sobre el proceso de
definir los niveles de servicios de TI, un auditor de SI
entrevistaría MÁS probablemente al:
A. programador de sistemas.
B. personal del departamento legal.
C. gerente de la unidad de negocio.
D. programador.
2. La evaluación de riesgos es un proceso:
A. subjetivo.
B. objetivo.
C. matemático.
D. estadístico.
3. ¿Cuál de las siguientes debe ser la MAYOR preocupación
para un auditor de SI?
A. No reportar un ataque exitoso en la red
B. No notificar a la policía sobre un intento de intrusión
C. La falta de examen periódico de derechos de acceso
D. La falta de notificación al público sobre un intruso
4. El riesgo general del negocio para una amenaza en
particular se puede expresar como:
A. un producto de la probabilidad y de la magnitud del
impacto si una amenaza explotara exitosamente una
vulnerabilidad
B. la magnitud del impacto si una fuente de amenaza
explotara exitosamente la vulnerabilidad.
C. la probabilidad de que cierta fuente de amenaza explotara
cierta vulnerabilidad.
D. la opinión colectiva del equipo de evaluación de riesgos.
5. La alta gerencia ha solicitado que un auditor de SI asista a
la gerencia departamental en la implementación de los
controles necesarios. El auditor de SI debería:
A. rehusar la asignación ya que no es la función del auditor
de SI
C. gerente de la unidad de negocio.
Explicación:
Entender los requerimientos del negocio es clave para definir
los niveles de servicio. Mientras que cada una de las otras
entidades enumeradas puede suministrar alguna definición
la mejor elección aquí es el gerente de unidad de negocio,
debido a los amplios conocimientos que tiene esta persona
sobre los requerimientos relacionados con la organización.
A. subjetivo.
Explicación:
El lineamiento de auditoría de SI sobre el uso de un análisis
del riesgo en la planeación de auditoría expresa: "Todas las
metodologías de análisis de riesgo se basan en juicios
subjetivos en ciento momento del proceso (por ejemplo, para
asignar ponderaciones a los diversos parámetros.) El auditor
de SI debe identificar las decisiones subjetivas requeridas
para usar una metodología en particular y considerar si estos
juicios pueden hacerse y ser validos a un nivel apropiado de
exactitud".
A. No reportar un ataque exitoso en la red
Explicación:
No reportar una intrusión es equivalente a un auditor de SI
que esconde una intrusión maliciosa, lo cual sería un error
profesional. A pesar de que puede requerirse la notificación
a la policía y que la falta de un examen periódico de
derechos de acceso podría ser una preocupación, ellos no
representan una preocupación tan grande como la de dejar
de reportar un ataque. Reportar al público no es un requisito
y depende del deseo de la organización o de la falta del
mismo de hacer saber sobre la intrusión.
A. un producto de la probabilidad y de la magnitud del
impacto si una amenaza explotara exitosamente una
vulnerabilidad
Explicación:
La opción A toma en consideración tanto la probabilidad
como la magnitud del impacto y provee la mejor medida del
riesgo para un activo. La opción B provee únicamente la
probabilidad de que una amenaza explote una vulnerabilidad
en el activo pero no provee la magnitud del posible daño al
activo. De manera similar, la opción C considera solamente
la magnitud del daño y no la posibilidad de que una amenaza
explote una vulnerabilidad. La opción D define el riesgo
sobre una base arbitraria y no es adecuado para un proceso
científico de administración del riesgo.
B. informar a la gerencia de su incapacidad para llevar a
cabo futuras auditorías.
Explicación:
En esta situación el auditor de SI debería informar a la
gerencia sobre el perjuicio a la independencia para llevar a
B. informar a la gerencia de su incapacidad para llevar a
cabo futuras auditorías.
C. realizar la asignación y las futuras auditorías con debido
cuidado profesional.
D. obtener la aprobación de la gerencia usuaria para realizar
la implementación y seguimiento.
6. Un auditor de SI está revisando la evaluación del riesgo
de la gerencia, de los sistemas de información. El auditor de
SI debe PRIMERO revisar:
A. los controles ya establecidos.
B. la eficacia de los controles establecidos.
C. el mecanismo para monitorear los riesgos relacionados
con los activos.
D. las amenazas /vulnerabilidades que afectan a los activos.
7. En una auditoría de SI de varios servidores críticos, el
auditor quiere analizar las pistas de auditoría para descubrir
potenciales anomalías en el comportamiento de usuarios o
del sistema. ¿Cuál de las herramientas siguientes es la MÁS
adecuada para realizar esa tarea?
A. Herramientas CASE
B. Herramientas integradas (embedded) de recolección de
datos
C. Herramientas heurísticas de escaneo
D. Herramientas de detección de tendencias /varianzas
8. ¿Cuál de los siguientes podría ser usado por un auditor de
SI para validar la efectividad de las rutinas de edición y de
validación?
A. Prueba de integridad de dominio.
B. Prueba de integridad relacional.
C. Prueba de integridad referencial.
D. Verificaciones de paridad.
cabo auditorías posteriores en el área del auditado. Un
auditor de SI puede realizar asignaciones que no sean de
auditoría cuando la experiencia y conocimientos del auditor
pueden ser de utilidad para la gerencia; sin embargo,
realizando la asignación que no es de auditoría, el auditor de
SI no puede llevar a cabo futuras auditorías del auditado ya
que su independencia puede estar comprometida. Sin
embargo, la independencia del auditor no se verá afectada
cuando sugiera /recomiende controles al auditado después
de la auditoría.
D. las amenazas /vulnerabilidades que afectan a los activos.
Explicación:
Uno de los factores clave a ser considerados mientras se
evalúan los riesgos relacionados con el uso de diversos
sistemas de información son las amenazas y las
vulnerabilidades que afectan a los activos. Los riesgos
relacionados con el uso de activos de información deben ser
evaluados aisladamente de los controles instalados. De
manera similar, la eficacia de los controles debe ser
considerada durante la etapa de mitigación del riesgo y no
durante la etapa de evaluación del riesgo. Se debe
establecer un mecanismo para monitorear constantemente
los riesgos relacionados con los activos durante la función de
monitoreo del riesgo que sigue a la etapa de evaluación del
riesgo.
D. Herramientas de detección de tendencias /varianzas
Explicación:
Las herramientas de detección de tendencias /varianzas
buscan anomalías en el comportamiento de usuarios o del
sistema, por ejemplo, determinando para los documentos
prenumerados si los números son secuenciales o
incrementales. Las herramientas CASE se usan para asistir
en el desarrollo de software. El software integrado de
recolección de datos (auditoría) se usa para tomar muestras
y para proveer estadísticas de producción. Las herramientas
heurísticas de escaneo se pueden usar para escanear en
busca de virus para indicar códigos posiblemente infectados.
A. Prueba de integridad de dominio.
Explicación:
La prueba de integridad de dominio está dirigida a verificar
que los datos se ajusten a las definiciones, i.e., los
elementos de datos están todos en los dominios correctos.
El objetivo principal de este ejercicio es verificar que las
rutinas de edición y de validación están funcionando de
manera satisfactoria. Las pruebas de integridad relacional se
realizan a nivel del registro y por lo general implican calcular
y verificar diversos campos computados , tales como los
totales de control. Las verificaciones de integridad referencial
implican asegurar que todas las referencias a una llave/clave
primaria desde otro archivo existen realmente en su archivo
original. Una verificación o chequeo de paridad es un bit
agregado a cada carácter antes de la transmisión. El bit de
paridad es una función de los bits que forman parte del
carácter. El destinatario realiza la misma función en el
carácter recibido y compara el resultado con el bit de paridad

9. ¿Cuál de los siguientes es un objetivo de un programa de
auto evaluación de control (CSA)?
A. Concentración en las áreas de alto riesgo
B. El reemplazo de las responsabilidades de auditoría
C. La realización de cuestionarios de control
D. Los talleres de facilitación colaborativa
10. La responsabilidad, autoridad y obligación de rendir
cuentas de las funciones de auditoría de los sistemas de
información están debidamente documentadas en una carta
o contrato de auditoría (Audit Charter) y DEBEN ser:
A. aprobadas por el más alto nivel de la gerencia.
B. aprobadas por la gerencia del departamento de auditoría.
C. aprobadas por la gerencia del departamento de los
usuarios.
D. cambiadas cada año antes del inicio de las auditorías de
SI.
11. Una prueba integrada (integrated test facility—ITF) se
considera una herramienta útil de auditoría porque:
A. es un enfoque eficiente en costos de los controles de
aplicación de auditoría.
B. permite a la gerencia financiera y al auditor de SI integrar
sus pruebas de auditoría.
C. compara el resultado (output) del procesamiento con
datos calculados de manera independiente.
D. provee al auditor de SI una herramienta para analizar una
amplia gama de información.
12. Un auditor de SI está efectuando una auditoría de un
sistema operativo de red. ¿Cuál de las siguientes es una
función de usuario que el auditor de SI debe revisar?
A. Disponibilidad de documentación de red en línea
B. Soporte de acceso a terminal a anfitriones (hosts) remotos
C. Administración de transferencia de archivo entre
anfitriones (hosts) y comunicaciones entre usuarios
D. Gerencia, auditoría y control del desempeño
13. Un auditor de SI descubre evidencia de fraude
transmitido. Si fuera diferente, se asume que hay un error.
A. Concentración en las áreas de alto riesgo
Explicación:
Los objetivos de los programas CSA incluyen la educación
para la gerencia de línea en responsabilidad del control,
seguimiento y concentración de todos en las áreas de alto
riesgo. Los objetivos de los programas de CSA incluyen el
aumento de las responsabilidades de auditoría, no el
reemplazo de las responsabilidades de auditoría. Las
opciones C y D son herramientas de CSA y no objetivos.
A. aprobadas por el más alto nivel de la gerencia.
Explicación:
La norma sobre responsabilidad, autoridad y obligación de
rendir cuentas expresa "La responsabilidad autoridad, y
obligaciones de rendir cuentas de la función de auditoría de
los sistemas de información deben ser debidamente
documentadas en una carta de auditoría o carta
compromiso." Las opciones B y C son incorrectas porque la
carta de auditoría debe ser aprobada por la gerencia de mas
alto nivel, no meramente por el departamento de auditoría de
los sistemas de información, o del departamento de
usuarios. Las metodología de planeación resultantes deben
ser revisadas y aprobadas por la alta gerencia y por el
comité de auditoría. La opción D es incorrecta porque la
carta de auditoría, una vez establecida no es revisada de
manera rutinaria y debe ser cambiada solo si el cambio
puede ser, y es, justificado exhaustivamente.
C. compara el resultado (output) del procesamiento con
datos calculados de manera independiente.
Explicación:
Una facilidad de prueba integrada se considera una
herramienta útil de auditoría porque usa los mismos
programas para comparar el procesamiento usando datos
calculados de manera independiente. Esto implica establecer
entidades ficticias en un sistema de aplicación y procesar
datos de prueba o de producción contra la entidad como un
medio de verificar el procesamiento adecuado.
A. Disponibilidad de documentación de red en línea
Explicación:
Las funciones de usuario de sistema operativo de red
incluyen la disponibilidad en línea de documentación de red.
Otras funciones serían el acceso del usuario a diversos
recursos de anfitriones (hosts) de red, la autorización del
usuario a tener acceso a recursos particulares y la red y las
computadoras anfitrionas (hosts) a ser usadas sin acciones o
comandos especiales de usuario. Las opciones B, C y D son
ejemplos de funciones de sistemas operativos de red entre
las cuales están incluidas las siguientes: soportar el acceso
de terminales a anfitriones (hosts) remotos, manejar la
transferencia de archivos entre anfitriones (hosts), y
comunicaciones entre usuarios.
B. perpetrador no puede ser establecido mas allá de la duda.
perpetrado con la identificación del usuario de un Gerente. El
gerente había escrito la contraseña, asignada por el
administrador del sistema, dentro del cajón/ la gaveta de su
escritorio. El auditor de SI debería concluir que el:
A. asistente del gerente perpetró el fraude.
B. perpetrador no puede ser establecido mas allá de la duda.
C. fraude pudo haber sido perpetrado por el gerente.
D. administrador del sistema perpetró el fraude.
14. Cuando se evalúa el diseño de los controles de
monitoreo de red, un auditor de SI debe PRIMERO revisar:
A. los diagramas de topología de red.
B. el uso de ancho de banda de red.
C. los informes de análisis de tráfico de red.
D. las ubicaciones de cuellos de botella de la red.
15. En una auditoría de una aplicación de inventario, ¿qué
método proveerá la MEJOR evidencia de que las órdenes de
compra son válidas?
A. Probar si un personal no apropiado puede cambiar los
parámetros de aplicación.
B. Rastrear las órdenes de compra hasta un listado de
computadora
C. Comparar los reportes que se reciben con los detalles de
las órdenes de compra
D. Revisar la documentación de aplicación
16. Un auditor de SI está revisando el acceso a una
aplicación para determinar si los 10 formularios "nuevo
usuario" más recientes fueron correctamente autorizados.
Este es un ejemplo de:
A. Muestreo de variables
B. Prueba sustantiva
C. Prueba de cumplimiento
D. Muestreo detenerse o seguir (stop-or-go)
17. Una acción correctiva ha sido tomada por un auditado
inmediatamente después de la identificación de un hallazgo
que debería ser reportado. El auditor debe:
A. incluir el hallazgo en el reporte final porque el auditor de
SI es responsable de un reporte exacto de todos los
hallazgos.
B. no incluir el hallazgo en el reporte final porque el reporte
de auditoría debe incluir solamente los hallazgos no
resueltos.
Explicación:
Las debilidades de control de contraseña significan que
cualquiera de las otras tres opciones podría ser cierta. La
seguridad de contraseña identificaría normalmente al
perpetrador. En este caso, no establece culpa más allá de la
duda.
A. los diagramas de topología de red.
Explicación:
El primer paso para evaluar los controles de monitoreo de la
red debe ser la revisión de la adecuación de documentación
de red, específicamente los diagramas de topología. Si esta
información no está actualizada, entonces los procesos de
monitoreo y la capacidad para diagnosticar los problemas no
serán efectivos.
A. Probar si un personal no apropiado puede cambiar los
parámetros de aplicación.
Explicación:
Para determinar la validez de la orden de compra, probar los
controles de acceso proveerá la mejor evidencia. Las
opciones B y C están basadas en métodos posteriores al
hecho, y la opción D no sirve al propósito porque lo que está
en la documentación del sistema puede no ser lo mismo que
lo que está ocurriendo.
C. Prueba de cumplimiento
Explicación:
La prueba de cumplimiento determina si los controles se
están aplicando de acuerdo con las políticas. Esto incluye
pruebas para determinar si las nuevas cuentas fueron
debidamente autorizadas. El muestreo de variables se usa
para estimar los valores numéricos, tales como valores de
dólar. La prueba sustantiva sustancia la integridad del
procesamiento real, como por ejemplo los saldos de los
estados financieros. El desarrollo de pruebas sustantivas
depende a menudo del resultado de las pruebas de
cumplimiento. Si las pruebas de cumplimiento indican que
hay controles internos adecuados, entonces las pruebas
sustantivas se pueden minimizar. El muestreo stop-or-go
permite que una prueba sea detenida lo antes posible y no
es apropiada para verificar si se han seguido los
procedimientos.
A. incluir el hallazgo en el reporte final porque el auditor de
SI es responsable de un reporte exacto de todos los
hallazgos.
Explicación:
Incluir el hallazgo en el reporte final es una práctica de
auditoría generalmente aceptada. Si se emprende una
acción después de que comenzó la auditoría y antes de que
terminara, el reporte de auditoría debe identificar el hallazgo
y describir la acción correctiva tomada. Un reporte de
C. no incluir el hallazgo en el reporte final porque la acción
correctiva puede ser verificada por el auditor de SI durante la
auditoría.
D. incluir el hallazgo en la reunión de cierre para fines de
discusión solamente.
18. La PRINCIPAL ventaja del enfoque de evaluación del
riesgo sobre el enfoque de línea base para la gerencia de
seguridad de información es que éste asegura que:
A. los activos de información estén sobreprotegidos.
B. se aplique nivel básico de protección independientemente
del valor del activo.
C. se apliquen niveles apropiados de protección a los activos
de información.
D. se dedique una proporción igual de recursos para
proteger todos los activos de información.
19. Un auditor de SI evalúa los resultados de prueba de una
modificación a un sistema que trata con cómputo de pagos.
El auditor encuentra que el 50 % de los cálculos no
coinciden con los totales predeterminados. ¿Cuál de los
siguientes es MÁS probable que sea el siguiente paso en la
auditoría?
A. Diseñar más pruebas de los cálculos que están en error
B. Identificar variables que pueden haber causado que los
resultados de prueba sean incorrectos
C. Examinar algunos de los casos de prueba para confirmar
los resultados
D. Documentar los resultados y preparar un reporte de
hallazgos, conclusiones y recomendaciones
20. ¿Cuál de los siguientes es un beneficio de un método de
planeación de auditoría basado en el riesgo?
A. El cronograma de auditoría puede realizarse con meses
de anticipación
B. Es más probable que los presupuestos de auditoría sean
cumplidos por el personal de auditoría de SI
C. El personal de auditoría estará expuesto a una variedad
de tecnologías
D. Los recursos de auditoría son asignados a las áreas de
mayor preocupación
21. ¿Cuál de las siguientes es la razón MÁS probable de por
qué los sistemas de correo electrónico se han convertido en
una fuente útil de evidencia en litigios?
A. Permanecen disponibles archivos de respaldo de
auditoría debe reflejar la situación, tal como ésta existía en el
comienzo de la auditoría. Todas las acciones correctivas
emprendidas por el auditado deben ser reportadas por
escrito.
C. se apliquen niveles apropiados de protección a los activos
de información.
Explicación:
Una evaluación completa del riesgo determina el nivel
apropiado para un nivel dado de riesgo, mientras que el
enfoque de la línea base aplica meramente un conjunto
estándar de protección independientemente del riesgo. Hay
una ventaja de costo en no sobreproteger la información. Sin
embargo una ventaja aún mayor es asegurarse que ningún
activo de información esta sobre ni protegido de manera
insuficiente. El enfoque de la evaluación del riesgo
asegurara que se aplique un nivel de protección apropiado al
nivel de riesgo y al valor del activo, y por lo tanto, toma en
cuenta el valor del activo. El enfoque de línea base permite
que más recursos sean dirigidos hacia los activos que están
en mayor riesgo de dirigir los recursos a todos los activos.
C. Examinar algunos de los casos de prueba para confirmar
los resultados
Explicación:
El auditor de SI debería luego examinar casos donde
ocurrieron cálculos incorrectos y confirmar los resultados.
Después de que los cálculos hayan sido confirmados, más
pruebas pueden ser llevadas a cabo y revisadas. La
preparación de reportes, hallazgos y recomendaciones no se
haría hasta que todos los resultados fueran confirmados.
D. Los recursos de auditoría son asignados a las áreas de
mayor preocupación
Explicación:
El método basado en el riesgo está diseñado para asegurar
que el tiempo de auditoría sea empleado en las áreas de
mayor riesgo. El desarrollo de un cronograma de auditoría
no está dirigido por un método basado en el riesgo. Los
cronogramas de auditoría pueden ser preparados con meses
de anticipación usando diversos métodos de cronograma. Un
método de riesgo no tiene una correlación directa con que el
personal de auditoría cumpla con los cronogramas en una
auditoría en particular, ni quiere decir necesariamente que
una variedad más amplia de auditorías se llevará a cabo en
un año dado.
A. Permanecen disponibles archivos de respaldo de
diferentes ciclos.
Explicación:
Los archivos de respaldo contienen documentos, que
diferentes ciclos.
B. Los controles de acceso establecen la responsabilidad de
dar cuenta de la información de correo electrónico.
C. La clasificación de datos regula que información debería
ser comunicada por correo electrónico.
D. Dentro de la empresa, una política clara para usar el
correo electrónico asegura que la evidencia esta disponible.
22. El vicepresidente de recursos humanos ha solicitado una
auditoría para identificar los sobrepagos de planilla/nómina
para el año anterior. ¿Cuál sería la MEJOR técnica de
auditoría para usar en esta situación?
A. Datos de prueba
B. Software generalizado de auditoría
C. Prueba integrada
D. Módulo de auditoría integrado
23. El riesgo de que un auditor de SI use un procedimiento
inadecuado de prueba y concluya que los errores materiales
no existen cuando en realidad existen, es un ejemplo de:
A. riesgo inherente.
B. riesgo de control.
C. riesgo de detección.
D. riesgo de auditoría.
24. Respecto al muestreo, se puede decir que:
A. El muestreo es generalmente aplicable cuando la
población se refiere a un control intangible o no
documentado.
B. Si un auditor sabe que los controles internos son fuertes,
el coeficiente de confianza puede bajar.
C. El muestreo de atributos ayudaría a prevenir el muestreo
excesivo de un atributo deteniendo una prueba de auditoría
lo antes posible.
D. El muestreo variable es una técnica para estimar la
velocidad de ocurrencia de un control dado o conjunto de
controles relacionados.
25. En un servidor crítico, un auditor de SI descubre un
caballo de Troya que fue producido por un virus conocido
que explota una vulnerabilidad de un sistema operativo.
¿Cuál de los siguientes debería hacer PRIMERO un auditor?
A. Investigar el autor del virus
B. Analizar el log del sistema operativo
C. Asegurarse que el código malicioso sea eliminado
D. Instalar el parche que elimina la vulnerabilidad.
supuestamente han sido borrados, podrían ser recuperados
de estos archivos. Los controles de acceso pueden ayudar a
establecer responsabilidad de dar cuenta de la emisión de
un documento en particular, pero esto no provee evidencia
del correo Electrónico. Las normas de clasificación de datos
pueden haber sido fijadas respecto a lo que debería
comunicarse por correo electrónico, pero la creación de la
política no provee información requerida para fines de
litigación.
B. Software generalizado de auditoría
Explicación:
Las características del software generalizado de auditoría
incluyen cómputos matemáticos, estratificación, análisis
estadístico, verificación de secuencia, verificación de
duplicados y recálculos. El auditor de SI, usando software
generalizado de auditoría, podría diseñar pruebas
apropiadas para recalcular la planilla/nómina y, de ese
modo, determinar si hubo sobrepagos, y a quiénes fueron
efectuados. Los datos de prueba probarían si existen
controles que pudieran impedir los sobrepagos, pero no
detectarían los errores de cálculo específicos anteriores. Ni
una prueba integrada ni un módulo integrado de auditoría
detectarían errores para un período anterior.
C. riesgo de detección.
Explicación:
Este es un ejemplo de riesgo de detección.
B. Si un auditor sabe que los controles internos son fuertes,
el coeficiente de confianza puede bajar.
Explicación:
El muestreo estadístico cuantifica que tan aproximadamente
debería una muestra representar a la población, por lo
general como un porcentaje. Si el auditor sabe que los
controles internos son fuertes, el coeficiente de confianza
puede descender. El muestreo es generalmente aplicable
cuando la población se refiere a un control tangible o
documentado. La opción C es una descripción del muestreo
detenerse o seguir. La opción D es una definición de
muestreo de atributos.
C. Asegurarse que el código malicioso sea eliminado
Explicación:
La prioridad es salvaguardar el sistema; por lo tanto, el
auditor de SI debería sugerir controles correctivos, i.e.,
eliminar el código. El auditor de SI no es responsable de
investigar el virus. El auditor de SI puede analizar la
información del virus y determinar si éste ha afectado el
sistema operativo, pero esta es una tarea investigativa que
tendría lugar después de asegurarse que el código malicioso
ha sido eliminado. Instalar el parche que elimina la
vulnerabilidad debe hacerlo el soporte técnico.
26. ¿Cuál de los siguientes pasos realizaría PRIMERO un
auditor de SI normalmente en una revisión de seguridad del
centro de datos?
A. Evaluar los resultados de prueba de acceso físico
B. Determinar los riesgos/amenazas al lugar del centro de
datos
C. Revisar los procedimientos de continuidad del negocio
D. Probar si hay evidencia de acceso físico en los lugares
sospechosos
27. Cuando se está desarrollando una estrategia de auditoría
basada en el riesgo, un auditor de SI debe llevar a cabo una
evaluación del riesgo para asegurar que:
A. los controles necesarios para mitigar los riesgos están
instalados.
B. las vulnerabilidades y amenazas están identificadas.
C. los riesgos de auditoría están considerados.
D. un análisis de brecha es apropiado.
28. Un auditor de SI ha evaluado los controles en busca de
la integridad de los datos en una aplicación financiera. ¿Cuál
de los hallazgos siguientes sería el MÁS significativo?
A. El propietario de la aplicación no tenía conocimiento de
varios cambios realizados a la aplicación por el
departamento de TI.
B. Se realizan copias de respaldo de los datos de la
aplicación, sólo una vez por semana.
C. La documentación de desarrollo de la aplicación está
incompleta.
D. Las instalaciones de procesamiento de información no
están protegidas por sistemas apropiados de detección.
29. ¿Cuál de las siguientes formas de evidencia para el
auditor se consideraría la MÁS confiable?
A. Una declaración verbal del auditado
B. Los resultados de una prueba realizada por una auditor de
SI
C. Un reporte de contabilidad por computadora generado
internamente
D. Una carta de confirmación recibida de una fuente externa
30. Se asigna a un auditor de sistemas para que realice una
revisión de un sistema de aplicación posterior a la
implementación. ¿Cuál de las siguientes situaciones puede
B. Determinar los riesgos/amenazas al lugar del centro de
datos
Explicación:
Durante la planeación, el auditor de SI debería obtener una
visión general de las funciones que están siendo auditadas y
evaluar los riesgos de auditoría y de negocios. Las opciones
A y D son parte del proceso de trabajo de campo de la
auditoría que ocurre posterior a esta planeación y
preparación. La opción C no es parte de una revisión de
seguridad.
B. las vulnerabilidades y amenazas están identificadas.
Explicación:
Para desarrollar una estrategia de auditoría basada en el
riesgo, es crítico que se entiendan los riesgos y
vulnerabilidades. Esto determinará las áreas a ser auditadas
y la extensión de la cobertura. Entender si los controles
apropiados requeridos para mitigar los riesgos están
instalados es un efecto resultante de una auditoría. Los
riesgos de auditoría son aspectos inherentes de la auditoría,
están directamente relacionados con el proceso de auditoría
y no son relevantes para el análisis de riesgo del entorno a
ser auditado. El análisis de brecha por lo general se haría
para comparar el estado real de un estado esperado o
deseable.
A. El propietario de la aplicación no tenía conocimiento de
varios cambios realizados a la aplicación por el
departamento de TI.
Explicación:
Este es el hallazgo más significativo ya que afecta
directamente la integridad de los datos de la aplicación y es
evidencia de un proceso inadecuado de control de cambios y
los derechos de acceso incorrectos al entorno de
procesamiento. A pesar de que las copias de respaldo sólo
una vez por semana es un hallazgo, ello no afecta la
integridad de los datos en el sistema. La documentación
incompleta de desarrollo de la aplicación no afecta la
integridad de los datos. La falta de sistemas apropiados de
detección de incendios no afecta la integridad de los datos
pero puede afectar el almacenamiento de los datos.
D. Una carta de confirmación recibida de una fuente externa
Explicación:
La evidencia obtenida de fuentes externas es por lo general
más confiable que la obtenida desde dentro de la
organización. Las cartas de confirmación recibidas desde el
exterior, como por ejemplo las usadas para verificar los
balances de cuentas por cobrar, son por lo general
altamente confiables. La prueba realizada por un auditor no
puede ser confiable si el auditor no tenia un buen
entendimiento del área técnica bajo revisión.
A. implementó un control específico durante el desarrollo del
sistema de aplicación.
haber comprometido la independencia del auditor de
sistemas? El auditor de sistemas:
A. implementó un control específico durante el desarrollo del
sistema de aplicación.
B. diseño un módulo integrado de auditoría exclusivamente
para auditar el sistema de aplicación.
C. participó como miembro del equipo del proyecto del
sistema de aplicación, pero no tuvo responsabilidades
operativas.
D. suministró asesoramiento en relación con las mejores
prácticas del sistema de aplicación.
31. La función tradicional de un auditor de SI en una
autoevaluación de control (control self-assessment—CSA)
debe ser la de
A. facilitador.
B. administrador.
C. socio.
D. accionista.
32. Un auditor de SI revisa un organigrama
PRIMARIAMENTE para:
A. entender los flujos de trabajo.
B. investigar diversos canales de comunicación.
C. entender las responsabilidades y la autoridad de las
personas.
D. investigar la red conectada con diferentes empleados.
33. El grado hasta donde los datos serán recolectados
durante una auditoría de SI debería ser determinado basado
en:
A. la disponibilidad de la información critica requerida.
B. la familiaridad del auditor con las circunstancias.
C. la capacidad del auditado para encontrar evidencia
relevante.
D. el propósito y el alcance de la auditoría que se haga.
34. En un enfoque de auditoría basado en el riesgo, un
auditor de SI, además del riesgo, estaría influenciado por la:
A. disponibilidad de los CAATs.
Explicación:
Se puede comprometer la independencia si el auditor de
sistemas está o ha estado involucrado activamente en el
desarrollo, adquisición, e implementación del sistema de
aplicación. Las opciones B y C son situaciones que no
comprometen la independencia del auditor de sistemas. La
opción D es incorrecta porque la independencia del auditor
de sistemas no compromete suministrando asesoría sobre
las mejores prácticas conocidas.
A. facilitador.
Explicación:
Cuando se establecen los programas de CSA, los auditores
de SI se convierten en profesionales de control interno y en
facilitadores de evaluaciones. Los auditores de SI son los
facilitadores y el cliente (gerencia y personal) es el
participante en el proceso de CSA. Durante un taller de CSA,
en vez de que el auditor de SI realice procedimientos
detallados de auditoría, debería conducir y orientar a los
clientes para evaluar su ambiente. Las opciones B, C y D no
deben ser la función del auditor de SI. Estas funciones son
más apropiadas para el cliente.
C. entender las responsabilidades y la autoridad de las
personas.
Explicación:
Un organigrama provee información sobre las
responsabilidades y la autoridad de personas en la
organización. Esto ayuda al auditor de SI a saber si hay una
segregación apropiada de funciones. Un diagrama de flujo
de trabajo proporcionaría información sobre las funciones de
diferentes empleados. Un diagrama de red proveerá
información sobre el uso de diversos canales de
comunicación e indicará la conexión de los usuarios a la red.
D. el propósito y el alcance de la auditoría que se haga.
Explicación:
El grado hasta donde los datos serán recolectados durante
una auditoría de SI debe relacionarse directamente con el
alcance y el propósito de la auditoría. Una auditoría que
tenga un propósito y un alcance estrechos lo más probable
es que tendría como consecuencia menos recolección de
datos, que una auditoría que tuviera un propósito y un
alcance mas amplios. El alcance de una auditoría de SI no
debería ser restringidos por la facilidad de obtener la
información o por la familiaridad del auditor con el área que
esta siendo auditada. Recolectar toda la evidencia requerida
es un elemento requerido de un auditor de SI y el alcance de
la auditoría no debe estar limitado por la capacidad del
auditado de encontrar evidencia relevante.
D. existencia de controles internos y operativos.
Explicación:
La existencia de controles internos y operativos tendrá un
B. representación de la gerencia.
C. estructura de la organización y las responsabilidades del
puesto de trabajo.
D. existencia de controles internos y operativos.
35. Un auditor de SI que realiza una revisión de los controles
de aplicación evaluaría:
A. la eficiencia de la aplicación para cumplir con el proceso
del negocio.
B. el impacto de cualquier exposición descubierta.
C. los procesos del negocio atendidos por la aplicación.
D. la optimización de la aplicación.
36. Un auditor de SI debe usar muestreo estadístico y no
muestreo de juicio (no estadístico), cuando:
A. la probabilidad de error debe ser cuantificada de manera
objetiva.
B. el auditor desea evitar el riesgo de muestreo.
C. el software generalizado de auditoría no está disponible.
D. no se puede determinar la tasa de error tolerable.
37. ¿Cuál de los siguientes es el MAYOR desafío al utilizar
datos de prueba?
A. Asegurar que la versión de programa probada es la
misma que el programa de producción.
B. Crear datos de prueba que cubran todas las condiciones
posibles válidas y no válidas
C. Minimizar el impacto de transacciones adicionales sobre
la aplicación que está siendo probada
D. Procesar los datos de prueba bajo la supervisión de un
auditor
peso sobre el enfoque de la auditoría por el auditor de SI. En
un enfoque basado en el riesgo, el auditor de SI no se esta
basando solamente en el riesgo, sino también en los
controles internos y operativos así como también en el
conocimiento de la compañía y del negocio. Este tipo de
decisión de análisis del riesgo puede ayudar a relacionar el
análisis costo-beneficio del control con el riesgo conocido,
permitiendo elecciones prácticas. La naturaleza de técnicas
de prueba disponibles y las manifestaciones de la Gerencia,
tienen poco impacto sobre el enfoque de auditoría basado en
el riesgo. A pesar de que la estructura de la organización y
las responsabilidades del puesto de trabajo necesitan ser
consideradas ellas no son consideradas directamente a
menos que tengan un impacto en los controles internos y
operativos.
B. el impacto de cualquier exposición descubierta.
Explicación:
Un control de revisión de aplicaciones implica la evaluación
de los controles automatizados de la aplicación y una
evaluación de cualesquiera exposiciones resultantes de las
debilidades del control. Las otras opciones pueden ser
objetivos de una auditoría de aplicación pero no forman parte
de una auditoría restringida a una revisión de controles.
A. la probabilidad de error debe ser cuantificada de manera
objetiva.
Explicación:
Dada una tasa de error esperado y un nivel de confianza, el
muestreo estadístico es un método objetivo de muestreo,
que ayuda a un auditor de SI a determinar el tamaño de la
muestra y a cuantificar la probabilidad de error (coeficiente
de confianza). La opción B es incorrecta porque el riesgo de
muestreo es el riesgo de que una muestra no sea
representativa de la población. Este riesgo existe tanto para
las muestras de juicio como para las muestras estadísticas.
La opción C es incorrecta porque el muestreo estadístico no
requiere el uso de software generalizado de auditoría. La
opción D es incorrecta porque la tasa de error tolerable debe
estar predeterminada tanto para el muestreo de juicio como
para el muestreo estadístico.
B. Crear datos de prueba que cubran todas las condiciones
posibles válidas y no válidas
Explicación:
La eficacia de los datos de prueba está determinada por la
extensión de la cobertura de todos los controles clave a ser
probados. Si los datos de prueba no cubren todas las
condiciones válidas y no válidas, hay un riesgo de que la
debilidad de control relevante pueda seguir sin ser
detectada. Los cambios en el programa, por el período
cubierto por la auditoría, pueden haberse efectuado para
depurar o para funcionalidades adicionales. Sin embargo,
como el método de datos de prueba involucra la prueba de
datos para el período de auditoría, los cambios en el
programa probado pueden tener un impacto mínimo. Las
aplicaciones con la tecnología actual por lo general no son
afectadas por las transacciones adicionales. Los datos de

38. Un Contrato de auditoría debería:
A. Ser dinámico y cambiar con frecuencia para coincidir con
la naturaleza cambiante de la Tecnología y la profesión de
auditoría.
B. Establecer claramente los objetivos de la auditoría para la
delegación de autoridad para el mantenimiento y revisión de
los controles internos.
C. Documentar los procedimientos de auditoría designados
para lograr los objetivos planeados de auditoría.
D. Descubrir la autoridad, alcance y responsabilidades
generales de la función de auditoría.
39. Al planear una auditoría, el paso MÁS crítico es la
identificación de:
A. las áreas de alto riesgo.
B. los conjuntos de habilidades del personal de auditoría.
C. los pasos de prueba en la auditoría.
D. el tiempo asignado para la auditoría.
40. Durante una revisión de implementación de una
aplicación distribuida multiusuario, el auditor de SI encuentra
debilidades menores en tres áreas—La disposición inicial de
parámetros está instalada incorrectamente, se están usando
contraseñas débiles y algunos reportes vitales no se están
verificando debidamente. Mientras se prepara el informe de
auditoría, el auditor de SI debería:
A. registrar las observaciones por separado con el impacto
de cada una de ellas marcado contra cada hallazgo
respectivo.
B. advertir al gerente sobre probables riesgos sin registrar
las observaciones, ya que las debilidades de control de
menor importancia.
C. registrar las observaciones y el riesgo que surjan de las
debilidades colectivas.
D. evaluar los jefes de departamento concernidos con cada
observación y documentarlo debidamente en el reporte.
41. Durante una auditoría de seguridad de procesos de TI,
un auditor de SI encontró que no había procedimientos de
seguridad documentados. El auditor de SI debe:
A. crear el documento de procedimientos.
B. dar por terminada la auditoría.
C. llevar a cabo pruebas de cumplimiento.
D. identificar y evaluar las prácticas existentes.
prueba son desarrollados por el auditor, sin embargo, no es
necesario que el procesamiento sea bajo la supervisión de
un auditor, ya que los datos de entrada serán verificados por
los datos de salida (outputs).
D. Descubrir la autoridad, alcance y responsabilidades
generales de la función de auditoría.
Explicación:
Un contrato de auditoría debería establecer los objetivos de
la gerencia para, y la delegación de autoridad a la auditoría
de SI. Este contrato no debería cambiar de manera
significativa con él tiempo y debería ser aprobado al nivel
mas alto de la gerencia. El contrato de auditoría no estaría a
un nivel de detalle y por lo tanto no incluiría objetivos o
procedimientos específicos de auditoría.
A. las áreas de alto riesgo.
Explicación:
Cuando se diseña un plan de auditoría, es importante
identificar las áreas de más alto riesgo para determinar las
áreas a ser auditadas. Los conjuntos de habilidades del
personal de auditoría deberían haberse considerado antes
de decidir y de escoger la auditoría. Los pasos de prueba
para la auditoría no son tan críticos como identificar las
áreas de riesgo, y el tiempo asignado para una auditoría está
determinado por las áreas a ser auditadas. Las cuales son
primariamente seleccionadas con base en la identificación
de los riesgos.
C. registrar las observaciones y el riesgo que surjan de las
debilidades colectivas.
Explicación:
Las debilidades individualmente son de menor importancia,
sin embargo, juntas tienen el potencial de debilitar
sustancialmente la estructura general de control. Las
opciones A y D reflejan una falla de parte del auditor de SI
para reconocer el efecto combinado de la debilidad de
control. Advertir al gerente local sin reportar los hechos y
observaciones ocultaría los hallazgos de los otras partes
interesadas.
D. identificar y evaluar las prácticas existentes.
Explicación:
Uno de los principales objetivos de una auditoría es
identificar los riesgos potenciales; por lo tanto, el método
más proactivo sería identificar y evaluar las prácticas
existentes de seguridad que la organización está siguiendo.
Un auditor de SI no debe preparar documentación, y si lo
hiciera, su independencia estaría en peligro. Dar por
terminada la auditoría puede impedir que se logren los

42. El éxito de la autoevaluación de control (CSA) depende
en gran medida de:
A. hacer que los gerentes de línea asuman una parte de la
responsabilidad del monitoreo del control.
B. asignar a los gerentes de personal la responsabilidad de
crear, pero no monitorear, controles.
C. la implementación de una política estricta de control y
controles impulsados por reglas.
D. la implementación de supervisión y el monitoreo de
controles de tareas asignadas.
43. ¿Cuál de las siguientes opciones sería normalmente la
evidencia MÁS confiable para un auditor?
A. Una carta de confirmación recibida de un tercero
verificando un saldo de cuenta.
B. Garantía de la gerencia de línea de que una aplicación
está funcionando como se la diseño.
C. Los datos de tendencia obtenidos de fuentes de la Word
Wide Web (internet)
D. Los análisis de ratio desarrollados por el auditor de SI a
partir de los informes suministrados por la gerencia de línea.
44. Un auditor de SI está evaluando una red corporativa en
busca de una posible penetración por parte de empleados
internos. ¿Cuál de los hallazgos siguientes debería
preocupar MÁS al auditor de SI?
A. Hay un número de módems externos conectados a la red.
B. Los usuarios pueden instalar software en sus
computadores/ordenadores (desktops)
C. El monitoreo de la red es muy limitado
D. Muchos IDs de usuarios tienen contraseñas idénticas.
45. Un auditor de SI revisando la efectividad de los controles
de TI, encontró un informe de auditoría anterior, sin
documentos de trabajo. ¿Cómo debe proceder el auditor de
SI?
A. Suspender la auditoría hasta que los documentos de
trabajo estén disponibles.
B. Basarse en el informe de auditoría anterior.
C. Volver a probar los controles asociados con las áreas de
objetivos de la auditoría, es decir, la identificación de los
riesgos potenciales. Como no hay procedimientos
documentados, no hay base contra la cual probar el
cumplimiento.
A. hacer que los gerentes de línea asuman una parte de la
responsabilidad del monitoreo del control.
Explicación:
El objetivo primario de un programa de CSA es repaldar la
función de auditoría interna pasando algunas de las
responsabilidades de monitoreo de control a los gerentes de
línea del área funcional. El éxito de un programa de
autoevaluación de control (CSA) depende del grado en el
que los gerentes de línea asumen la responsabilidad de los
controles. Las opciones B, C y D son características de un
método tradicional de auditoría, no de un método de CSA.
A. Una carta de confirmación recibida de un tercero
verificando un saldo de cuenta.
Explicación:
La evidencia obtenida de terceros independientes casi
siempre es considerada la más confiable. Las respuestas B,
C y D no serian consideradas confiables.
D. Muchos IDs de usuarios tienen contraseñas idénticas.
Explicación:
El aprovechamiento de un ID y contraseña de usuario
conocidos requiere mínimos conocimientos técnicos y
expone los recursos de la red a la explotación (maliciosa). La
barrera técnica es baja y el impacto puede ser muy elevado;
por lo tanto, el hecho de que muchos IDs de usuario tengan
contraseñas idénticas representa la mayor amenaza. Los
módems externos representan un riesgo de seguridad, pero
la explotación o aprovechamiento aún depende del uso de
una cuenta válida de usuario. Mientras que el impacto de
muchos IDs de usuario que tengan contraseñas idénticas
puede ser elevado, (por ejemplo, debido a la instalación de
Caballos de Troya o programas de key-logging), la
probabilidad no es elevada debido al nivel de conocimientos
técnicos que se requiere para penetrar exitosamente a la
red. A pesar que el monitoreo de red puede ser un control de
detección útil, sólo detectará el abuso de cuentas de usuario
en circunstancias especiales y por lo tanto no es una primera
línea de defensa.
D. Informar a la gerencia de auditoría y proponer volver a
probar los controles.
Explicación:
En ausencia de documentos de trabajo de auditoría, un
auditor de SI debe volver a probar los controles para ver su
efectividad. Sin volver a probar el auditor no estará
ejerciendo el debido cuidado profesional mientras realiza la
auditoría. Los documentos de trabajo pueden ayudar al
más alto riesgo.
D. Informar a la gerencia de auditoría y proponer volver a
probar los controles.
46. Cuando comunican los resultados de auditoría, los
auditores de SI deben recordar que en última instancia ellos
son los responsables ante:
A. la alta gerencia y/o el comité de auditoría.
B. el gerente de la entidad auditada.
C. el director de auditoría de SI.
D. las autoridades judiciales.
47. El departamento de SI de una organización quiere
asegurarse de que los archivos de computadora usados en
la instalación de procesamiento de información, estén
respaldados adecuadamente para permitir la recuperación
apropiada. Este es un:
A. procedimiento de control.
B. objetivo de control.
C. control correctivo.
D. control operativo.
48. Un auditor de SI que lleva a cabo una revisión del uso y
licenciamiento de software descubre que numerosas PCs
contienen software no autorizado. ¿Cuál de las siguientes
acciones debería emprender el auditor de SI?
A. Borrar personalmente todas las copia del software no
autorizado
B. Informar al auditado sobre el software no autorizado y dar
seguimiento para confirmar la eliminación
C. Reportar el uso del software no autorizado a la gerencia
del auditado y la necesidad de prevenir que vuelva a ocurrir
D. No emprender ninguna acción, ya que es una práctica
comúnmente aceptada y la gerencia de operaciones es
responsable de monitorear dicho uso
49. En el curso de la realización de un análisis de riesgo, un
auditor de SI ha identificado amenazas e impactos
potenciales. Inmediatamente después, un auditor de SI
debe:
A. identificar y evaluar el proceso de análisis del riesgo
usado por la gerencia.
B. identificar los activos de información y los sistemas
subyacentes.
auditor a eliminar la necesidad de volver a probar; sin
embargo, el auditor debe estar preparado para volver a
probar los controles.
A. la alta gerencia y/o el comité de auditoría.
Explicación:
El auditor de SI es en última instancia responsable ante la
alta gerencia y ante el comité de auditoría de la junta
directiva. Incluso si el auditor de SI debe discutir los
hallazgos con el personal de gerencia de la entidad auditada
(opción B), ello se hace únicamente para obtener acuerdo
sobre los hallazgos y para desarrollar un curso de acción
correctiva. La opción C es incorrecta porque el director de
auditoría de SI debe revisar el reporte que el auditor de SI
preparó, pero no es la persona que tomará las decisiones
respecto a los hallazgos y sus consecuencias potenciales.
La opción D es incorrecta porque la responsabilidad de
reportar a las autoridades judiciales descansaría en la junta
directiva y sus asesores legales.
B. objetivo de control.
Explicación:
Los objetivos de control de SI especifican el conjunto mínimo
de controles para asegurar la eficiencia y efectividad en las
operaciones y funciones dentro de una organización. Los
procedimientos de control se desarrollan para proveer una
garantía razonable de que se lograran los objetivos
específicos. Un control correctivo es una categoría de
controles, que está dirigida a minimizar la amenaza y/o a
remediar los problemas que no fueron impedidos o que no
fueron inicialmente detectados. Los controles operativos se
ocupan de las funciones y actividades operativas cotidianas,
y ayudan a asegurar que las operaciones estén cumpliendo
con los objetivos de negocio deseados.
C. Reportar el uso del software no autorizado a la gerencia
del auditado y la necesidad de prevenir que vuelva a ocurrir
Explicación:
El uso de software no autorizado o ilegal debe estar
prohibido en una organización. La piratería de software tiene
como consecuencia la exposición inherente y puede resultar
en severas multas. El auditor de SI debe convencer al
usuario y a la gerencia del usuario sobre el riesgo y la
necesidad de eliminar el riesgo. Un auditor de SI no debe
asumir la función del oficial de cumplimiento niasumir
participación personal alguna para retirar o eliminar el
software no autorizado.
D. identificar y evaluar los controles existentes.
Explicación:
Es importante que un auditor de SI identifique y evalúe los
controles y la seguridad existentes una vez que las
amenazas potenciales y los impactos posibles están
identificados. Al concluirse una auditoría, un auditor de SI
debe describir y discutir con la gerencia las amenazas y los
impactos potenciales sobre los activos.
C. revelar las amenazas y los impactos a la gerencia.
D. identificar y evaluar los controles existentes.
50. Los diagramas de flujo de datos son usados por los
Auditores de SI para:
A. ordenar los datos jerárquicamente.
B. resaltar las definiciones de datos de alto nivel.
C. resumir gráficamente las rutas y el almacenamiento de
datos.
D. describir detalles paso por paso de la generación de
datos.
51. Para identificar el valor del inventario que se ha
guardado (no han rotado) por más de ocho semanas, lo MÁS
probable es que un auditor de SI utilice:
A. datos de prueba.
B. muestreo estadístico.
C. una facilidad de prueba integrada.
D. software generalizado de auditoría.
52. ¿Cuál de las siguientes técnicas en línea es más efectiva
para la detección temprana de errores o irregularidades?
A. módulo integrado de auditoría
B. facilidad integrada de prueba
C. Instantáneas
D. Ganchos de auditoría
53. El uso de procedimientos estadísticos de muestreo
ayuda a minimizar el riesgo:
A. de muestreo.
B. de detección.
C. inherente.
D. de control.
C. resumir gráficamente las rutas y el almacenamiento de
datos.
Explicación:
Los diagramas de flujo de datos se usan como ayudas para
graficar o diagramar el flujo y almacenamiento de datos, con
ellos se rastrean los datos desde su origen hasta su destino,
resaltando las rutas y el almacenamiento de los datos. Los
diagramas de flujo no ordenan los datos en ningún orden
jerárquico. El flujo de los datos no coincidirá necesariamente
con ningún orden jerárquico o de generación de datos.
D. software generalizado de auditoría.
Explicación:
El software generalizado de auditoría facilitara la revisión de
todo el archivo de inventario para buscar los rubros que
cumplan los criterios de selección. El software generalizado
de auditoría provee acceso directo a los datos y provee
funciones de cómputo, estratificación, etc. Los datos de
prueba son usados para verificar programas, pero no
confirmaran nada sobre las transacciones en cuestión. El
uso de métodos de muestreo estadístico no pretende
seleccionar condiciones específicas, sino que se usa para
seleccionar muestras de manera aleatoria registros desde un
archivo. En este caso, el auditor de SI querría verificar todos
los ítem que reúnen criterios y no solo una muestra de ellos.
Una prueba integrada (integrated test facility—ITF) permite al
auditor de SI probar transacciones a través del sistema en
producción.
D. Ganchos de auditoría
Explicación:
La técnica del gancho de auditoría implica integrar código en
los sistemas de aplicación para el examen de transacciones
seleccionadas. Esto ayuda al auditor de SI a actuar ante un
error o una irregularidad se sale de control. Un modulo
integrado de auditoría implica integrar software escrito
especialmente en el sistema anfitrión de aplicación de la
organización para que los sistemas de aplicación sean
monitoreados de manera selectiva. Una facilidad integrada
de prueba se usa cuando no es práctico usar datos de
prueba, y las instantáneas o snapshots se usan cuando se
requiere una pista de auditoría.
B. de detección.
Explicación:
El riesgo de detección es el riesgo de que el auditor de SI
use un procedimiento inadecuado de prueba y concluya que
los errores materiales no existen, cuando en realidad sí
existen. Usando muestreo estadístico, un auditor de SI
puede cuantificar con qué aproximación debe la muestra
representar a la población y debe cuantificar la probabilidad
de error. El riesgo de muestreo es el riesgo de que se hagan
supuestos incorrectos sobre las características de una
población a partir de la cual se selecciona una muestra.

54. Durante una revisión de un archivo maestro de clientes,
un auditor de SI descubrió numerosas duplicaciones de
nombre de cliente que surgían de variaciones en los
primeros nombres del cliente. Para determinar la extensión
de la duplicación, el auditor de SI usaría:
A. datos de prueba para validar los datos ingresados.
B. datos de prueba para determinar las capacidades de
selección del sistema.
C. software generalizado de auditoría para buscar
duplicaciones de campo de dirección.
D. software generalizado de auditoría para buscar
duplicaciones de campos de cuenta.
55. El propósito PRIMARIO de las pistas de auditoría es:
A. mejorar el tiempo de respuesta para los usuarios.
B. establecer el deber de rendir cuenta y responsabilidad de
las transacciones procesadas.
C. mejorar la eficiencia operativa del sistema.
D. proveer información útil a los auditores que puedan
desear rastrear transacciones.
56. ¿Qué técnica de auditoría provee la MEJOR evidencia
de la segregación de funciones en un departamento de SI?
A. Discusión con la gerencia
B. Revisión del organigrama
C. Observación y entrevistas
D. Prueba de derechos de acceso de usuario
Suponiendo que no hay controles compensatorios
relacionados, el riesgo inherente es el riesgo de que exista
un error, que podría ser material o significativo cuando se
combina con otros errores durante la auditoría. El muestreo
estadístico será material o significativo cuando se combine
con otros errores encontrados durante la auditoría. El
muestreo estadístico no minimizará esto. El riesgo de control
es el riesgo de que exista un error material, que el sistema
de controles internos no impida ni detecte oportunamente.
C. software generalizado de auditoría para buscar
duplicaciones de campo de dirección.
Explicación:
Como el nombre no es el mismo ( debido a variaciones de
los primeros nombres ), un método para detectar
duplicaciones seria comparar otros campos comunes, como
por ejemplo las direcciones Y podría entonces seguidamente
llevarse a cabo una revisión para determinar los nombres de
los clientes en estas direcciones. Buscar los números de
cuenta duplicados probablemente no hallaría duplicaciones
de nombres ya que lo mas probable es que los clientes
tengan números de cuenta diferentes para cada
combinación. Los datos de prueba no serian útiles para
detectar la extensión de cualquier característica de dato, sino
simplemente para determinar como fueron procesados los
datos.
B. establecer el deber de rendir cuenta y responsabilidad de
las transacciones procesadas.
Explicación:
Habilitar pistas de auditoría ayuda establecer la obligación
de rendir cuentas y la responsabilidad de las transacciones
procesadas, rastreando transacciones a través del sistema.
El objetivo de habilitar software para proveer pistas de
auditoría no es mejorar la eficiencia del sistema, ya que esto
implica a menudo un procesamiento adicional que puede en
realidad reducir el tiempo de respuesta para los usuarios.
Habilitar pistas de auditoría si implica almacenamiento y de
eso modo ocupa espacio de disco. La opción D es también
una razón valida; sin embargo, no es la razón primaria.
C. Observación y entrevistas
Explicación:
Observando el personal de SI cuando realiza sus tareas, el
auditor de SI puede identificar si ellos están realizando
operaciones no compatibles y entrevistando el personal de
SI el auditor puede obtener un panorama general de las
tareas realizadas. Basado en las observaciones y
entrevistas, el auditor puede evaluar la segregación de
funciones. La gerencia no puede estar en conocimiento de
las funciones detalladas de cada empleado en el
departamento de SI, por lo tanto, la discusión con la gerencia
proveería solo información limitada respecto a la
segregación de funciones. Un organigrama no proveería
detalles de las funciones de los empleados y la prueba de
los derechos de usuario proveería información sobre los
derechos que ellos tienen dentro de los sistemas de SI, pero
no proveería información completa sobre las funciones que

57. El propósito PRIMARIO de un contrato de auditoría es:
A. documentar el proceso de auditoría usado por la empresa.
B. documentar formalmente el plan de acción del
departamento de auditoría.
C. documentar un código de conducta profesional para el
auditor.
D. describir la autoridad y responsabilidades del
departamento de auditoría.
58. Para asegurar que los recursos de auditoría entreguen el
mejor valor a la organización, el PRIMER paso sería:
A. programar las auditorías y monitorear el tiempo empleado
en cada auditoría.
B. capacitar al personal de auditoría de SI en la tecnología
corriente usada en la compañía.
C. desarrollar el plan de auditoría en base a la evaluación
detallada del riesgo.
D. monitorear el progreso de las auditorías e iniciar las
medidas de control de costos.
59. En los casos en que hay desacuerdo, durante una
entrevista de salida, respecto al impacto de un hallazgo, el
auditor de SI debe:
A. solicitar al auditado que firme un formulario de liberación
aceptando plena responsabilidad legal.
B. elaborar sobre la significación del hallazgo y los riesgos
de no corregirlo.
C. reportar el desacuerdo al comité de auditoría para su
resolución.
D. aceptar la posición de los auditados ya que ellos son los
propietarios del proceso.
60. Cuando se implementan sistemas de monitoreo continuo
el PRIMER paso de un auditor de SI es identificar:
A. los umbrales razonables objetivo.
B. las áreas de alto riesgo dentro de la organización.
C. la ubicación y el formato de los archivos de output.
D. las aplicaciones que proveen la más alta retribución
(payback) potencial.
ellos desempeñan.
D. describir la autoridad y responsabilidades del
departamento de auditoría.
Explicación:
El contrato de auditoría típicamente establece la función y la
responsabilidad del departamento de auditoría interna.
Debería establecer los objetivos de la gerencia y la
delegación de autoridad al departamento de auditoría. Este
se cambia muy pocas veces y no contiene el plan de
auditoría o el proceso de auditoría que es por lo general
parte del plan anual de auditoría, ni describe un código de
conducta profesional ya que dicha conducta es fijada por la
profesión y no por la gerencia.
C. desarrollar el plan de auditoría en base a la evaluación
detallada del riesgo.
Explicación:
Monitorear el tiempo (A) y los programas de auditoría (D),
así como también una capacitación adecuada (B) mejorará
la productividad del personal de auditoría de SI (eficiencia y
desempeño), pero lo que entrega valor a la organización son
los recursos y esfuerzos que se están dedicando y que están
concentrados en las áreas de mayor riesgo.
B. elaborar sobre la significación del hallazgo y los riesgos
de no corregirlo.
Explicación:
Si los auditados no estuvieran de acuerdo con el impacto de
un hallazgo, es importante que el auditor de SI elabore y
aclare los riesgos y exposiciones, ya que es posible que los
auditados no aprecien totalmente la magnitud de la
exposición. La meta debe ser explicar a los auditados o
descubrir nueva información de que el auditor de SI puede
no haber estado en conocimiento. Cualquier cosa que
parezca amenazar a los auditados reducirá las
comunicaciones efectivas y establecerá una relación
adversa. Por la misma razón, el auditor de SI no debe
aceptar automáticamente porque los auditados expresen un
punto de vista alterno.
B. las áreas de alto riesgo dentro de la organización.
Explicación:
El primer paso y el más crítico en el proceso es identificar las
áreas de alto riesgo dentro de la organización. Los gerentes
del departamento de negocios y altos ejecutivos están en las
mejores posiciones para ofrecer una opinión respecto a
estas áreas. Una vez que las áreas potenciales de
implementación hayan sido identificadas, se debería realizar
una evaluación del impacto potencial para identificar las
aplicaciones que proveen el mayor payback potencial a la
organización. En este punto las pruebas y los umbrales
razonables objetivo deberían determinarse antes de la
programación. Durante el desarrollo de sistemas, se debe
definir la ubicación y el formato de los archivos de salida
(output) generados por los programas de monitoreo.
61. Un elemento clave en un análisis de riesgo es /son:
A. la planeación de auditoría.
B. los controles.
C. las vulnerabilidades.
D. las responsabilidades.
62. ¿Cuál de los siguientes describe MEJOR una prueba
integrada (integrated test facility—ITF)?
A. Una técnica que permite al auditor de SI probar una
aplicación de computadora con el fin de verificar si hay un
procesamiento correcto.
B. La utilización de hardware y/o software para revisar y
probar el funcionamiento de un sistema de computadora.
C. Un método para usar opciones especiales de
programación para permitir que se imprima la ruta a través
de un programa tomado para procesar una transacción
especifica.
D. Un procedimiento para marcar y extender transacciones y
registros maestros que son usados por una auditor de SI
para pruebas.
63. ¿Las decisiones y las acciones de un auditor es MÁS
probable que afecten a cuál de los riesgos siguientes?
A. Inherentes.
B. De detección.
C. De control.
D. De negocio.
64. La ventaja PRIMARIA de un enfoque continuo de
auditoría es que:
A. no requiere que un auditor de SI recolecte evidencia sobre
la confiabilidad del sistema mientras está teniendo lugar el
procesamiento.
B. requiere que el auditor de SI revise y dé un seguimiento
de inmediato a toda la información recolectada.
C. puede mejorar la seguridad del sistema cuando se usa en
entornos que comparten el tiempo que procesan un gran
número de transacciones.
D. no depende de la complejidad de los sistemas de
computadora de una organización.
65. Un Auditor de sistemas que trate de determinar si el
acceso a la documentación de programas está restringido a
C. las vulnerabilidades.
Explicación:
Las vulnerabilidades son un elemento clave en la realización
de un análisis de riesgo. La planeación de la auditoría está
constituida por procesos de corto y largo plazo que pueden
detectar amenazas a los activos de información. Los
controles mitigan los riesgos asociados con amenazas
específicas. Las responsabilidades son parte del negocio y
no son un riesgo en forma inherente.
A. Una técnica que permite al auditor de SI probar una
aplicación de computadora con el fin de verificar si hay un
procesamiento correcto.
Explicación:
La respuesta A describe mejor una prueba integrada
(integrated test facility—ITF), que es un proceso de auditoría
especializado asistido por computadora que permite que
auditor de SI pruebe una aplicación de manera continua. La
respuesta B es un ejemplo de un archivo de revisión de
control de sistemas; las respuestas C y D son ejemplos de
instantáneas.
B. De detección.
Explicación:
Un riesgo de detección está directamente afectado por la
selección, por parte del auditor, de los procedimientos y
técnicas de auditoría. Los riesgos inherentes por lo general
no están afectados por el auditor de SI. Un riesgo de control
es controlado por las acciones de la gerencia de la
compañía. Los riesgos financieros no están afectados por el
auditor de SI.
C. puede mejorar la seguridad del sistema cuando se usa en
entornos que comparten el tiempo que procesan un gran
número de transacciones.
Explicación:
El uso de técnicas continuas de auditoría puede en realidad
mejorar la seguridad del sistema cuando se usa en entornos
que comparten el tiempo que procesan un gran numero de
transacciones, pero dejan muy pocas pistas de papel. La
opción A es incorrecta ya que el enfoque de auditoría
continua a menudo requiere que un auditor de SI recolecte
evidencia sobre la confiabilidad del sistema mientras está
llevando a cabo el procesamiento. La opción B es incorrecta
ya que un auditor de SI normalmente revisaría y daría
seguimiento sólo a las deficiencias materiales o errores
detectados. La opción D es incorrecta ya que el uso de
técnicas de auditoría continua depende efectivamente de la
complejidad de los sistemas de computadora de una
organización.
B. entreviste a los programas para averiguar los
procedimientos que se están siguiendo corrientemente.
las personas autorizadas, lo MÁS probable es que:
A. evalúe los planes de retención de registros para
almacenarlos fuera de la facilidad.
B. entreviste a los programas para averiguar los
procedimientos que se están siguiendo corrientemente.
C. compare los registros de utilización para programación de
operaciones.
D. revise los registros de acceso de archivos de datos para
probar la función de biblioteca.
66. ¿Cuál de las siguientes es la ventaja PRINCIPAL de usar
software forense de computación para las investigaciones?
A. La preservación de la cadena de custodia para la
evidencia electrónica
B. Ahorros en tiempo y en costo
C. Eficiencia y eficacia
D. Capacidad para investigar violaciones de los derechos de
propiedad intelectual
67. Al llevar a cabo una auditoría, un auditor de SI detecta la
presencia de un virus. ¿Cuál debe ser el siguiente paso del
auditor de SI?
A. Observar el mecanismo de respuesta.
B. Sacar el virus de la red.
C. Informar de inmediato al personal apropiado.
D. Asegurar que se elimine el virus.
68. ¿Cuál de las siguientes pruebas es realizada por un
auditor de SI cuando es seleccionada una muestra de
programas para determinar si las versiones fuentes y las
versiones objeto son las mismas?
A. Una prueba sustantiva de los controles de la biblioteca de
programas
B. Una prueba de cumplimiento de controles de la biblioteca
de programas
C. Una prueba de cumplimiento de los controles del
compilador de programas
D. Una prueba sustantiva de los controles de compilador de
programas
69. Cuando se evalúa el efecto colectivo de los controles
preventivos de detección o correctivos dentro de un proceso,
un auditor de SI debería estar consciente:
Explicación:
Preguntar a los programadores sobre los procedimientos que
se están siguiendo actualmente es útil para determinar si el
acceso a la documentación de programas está restringido a
las personas autorizadas. Evaluar los planes de retención de
registros para almacenamiento fuera de las instalaciones
pone a prueba los procedimientos de recuperación, no el
control de acceso a la documentación de programas. Probar
los registros de utilización no resolverá la seguridad de
acceso a la documentación de programas. Probar la
seguridad de acceso a archivos de datos no resuelve la
seguridad de la documentación de programas.
A. La preservación de la cadena de custodia para la
evidencia electrónica
Explicación:
El objetivo primario del software forense es preservar la
evidencia electrónica para satisfacer las reglas de evidencia.
Los ahorros en tiempo y en costos, opción B, y la eficiencia y
la eficacia, opción C, son preocupaciones legítimas y
diferencian a los paquetes buenos de los paquetes
deficientes de software forense. La capacidad de investigar
las violaciones de los derechos de propiedad intelectual,
opción D, es un ejemplo de un uso de software forense.
C. Informar de inmediato al personal apropiado.
Explicación:
Lo primero que un auditor de SI debe hacer después de
detectar el virus es alertar sobre su presencia a la
organización, luego esperar la respuesta de ésta. La opción
A se debe emprender después de la opción C. Esto permitirá
al auditor de SI examinar la funcionalidad y la efectividad del
sistema de respuesta. El auditor de SI no debe hacer
cambios al sistema que está siendo auditado, y asegurar la
eliminación del virus es una responsabilidad de la gerencia.
B. Una prueba de cumplimiento de controles de la biblioteca
de programas
Explicación:
Una prueba de cumplimiento determina si los controles están
operando como se diseñaron y si están siendo aplicados en
tal forma que cumplan con las políticas y procedimientos de
gerencia. Por ejemplo, si al auditor de SI le preocupa si los
controles de biblioteca de programas están funcionando
correctamente, el auditor de SI podría seleccionar una
muestra de programas para determinar si las versiones
fuente y las versiones objeto son las mismas. En otras
palabras, el principal objetivo de cualquier prueba de
cumplimiento es proveer a los auditores una garantía
razonable de que un control en particular en el que el auditor
planea basarse está operando como el auditor lo percibió en
la evaluación preliminar.
A. del punto en que los controles son ejercidos como flujos
de datos a través del sistema.
Explicación:
A. del punto en que los controles son ejercidos como flujos
de datos a través del sistema.
B. de que solo los controles preventivos y de detección son
relevantes.
C. de que los controles correctivos solo pueden ser
considerados como compensatorios.
D. de que la clasificación permite a un auditor de SI
determinar que controles faltan.
70. Los análisis de riesgos realizados por los auditores de SI
son un factor crítico para la planeación de la auditoría. Se
debe hacer un análisis del riesgo para proveer:
A. garantía razonable de los puntos materiales de SI serán
cubiertos durante el trabajo de auditoría.
B. garantía suficiente de que los puntos materiales serán
cubiertos durante el trabajo de auditoría.
C. garantía razonable de que todos los puntos serán
cubiertos durante el trabajo de auditoría.
D. garantía suficiente de que todos los puntos serán
cubiertos durante el trabajo de auditoría.
71. ¿Cuál de los siguientes es una ventaja de una prueba
integrada (ITF)?
A. Usa archivos maestros reales o dummies y el auditor de
SI no tiene que revisar la fuente de la transacción
B. Las pruebas periódicas no requieren procesos separados
de prueba
C. Valida los sistemas de aplicación y prueba la operación
del sistema que se está realizando
D. Elimina la necesidad de preparar datos de prueba
72. El objetivo PRIMARIO de una función de auditoría de SI
es:
A. determinar si todos usan los recursos de SI de acuerdo
con su descripción del trabajo
B. determinar si los sistemas de información salvaguardan
activos, y mantienen la integridad de datos
C. examinar libros de contabilidad y evidencia documentaria
relacionada para el sistema computarizado
D. determinar la capacidad de la organización para detectar
fraude.
73. ¿Cuál de las siguientes es una prueba sustantiva?
A. Verificar una lista de reportes de excepción
B. Asegurar la aprobación para cambios de parámetros
C. Usar una muestra estadística para inventariar la biblioteca
de cintas
D. Revisar los reportes históricos de contraseña
Un auditor de SI debería concentrarse en cuando los
controles son ejercidos como flujos de datos a través del
sistema de computadora. La opción B es incorrecta ya que
los controles correctivos pueden ser también relevantes. La
opción C es incorrecta ya que los controles correctivos
eliminan o reducen los efectos de los errores o
irregularidades y son considerados exclusivamente como
controles compensatorios. La opción D es incorrecta e
irrelevante ya que la existencia y función de los controles es
importante, no la clasificación.
A. garantía razonable de los puntos materiales de SI serán
cubiertos durante el trabajo de auditoría.
Explicación:
La directriz para la auditoría de SI sobre la planeación de la
auditoría de SI establece: "Se debe hacer un análisis de
riesgo para proveer garantía razonable de que se abarcaran
adecuadamente los puntos materiales. Este análisis debe
identificar áreas con riesgo relativamente alto de existencia
de problemas materiales". Garantía suficiente de que se
abarcaran los puntos materiales durante el trabajo de
auditoría es una proposición impractica. Garantía razonable
de que se abarcaran todos los puntos durante el trabajo de
auditoría no es la respuesta correcta ya que es necesario
que los puntos materiales sean cubiertos, no todos los
puntos.
B. Las pruebas periódicas no requieren procesos separados
de prueba
Explicación:
Una prueba integrada crea una entidad ficticia en la base de
datos para procesar transacciones de prueba
simultáneamente con la entrada en vivo. Su ventaja es que
las pruebas periódicas no requieren procesos separados de
prueba. Sin embargo, es necesaria una planeación
cuidadosa y los datos de prueba deben ser aislados de los
datos de producción.
B. determinar si los sistemas de información salvaguardan
activos, y mantienen la integridad de datos
Explicación:
La razón primaria para llevar a cabo auditorías de SI es
determinar si un sistema salvaguarda los activos y mantiene
la integridad de los datos. Examinar libros de contabilidad es
uno de los procesos involucrados en una auditoría de SI
pero no es el propósito primario. Detectar fraudes podría ser
una consecuencia de una auditoría de SI pero no es el
propósito para el que se realiza una auditoría de SI.
C. Usar una muestra estadística para inventariar la biblioteca
de cintas
Explicación:
Una prueba sustantiva confirma la integridad del
procesamiento real. Una prueba sustantiva determinaría si
los registros de la biblioteca de cintas están establecidos
correctamente. Una prueba de cumplimiento determina si se
están aplicando los controles de una forma consistente con

74. En un enfoque de auditoría basado en el riesgo, un
auditor de SI debería realizar primero una:
A. evaluación del riesgo inherente.
B. evaluación del riesgo de control.
C. prueba de evaluación de control.
D. evaluación de prueba sustantiva.
75. ¿Cuál de los métodos de muestreo es el MÁS útil cuando
se pone a prueba su cumplimiento?
A. Muestreo de atributos.
B. Muestreo de variables.
C. Media estratificada por unidad.
D. Estimación de la diferencia.
76. Un beneficio PRIMARIO para una organización que
emplea técnicas de auto evaluación de controles (control
self-assessment—CSA), es que ella:
A. puede identificar las áreas de alto riesgo que pudieran
necesitar una revisión detallada mas tarde.
B. permite al auditor de SI que evalúe el riesgo de manera
independiente.
C. se puede usar como reemplazo de las auditorías
tradicionales.
D. permite que la gerencia delegue la responsabilidad de
control.
77. Un auditor de SI ha importado datos de la base de datos
del cliente. El paso siguiente para confirmar si los datos
importados están completos se lleva a cabo:
A. Comparar los totales de control de los datos importados
con los totales de control de los datos originales
B. Clasificando (sorting) los datos para confirmar si los datos
están en el mismo orden que los datosoriginales
C. Revisando la impresión de los primeros 100 registros de
los datos originales con los primeros 100 registros de los
datos importados
D. Filtrando los datos para diferentes categorías y
comparándolos con los datos originales.
las políticas y procedimientos de la gerencia. Verificar la
autorización de los reportes de excepción, revisar la
autorización para cambiar parámetros y revisar los reportes
históricos de contraseña son todas pruebas de cumplimiento.
A. evaluación del riesgo inherente.
Explicación:
El primer paso en un enfoque de auditoría basada en el
riesgo es recolectar información sobre el negocio y la
industria para evaluar los riesgos inherentes. Después de
realizar la evaluación de los riesgos inherentes, el siguiente
paso sería realizar una evaluación de la estructura de control
interno. Los controles serian entonces probados sobre la
base de los resultados de prueba, se realizarían las pruebas
sustantivas y serian evaluadas.
A. Muestreo de atributos.
Explicación:
El muestreo de atributos es el método primario de muestreo
que se usa para comprobar el cumplimiento. El muestreo de
atributos es un modelo de muestreo que se usa para estimar
la tasa de ocurrencia de una calidad especifica (atributo) en
una población y se usa en la comprobación de cumplimiento
para confirmar si esta calidad existe o no. Las otras
elecciones se usan en comprobaciones substantivas que
involucran la comprobación de detalles o cantidad.
A. puede identificar las áreas de alto riesgo que pudieran
necesitar una revisión detallada mas tarde.
Explicación:
La CSA se predica sobre la revisión de las áreas de alto
riesgo que o bien necesitan atención inmediata o una
revisión más exhaustiva en una fecha posterior. La
respuesta B es incorrecta porque la CSA requiere la
participación de tanto los auditores como la gerencia de
línea. Lo que ocurre es que la función de auditoría interna
pasa algunas de las responsabilidades de monitoreo de
control a las áreas funcionales. La respuesta C es incorrecta
porque la CSA no es un reemplazo de las auditorías
tradicionales. La CSA no pretende reemplazar las
responsabilidades de la auditoría, sino aumentarlas. La
respuesta D es incorrecta porque la CSA no permite que la
gerencia delegue su responsabilidad de controlar.
A. Comparar los totales de control de los datos importados
con los totales de control de los datos originales
Explicación:
Comparar los totales de control de los datos importados con
los totales de control de los datos originales es el siguiente
paso lógico, ya que esto confirma la integridad de los datos
importados. No es posible confirmar la totalidad
(completeness) clasificando los datos importados, porque los
datos originales pueden no estar en el orden de clasificación.
Además la clasificación no provee totales de control para
verificar la totalidad (completeness). Revisar una impresión
de 100 registros de datos originales con 100 registros de
datos importados es un proceso de verificación física y

78. La función PRIMARIA de un auditor de SI durante la fase
de diseño del sistema de un proyecto de desarrollo de
aplicaciones es:
A. asesorar sobre los procedimientos de control específico y
detallado.
B. asegurar que el diseño refleje exactamente el
requerimiento.
C. asegurar que todos los controles necesarios estén
incluidos en el diseño inicial.
D. asesorar a la gerencia de desarrollo sobre la adherencia
al cronograma.
79. ¿Cuál de las siguientes herramientas de auditoría es la
MÁS importante para un auditor de SI cuando se requiere
una pista de auditoría?
A. Prueba Integrada (ITF)
B. Simulacro continuo e intermitente (CIS)
C. Ganchos de auditoría (Audit hooks)
D. Instantáneas (Snapshots)
80. ¿Cuál de las siguientes sería la MEJOR población de la
cual tomar una muestra cuando un programa en pruebas
cambia?
A. Listados de la biblioteca de prueba
B. Listados de programas fuente
C. Solicitudes de cambio de programas
D. Listados de la biblioteca de producción
81. Revisar los planes estratégicos a largo plazo de la
gerencia ayuda al auditor de SI a:
A. lograr un entendimiento de las metas y objetivos de una
organización.
B. probar los controles internos de la empresa.
C. determinar si la organización puede confiar en los
sistemas de información.
D. determinar el número de recursos de auditoría que se
necesitan.
82. El MEJOR método de probar la exactitud de un sistema
de cálculo de impuestos es:
A. revisión visual detallada y análisis del código fuente de los
programas de cálculo.
confirma la corrección de estos registros solamente. Filtrar
datos para diferentes categorías y compararlos con los datos
originales aún requeriría que se desarrollen los totales de
control para confirmar la totalidad de los datos.
C. asegurar que todos los controles necesarios estén
incluidos en el diseño inicial.
Explicación:
La función del auditor de SI es asegurar que estén incluidos
los controles requeridos. A menos que esté presente
específicamente como un consultor, el auditor de SI no
debería participar en diseños detallados. Durante la fase de
diseño, la función primaria del auditor de SI es asegurar que
estén incluidos los controles. A menos que haya algún
desvío potencial que reportar, al auditor de SI no le
concierne el control de proyecto en esta etapa.
D. Instantáneas (Snapshots)
Explicación:
Una herramienta de instantánea (snapshot) es más útil
cuando se requiere una pista de auditoría. ITF puede usarse
para incorporar transacciones de prueba en una corrida
normal de producción. CIS es útil cuando las transacciones
que reúnen ciertos criterios necesitan ser examinadas. Los
ganchos de auditoría son útiles cuando sólo se necesita
examinar transacciones o procesos escogidos.
D. Listados de la biblioteca de producción
Explicación:
La mejor fuente de la cual extraer cualquier ejemplo o
prueba de un sistema de información es el sistema
automatizado. Las bibliotecas de producción representan
ejecutables que están aprobados y autorizados para
procesar los datos de la organización. Los listados de
programa fuente serian intensivos en el tiempo. Las
solicitudes de cambio de programa son los documentos
usados para iniciar el cambio. No hay ninguna garantía de
que hayan sido elaboradas las solicitudes para todos los
cambios. Los listados de biblioteca de prueba no
representan los ejecutables aprobados y autorizados.
A. lograr un entendimiento de las metas y objetivos de una
organización.
Explicación:
La planeación estratégica pone en movimiento los objetivos
corporativos o departamentales. La planeación estratégica
está orientada al tiempo y al proyecto, pero debe también
tratar y ayudar a determinar prioridades para satisfacer las
necesidades del negocio. Revisar los planes estratégicos a
largo plazo no alcanzaría los objetivos expresados por las
otras opciones.
C. preparar transacciones simuladas para procesar y
comparar los resultados con resultados predeterminados.
Explicación:
Preparar transacciones simuladas para procesar y comparar
B. recrear un programa lógico usando software generalizado
de auditoría para calcular los totales mensuales.
C. preparar transacciones simuladas para procesar y
comparar los resultados con resultados predeterminados.
D. creación automática de diagrama de flujo y análisis del
código fuente de los programas de cálculo.
los resultados con resultados predeterminados es el MEJOR
método para probar la corrección de un cálculo de
impuestos. La revisión visual detallada, la creación de
diagramas de flujo y el análisis de código fuente no son
métodos efectivos, y los totales mensuales no resolverían la
exactitud de cálculos individuales de impuestos.