1.- Describe todo lo relacionado a la norma nagu 2.40 “archivo permanente” Rc 162.

95 CG
Para cada entidad sujeta a control se debe implantar, organizar y mantener actualizado el
archivo permanente

El Archivo permanente está conformado por un conjunto orgánico de documentos que contienen
copias y/o extractos de información de interés, de utilización continua o necesaria pera futuros
exámenes, básicamente relacionada con:
*Ley orgánica de la entidad y normas legales que regulan su funcionamiento
*Organigrama aprobado
*Reglamento de organización y funciones-ROF aprobado
*Manual de Organización y funciones- MOF aprobado
*Manual de procedimientos aprobado
*Flujo grama de las principales actividades de la entidad
*Plan operativo funcional institucional
*Presupuesto Institucional, incluyendo modificación y evaluaciones
*Estados financieros
*Informes de auditoria
*Denuncias
*Plan anual de control, incluyendo reprogramaciones
*Informa de evaluación del Plan anual
*Resumen de las decisiones más importantes adoptadas por la alta dirección
*Resolución y directivas emitidas por la entidad
*Convenios y contratos trascendentes
Se actualizara periódicamente a fin de permitir su fácil utilización, especialmente en la fase de
planificación de las auditorias
La responsabilidad de organizar el archivo Permanente corresponde
a) A las Gerencias de línea de la contraloría General
b) A las jefaturas de los órganos de auditoria interna de las entidades sujetas al sistema nacional
de control

2.- Describe todo lo relacionado a la norma 4.40 contenido del informe de la RC-259-CG

El contenido del informe será ordenado mostrando apropiadamente los resultados de la acción de
control.
DOMINACION: El Informe será denominado considerando, la naturaleza o tipo de la acción de
control practicada,
ESTRUCTURA: El informe debe de presentar lo sig.
*Introducción: Comprende la información general de la acción de control y de la entidad
examinada, desarrollando los aspectos siguientes.
1 Origen del examen: Estará referido a los antecedentes, tales como: planes anuales de auditoría,
denuncias, solicitudes expresas
2 Naturaleza y Objetivos del examen: En este rubro se señalará la naturaleza o tipo de la acción de
control practicada, así como los objetivos previstos respecto de la misma.
3 Alcance del examen: Se indicará claramente la cobertura y profundidad del trabajo realizado para
el logro de los objetivos de la acción de control.
4 Antecedentes y base legal de la entidad: Se hará referencia, de manera breve y concisa, a los
aspectos de mayor relevancia que guarden vinculación directa con la acción de control realizada.
5 Comunicación de hallazgos: Se deberá indicar haberse dado cumplimiento a la comunicación
oportuna de los hallazgos efectuada al personal que labora o haya laborado en la entidad
comprendido en ellos
6 Memorándum de Control Interno: Se indicará que durante la acción de control se ha emitido el
Memorándum de Control Interno, en el cual se informó al titular sobre la efectividad de los controles
internos implantados en la entidad.
**OBSERVACIONES
Las observaciones se deberán referir a hechos o situaciones de carácter significativo y de interés
para la entidad examinada.
1. Sumilla: Es el título o encabezamiento que identifica el asunto materia de la observación.
2. Elementos de la observación (condición, criterio, efecto y causa); Son los atributos propios de
toda observación, los cuales deben ser desarrollados objetiva y consistentemente, teniendo en
consideración lo siguiente:
a) Condición: es el hecho o situación deficiente detectada, cuyo nivel o curso de desviación debe
ser evidenciado.
b) Criterio: es la norma, disposición o parámetro de medición aplicable al hecho o situación
observada.
c) Efecto: es la consecuencia real o potencial, cuantitativa o cualitativa, ocasionada por el hecho o
situación observada.
d) Causa: es la razón o motivo que dio lugar al hecho o situación observada.
3. Comentarios y/o aclaraciones del personal comprendido en las observaciones:
Son las respuestas brindadas a la comunicación de los hallazgos respectivos, por el personal
comprendido finalmente en la observación.
4. Evaluación de los comentarios y/o aclaraciones presentados : Es el resultado del análisis
realizado por la Comisión Auditora sobre los comentarios y/o aclaraciones y documentación
presentada por el personal comprendido en la observación..
***CONCLUSIONES
En este rubro la Comisión Auditora deberá expresar las conclusiones del Informe de la acción de
control, basados en las observaciones establecidas, que se formulan como consecuencia del
examen practicado a la entidad auditada.
****RECOMENDACIONES
Constituyen las medidas específicas, para mostrar los beneficios que reportará la acción de control,
se dice a la administración de la entidad para la superación de las causas y las deficiencias
evidenciadas durante el examen.
*****ANEXOS
A fin de lograr el máximo de concisión y claridad en el Informe, sólo se incluirá como Anexos,
además en la presente norma, aquella documentación indispensable que contenga importante
información complementaria de los datos contenidos en el Informe.
FIRMA: El Informe, una vez efectuado el control de calidad correspondiente previo a su
aprobación, deberá ser firmado.

3) De la RC 320-2006-c6 Aprueban normal de control interno, describir la organización del

sistema de control interno

Se considera que son principios aplicables al sistema de control interno:

(i) autocontrol, en cuya virtud todo funcionario y servidor del Estado debe controlar su trabajo,
detectar deficiencias o desviaciones y efectuar correctivos
(ii) autorregulación, como la capacidad para desarrollar las disposiciones, métodos y
procedimientos que le permitan cautelar y asegurar la eficacia, eficiencia y legalidad en los
resultados de sus procesos.
(iii) la autogestión, por la cual compete a cada entidad conducir, planificar, ejecutar, coordinar y
evaluar las funciones a su cargo a la normativa aplicable y objetivos
*Norma general para el ambiente de control
En un entorno organizacional favorable al ejercicio de valores, conductas y reglas apropiadas, para
sensibilizar a los miembros y generar una cultura de control interno.
Norma general para la evaluación de riesgos
Esta en el proceso de identificación y análisis de los riesgos a lo que esta expuesta la entidad para
llegar a sus objetivos y la elaboración de una respuesta. Esta es parte del proceso de
administración de riesgos, e incluye: planeamiento, identificación, valoración o análisis, respuesta y
el monitoreo de los riesgos
*Norma general para las actividades de control gerencial
El componente actividades de control gerencial comprende políticas y procedimientos
establecidos para asegurar que se están llevando a cabo las acciones necesarias en la
administración de los riesgos que pueden afectar los objetivos de la entidad,
contribuyendo a asegurar el cumplimiento de estos.
*Norma general para la información y comunicación
Se entiende por el componente de información y comunicación, los métodos, procesos, canales,
medios y acciones que, con enfoque sistémico y regular, tengan el flujo de información con calidad
. Esto permite cumplir con las responsabilidades individuales y grupales.
*Norma general para la supervisión
Es para valorar la eficacia y calidad de su funcionamiento en el tiempo y permitir su
retroalimentación. La supervisión, identificada y comprende un conjunto de actividades de
autocontrol a los procesos y operaciones, para la mejora y evaluación. Estas se hacen para la
prevención y monitoreo.

4.- De la NTP – 150 / IF 12207 – 2004 Tecnología de la información – Procesos del ciclo de
vida del Software de edición, resolución ministerial N° 179 – 2004 PCM Describir cada uno
de los procesos de apoyo del ciclo de vida.

Las actividades y tareas en un proceso de apoyo de responsabilidad de la organización que lleva a

cabo dicho proceso. Esta organización se asegura que el proceso existe y es operativo.
1. Proceso de Documentación: Es un proceso para registrar la documentación producida por un
proceso o actividad del ciclo de vida. Este proceso consta de las siguientes actividades:
Implementación del proceso, Diseño y desarrollo, Producción y mantenimiento.
2. Proceso de Gestión de la Configuración: Es el proceso de aplicar procedimientos técnicos y
administrativos a lo largo del ciclo de vida del software. Este proceso consta de las siguientes
actividades: Implementación del proceso, identificación de la configuración, control de la
configuración, determinación del estado de la configuración, evaluación de la configuración y
gestión de liberaciones y entrega.
3. Proceso de Aseguramiento de la Calidad: Es un proceso para proporcionar la seguridad
apropiada de que los productos y procesos software del ciclo de vida del proyecto son conformes a
sus requisitos especificados y se adhieren a los planes establecidos. Este proceso consta de las
siguientes actividades: Implementación del proceso, aseguramiento del producto, aseguramiento
del proceso y aseguramiento del sistema de calidad.
4. Proceso de Verificación: Es un proceso para determinar si los productos software de una
actividad cumplen con los requisitos o condiciones que tienen impuestas por las actividades
precedentes. Este proceso consta de las siguientes actividades: Implementación del proceso y
verificación.
5. Proceso de Validación: Es un proceso para determinar si los requisitos y el sistema o producto
software tal como se ha construido cumple con su uso específico previsto. Este proceso consta de
las siguientes actividades: Implementación del proceso y Validación.
6. Proceso de Revisión Conjunta: Es un proceso para evaluar el estado y los productos de una
actividad de un proyecto, como sea adecuado. Este proceso consta de las siguientes tareas:
Implementación del proceso, revisiones de la gestión del proyecto y revisiones técnicas.
7. Proceso de Auditoria: Es un proceso para determinar el cumplimiento con los requisitos, planes y
contrato, según aplique. Este proceso consta de las siguientes tareas: Implementación del proceso
y auditoría.
8. Proceso de Solución de Problemas: Es un proceso para analizar y resolver los problemas. Este
proceso consta de las siguientes tareas: Implementación del proceso y solución de problemas.
1 Cual es la diferencia entre consultoría informática, control interno informático y auditoria
informática
*CI
Es una función a priori que se encarga de dar asesoramiento y consejería de una actividad a
realizar en la organización
Proporciona soluciones integrales.
Sus propuestas deben ser de auto subvención.
Presenta riesgos de la no adquisición del bien informático.
Se adquiere el bien informático con llave en mano (Turn on key).
*CII:
-Análisis de los controles a diario
-Informa a la dirección del Dpto. de Informática.
-Solo personal interno.
-El alcance de sus funciones es únicamente sobre el departamento de informática.
* AI
-Análisis de un momento informático determinado.
-Informa a la Dirección Gral. De la Organización.
-Personal externo que se apoya en el interno.
-Tiene cobertura sobre todos los componentes de los S.I. de la Organización

SIMILITUDES ENTRE CII Y AI

CII: Conocimientos especializados en TIC

AI: Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos
por las Direcciones (Inf. Y Gral.) para las TICs

2 Según la Resolución de Contraloría Nº259-2000-CG, describir la estructura de control

interno y cada uno de los 5 componentes interrelacionados.

Está conformada por cinco componentes interrelacionados:

a) Ambiente de Control
Esta referido a cómo los órganos de dirección y de la administración de una organización estimulan
e influyen en su personal para crear conciencia sobre los beneficios de un adecuado control. Es el
fundamento de los otros componentes.
b) Evaluación del Riesgo
Consiste en la forma como la entidad identifica, analiza y administra los riesgos que afectan el
cumplimiento de sus objetivos.
c) Actividades de Control Gerencial
Son las políticas y procedimientos de control que imparte la dirección, gerencia y los niveles
ejecutivos competentes, en relación con las funciones asignadas al personal, a fin de asegurar el
cumplimiento de los objetivos de la entidad.
d) Sistema de Información y Comunicación
Consiste en los métodos y procedimientos establecidos por la administración para procesar
apropiadamente la información y dar cuenta de las operaciones de la entidad para fines de toma de
decisiones
e) Actividades de Monitoreo
La administración es responsable de implementar y mantener el control interno para lo cual evalúa
la calidad del mismo en el tiempo

3 Según la res. De contraloría nº162-95-cG las normas de auditoria gubernamental constan

de 22 disposiciones integrados en 4 títulos, describir cada uno de estos títulos

1 Normas generales.- Entrenamiento al profesional y sus capacidades

2 Normas relacionadas a la planificación de auditoria.- referidas a la planeación general y
específica a los programas de auditoria
3 Normas relativas en la ejecución de auditoria.- Estudio y evaluación del control interno y
ejecución de auditoria gubernamental
4 Normas relativas al informe.- Referidas a la creación del informe y como se debe presentarlo, la
estructura y el contenido del informa a ser presentado.
4 según la resolución de contraloría Nº320-2006-CG, Describir los objetivos de las normas de
control interno
Las Normas de Control Interno tienen como objetivo propiciar el fortalecimiento de los sistemas
de control interno y mejorar la gestión pública, en relación a la protección del patrimonio público
y al logro de los objetivos y metas institucionales.
Normas:
** Servir de marco de referencia en materia de control interno para la emisión de la respectiva
normativa institucional, así como para la regulación de los procedimientos administrativos y
operativos derivados de la misma
** Orientar la formulación de normas específicas para el funcionamiento de los procesos de
gestión e información gerencial en las entidades
** Orientar y unificar la aplicación del control interno en las entidades.

5 Según la Normativa NAGU 3.60 comunicación de hallazgos de la resolución de contraloría

Nº259-2000-CG señale y describa las partes de un hallazgo

Durante la ejecución de la acción de control, la Comisión Auditora debe comunicar oportunamente

los hallazgos a las personas comprendidas en los mismos a fin que, en un plazo fijado, presenten
sus aclaraciones o comentarios sustentados documentadamente
para su debida evaluación y consideración pertinente en el Informe correspondiente.
1. Sumilla: Es el título o encabezamiento que identifica el asunto materia de la observación.
2. Elementos de la observación (condición, criterio, efecto y causa); Son los atributos propios de
toda observación, los cuales deben ser desarrollados objetiva y consistentemente, teniendo en
consideración lo siguiente:
a) Condición: es el hecho o situación deficiente detectada, cuyo nivel o curso de desviación debe
ser evidenciado.
b) Criterio: es la norma, disposición o parámetro de medición aplicable al hecho o situación
observada.
c) Efecto: es la consecuencia real o potencial, cuantitativa o cualitativa, ocasionada por el hecho o
situación observada.
d) Causa: es la razón o motivo que dio lugar al hecho o situación observada.

6 según la resolución de contraloría Nº320-2006-CG, describir la norma 4, Norma general

para el componente de información y comunicación, definir 4 ítems correspondiente a su
clasificación

Son los métodos, procesos, canales, medios y acciones que, con enfoque sistémico y regular,
aseguren el flujo de información en todas las direcciones con calidad y oportunidad. Esto permite
cumplir con las responsabilidades individuales y grupales.
*Funciones y características de la información
La información es resultado de las actividades operativas, financieras y de control provenientes del
interior o exterior de la entidad.
*Información y responsabilidad
La información debe permitir a los funcionarios y servidores públicos cumplir con sus obligaciones y
responsabilidades..
* Calidad y suficiencia de la información
El titular o funcionario designado debe asegurar la confiabilidad, calidad, suficiencia, pertinencia y
oportunidad de la información que se genere y comunique
* Sistemas de información
Los sistemas de información diseñados e implementados por la entidad constituyen un instrumento
para el establecimiento de las estrategias organizacionales y, por ende, para el logro de los
objetivos y las metas.
* Flexibilidad al cambio
Los sistemas de información deben ser revisados periódicamente, y de ser necesario,
rediseñados cuando se detecten deficiencias en sus procesos y productos.
 EVALUACIONES PARA MARCAR

1. “se sustenta en determinado Procedimientos que proporciona seguridad de lo que se afirma”,

indicar esta descripción a que elemento fundamental de la auditoria pertenece?
JUSTIFICACIÓN
2. la “fiabilidad” a que elemento fundamental de la auditoria corresponde:
FINALIDAD
3. “establecer la manera de llevarla a cabo adecuadamente”, indicar esta descripción a que
elemento fundamental de la consultoría pertenece
FINALIDAD
4. cuál de las afirmaciones NO ES objetivo genérico de control interno informático
EVALUAR Y COMPROBAR EN DETERMINADOS MOMENTOS DEL TIEMPO LOS
CONTROLES Y PROCEDIMIENTOS INFORMÁTICOS MÁS COMPLEJOS
5. Cuál de las definiciones no corresponde al sistema de CII
ES RESPONSABLE DE REVISAR E INFORMAR A LA DIRECCIÓN DE LA
ORGANIZACIÓN SOBRE EL DISEÑO Y EL FUNCIONAMIENTO DE LOS CONTROLES
IMPLANTADOS Y SOBRE LA FIABILIDAD DE LA INFORMACIÓN SUMINISTRADA
6.”Eficacia, eficiencia, economicidad…” son finalidades que pertenecen a la auditoria
DE GESTIÓN
7. “la norma, disposición o parámetro de medición transgredido”, señale esta definición a que
elemento de los hallazgos pertenece según la NAGU 3.60 comunicación de hallazgos de la
resolución de contraloría Nº259-2000-CG
CRITERIO
8. Señale la estructura correcta de las normas de control interno, según la resolución de contraloría
Nº320-2006-CG
CÓDIGO-TITULO-SUMILLA-COMENTARIO
9. para fines de la adecuada formalización e implementación de la estructura de control interno en
todas las entidades del estado, se concibe que esta se organice con base en los siguientes cinco
componentes, seleccione la correcta
AMBIENTE DE CONTROL-EVALUACIÓN DE RIESGOS-ACTIVIDADES DE CONTROL
GERENCIAL- INFORMACIÓN Y COMUNICACIÓN –SUPERVISIÓN
10. “Los sistemas de información deben ser revisados periódicamente, y ser necesario,
rediseñados cuando se detecten deficiencias en sus procesos y productos. Cuando la entidad
cambie objetivos y metas, estrategia, políticas y programas de trabajo, entre otro, debe
considerarse el impacto en los ideas de información para adoptar las acciones necesarios” Esta
sumilla a que contenido del título 4. Norma general para el componente de información y
comunicación de la resolución de contraloría Nº320-2006-CG corresponde, señalar:
FLEXIBILIDAD AL CAMBIO
11. No es una función de control interno…
TIENE COBERTURA SOBRE TODOS LOS COMPONENTES DE LOS SISTEMAS DE
INFORMACIÓN DE LA ORGANIZACIÓN
12. De las alternativas selección la que NO corresponde a las normas generales de control interno
amparadas en la resolución de contraloría Nº320 -2006-CG y que se aplican a todas las entidades
del estado
NORMA GENERAL PARA EL COMPONENTE DESARROLLO DE LA ESTRUCTURA
ORGANIZACIONAL
13. señale la alternativa que NO corresponde a la realización de controles de las diferentes
actividades operativas, sistemas entornos informáticos
CONTROLES EN EL REGISTRO Y CODIFICACIÓN DE TODOS LOS BIENES
INFORMÁTICOS
14. señale 2 similitudes que tienen CII y AI CII:
CONOCIMIENTOS ESPECIALIZADOS EN TIC
VERIFICACIÓN DEL CUMPLIMIENTO DE CONTROLES INTERNOS, NORMATIVA Y
PROCEDIMIENTOS ESTABLECIDOS POR LAS DIRECCIONES (INF. Y GRAL.) PARA
LAS TICS
1 el grupo 4 de la clasificacion de las normas NAGU hace referencia de manera general a las
normas relativas al infomra de auditoria gubernamental, señalar cual sostiene especifiacamente al
“contenido del informe”
NAGU 4.40
2 El grupo de 3 de la clasificacion de las normas Nagu hace referencia de manera general a las
Nomas Relativas a la Ejecucion de la Auditoria Gubernamental, señalar cual sostiene
específicamente a la “comunidad de hallazgos”
NAGU3.60
3 Según la resolución de contraloría 259-2000-CG la estructura del control interno esta conformada
por cinco componetes interrelacionados, señale el componente incorrecto
PLANIFICACION DE LA AUDITORIA GUBERNAMENTAL
4 ” 6.4.3. Se realizarán copias de seguridad de la información en medios de almacenamiento cada
vez que los archivos o bases de datos se actualicen, estas copias se podrán efectuar en tres
formas:
a) Respaldo Total: copia completa de todos los archivos en un solo medio de almacenamiento.
b) Respaldo Incremental: copia de todos los cambios o adiciones que se realizan a determinados
archivos cada día.
c) Respaldo Diferencial: copia de cambios o adiciones que se realizan a determinados archivos
respecto al respaldo total, después de cierto período de tiempo.”
Señalar a que disposición especifica de las “Normas técnicas para el almacenamiento y respaldo
de la información procesada por las entidades de la administración publica”-resolución jefatural
nº386-2002-inei, corresponde la mencionada directiva
DEL RESPALDO
5 En que punto esencial, genérico y mínimo del informe dice “Dentro del contrato en el carta
propuesta del auditor informático se define que o quienes pueden hacer uso del informa asi como
los usos concretos que tendrá”
DISTRIBUCION DEL INFORME
6 La NTP-ISO/IEC 12207:2004 tecnología de la información. Procesos del ciclo de vida del
software 1º edición en entidades del sistema nacional de informática – resolución ministerial Nº179-
2004-PCM, esta estructurada en : procesos principales del ciclo de vida, procesos de apoyo del
ciclo de vida y procesos organizativos del ciclo de vida. Señale cual de las alternativas no
corresponde al de los procesos principales del ciclo de vida
DOCUMENTACION
7 La NTP-ISO/IEC 12207:2004 tecnología de la información. Procesos del ciclo de vida del
software 1º edición en entidades del sistema nacional de informática – resolución ministerial Nº179-
2004-PCM, está estructurada en : procesos principales del ciclo de vida, procesos de apoyo del
ciclo de vida y procesos organizativos del ciclo de vida. Señale cuál de las alternativas no
corresponde al de los procesos organizativos del ciclo de vida
AUDITORIA
8 “En cumplimiento de este principio deberá procurar evitar dilaciones innecesarias en la
realización de la auditoria. Estas dilaciones permitirán al auditado reducir los plazos de actuación
tendentes a solventar los problemas detectados o a la adecuación a los nuevos métodos propuesto
aportando un determinado valor añadido al trabajo del auditor”
PRINCIPIO DE ECONOMÍA
9 Señale, cual de la normativas adoptadas por el gobierno peruano tiene estrecha relación con la
metodología P-H-V-A (Planificar-Hacer-Verificar-Actuar) del SGSI(sistema de gestión de la
seguridad de la información)
NTP-ISO/IEC 17799-ISO/IEC 27001, -Code of practice for information security
management
10 Cual de las alternativas No corresponde a contratos complejos, señalar.
CONTRATO DE AUDITORIA
1. “Sirven de base para la planificación, control y evaluación por la dirección de las
actividades del departamento de informática” Indicar que tipo de control general
organizativo pertenece esta definición.
POLITICAS
2. “Que describan la forma y las responsabilidades de ejecutoria para regular las relaciones
entre el departamento de informática y los Departamentos Usuarios” ” Indicar que tipo de
control general organizativo pertenece esta definición.
PROCEDIMIENTOS
3. “Realizado por la alta dirección, definen procesos corporativos y se considera TIC así como
las amenazas y oportunidades de su uso o de su usencia. Una actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan
afectar el funcionamiento de un sistema” ” Indicar que tipo plan de control general
organizativo pertenece esta definición.
PLAN ESTRATEGICO DE INFORMACION
4. Cual de las alternativas no pertenece a la seguridad Fisica y Logica de los controles de la
explotación de los sistemas de información.
PROCEDIMIENTOS DE CONTROL DE EXPLOTACION
5. A que tipo de controles de sistemas de gestión de base de datos corresponde la siguiente
definición… “como comprobar enlaces físicos, registros de control para mantener los
balances de transacciones”
CONTROLES PARA ASEGURAR LA INTEGRIDAD DE LOS DATOS
6. Cual de las alternativas no pertenece a los controles en informática distribuida y redes
CONTROL PARA LA DESCRIPCION Y LOS CAMBIOS DE DATOS ASI COMO PARA EL
MANTENIMIENTO DEL DICCIONARIO DE DATOS
7. “Auditor consiste de que sus recomendaciones deben basarse en la experiencia
contrastada que posee, evitando que el auditado se embarque en proyectos basado en
simples intuiciones sobre los posibles evoluciones de las TI “Señale a que principio
Deontológico corresponde esta definición”
CAUTELA
8. “El auditor debe de actuar conforme a las normas de dignidad de la profesión y de
corrección en el trato personal – Cuando precise de asesoramiento de otros expertos debe
acudir a ellos – Guardar respetó por la política empresarial del Auditado
COMPORTAMIENTO PROFESIONAL
9. “Limitaciones de alcance de la auditoria – Incertidumbre significativas de un modo tal que
impidan al auditor formarse una opinión- irregularidades, incumplimiento de normativa legal
y profesional que imposibiliten lograr los objetivos e la Auditoria Informática” Señale a que
informe corto de opinión pertenecen las características señaladas.
OPINION DENEGADA
10. Cual de las alternativas una no corresponde a los contratos complejos, señalar
CONTRATO DE AUDITORIA
 2do examen Audi Ruber 0051

1. … estos controles tratan de conocer cuanto antes el evento, módulo o información sujeto al
ataque
CONTROLES DETECTIVES
2. … aseguran que las modificaciones de los procedimientos programados están adecuadamente
diseñadas, probadas, aprobadas e implantadas
OBJETIVOS DE CONTROL DE MANTENIMIENTO
3. Que elemento no es válido para implantar un sistema de control interno informático
ENCUESTA
4. CII y AI verifican y determinan el cumplimiento y validez de los siguientes controles internos.
Señale cual corresponde
CONTROLES DE VENTA DE SISTEMAS DE INFORMACIÓN
5. “realizado por la alta dirección, definen procesos corporativos y se considera TIC así como las
amenazas y oportunidades de su uso o de sus ausencias”. Esta definición corresponde a:
PLAN ESTRATÉGICO DE LA INFORMACIÓN
6. Cuál de los controles contempla POLITICAS DE PERSONAL – selección, plan de formación,
plan de vacaciones y evaluación y promoción.
CONTROLES GENERALES ORGANIZATIVOS
7. Designar oficialmente la figura de CII y de AI. Corresponde a los…
CONTROLES GENERALES ORGANIZATIVOS
8. Cuál de las alternativas NO corresponde a los controles de metodología
PROCEDIMIENTOS PARA REALIZAR UN SEGUIMIENTO Y CONTROL DE LOS
CAMBIOS DE UN SISTEMA DE INFORMACIÓN
9. Según la resolución de contraloría N°259-2000-CG, ítem NAGU 3.60 comunicación de
hallazgos dice: (3. Los hallazgos a ser comunicados revelaran necesariamente la situación o
hecho detectado), (2. La norma, disposición o parámetro de medición transgredido), (3. El
resultado adverso o riesgo potencial identificado), (4. Así como la razón que motivo el hecho o
incumplimiento establecido). Determine cuál es la correlación correcha
1. CONDICIÓN 2.CRITERIO 3.EFECTO 4.CAUSA
10. La norma general para el componente de información y comunicación, está contenida por las
siguientes alternativas, señale cual no corresponde a dicho título:
ESTRUCTURA ORGANIZACIONAL.
2do examen Adriano

1. De las alternativas una no corresponde a los contratos complejos, señalar

CONTRATO DE AUDITORIA
2. “Señale cuál de las disipaciones especificas no corresponde a las normas técnicas para el
almacenamiento y respaldo de la información procesada por las Entidades de la
administración Publica” RESOLUCION JEFATURAL N° 386-2002-INEI.
DE LA SEGURIDAD LOGICA
3. Qué entidad nacional propone como actividad permanente de la formulación y evaluación el
plan Operativo Informático.
LA OFICINA NACIONAL DE GOBIERNO ELECTRONICO E INFORMATICA
4. No es un PROCESO PRINCIPAL DEL CICLO E VIDA descrito en la norma técnica Peruana
NTP-ISO/IEC 12207.2004 TECNOLOGIA DE LA INFORMACION, procesos del ciclo de vida
del software 1° edición en entidades del sistema Nacional e informática – RESOLUCION
MINISTERIAL N° 179-2004-PCM señálelo.
DOCUMENTACION
5. No es un PROCESO ORGANIZATIVO DEL CICLO E VIDA descrito en la norma técnica
Peruana NTP-ISO/IEC 12207.2004 TECNOLOGIA DE LA INFORMACION, procesos del ciclo
de vida del software 1° edición en entidades del sistema Nacional e informática –
RESOLUCION MINISTERIAL N° 179-2004-PCM señálelo.
AUDITORIA
6. Uno de los principios del auditor dice “ Respetar su labor y eludir hacer comentarios que
pudiesen interpretarse como despreciativos o de desprestigio de su calificación profesional”
Cual es..?
PRINCIPIO DE NO INGERENCIA
7. De cuál de las funciones no está encargado el SEACE (Sistema Electrónico de Adquisición y
Contrataciones con el Estado)
EJECUTORES CONSULTORES DE OBRA / OTORGAR LA BUENA PRO
8. A qué tipo de control interno pertenecen los siguientes controles
• Control de entrada de datos: procedimientos de conversión y de entrada, validación y corrección de datos
• Control de tratamiento de datos: Asegurando que no se den e alta modifiquen o borren datos no autorizados
• Controles de salida de datos: Procedimientos de distribución de salidas, de gestión d errores en salida
o CONTROLES EN APLICACIONES
9. La ISO/IEC 17799-2005 tiene 11 cláusulas de control, de las cuales se alcanza 3
correctas y 1 incorrecta.. señale la incorrecta
GESTION DE RECURSOS HUMANOS
10. Según la NTP ISO/IEC 17799 la siguiente descripción “provee información mas
detallada para apoyar la implementación del control y conocer el objetivo de control”
corresponde a:
GUIA DE IMPLEMENTACION
Examen audii

1. Debe existir disposición de dialogo entre el auditadio y el auditor para aclarar dudas sobre
aspectos conflictivos que pudieran surgir. Y el auditor debe usar un lenguaje al nivel de
comprensión del auditado” esta descripción corresponde al principio de:
CONFIANZA
2. “Garantía de que los intereses del auditado serán asumidos aun con objetividad y se da el
rechazo de criterios con los que no se este de acuerdo” esta descripción corresponde al
principio de:
LEGALIDAD
3. En cumplimiento de este principio deberá procurar evitar dilaciones innecesarias en la
realización de la auditoria. Estas dilaciones permitirán al auditado reducir los plazos de
actuación tendentes a solventar los problemas detectados o a la adecuación de los nuevos
métodos propuestos aportando un determinado valor añadido al trabajo del auditor”
PRINCIPIO DE ECONOMIA O PRINCIPIO DE CRITERIO PROPIO MORAL
4. Cuál de las alternativas No corresponde a contratación de servicios señalar
CONTRATO DE VENTA DE BASE DE DATOS
5. A que fase del modelo P-H-V-A pertenecen las siguientes funciones adoptar acciones
correctivas y adoptar acciones preventivas
ACTUAR
6. A que fase del modelo P-H-V-A pertenecen las siguientes funciones de implantación como
implantar el SGSI, implantar los controles, implantar los indicadores.
HACER
7. Cual de la siguiente afirmación es verdadera
La NTP ISO/IEC 17799 contiene 11 cláusulas de control, que contiene colectivamente
un total de 39 categorías principales de seguridad y una clausula introductoria
conteniendo temas de evaluación y tratamiento del riesgo.
1 Cual es la diferencia entre consultoría informática, control interno informático y auditoria
informática
2 Según la Resolución de Contraloría Nº259-2000-CG, describir la estructura de control interno y
cada uno de los 5 componentes interrelacionados.
3 Según la Normativa NAGU 3.60 comunicación de hallazgos de la resolución de contraloría
Nº259-2000-CG señale y describa las partes de un hallazgo
4 según la resolución de contraloría Nº320-2006-CG, describir la norma 4, Norma general para el
componente de información y comunicación, definir 4 ítems correspondiente a su clasificación

EVALUACIONES PARA MARCAR

1. “se sustenta en determinado Procedimientos que proporciona seguridad de lo que se afirma”, indicar esta
descripción a que elemento fundamental de la auditoria pertenece?
JUSTIFICACIÓN
2. la “fiabilidad” a que elemento fundamental de la auditoria corresponde:
FINALIDAD
3. “establecer la manera de llevarla a cabo adecuadamente”, indicar esta descripción a que elemento
fundamental de la consultoría pertenece
FINALIDAD
4. cuál de las afirmaciones NO ES objetivo genérico de control interno informático
EVALUAR Y COMPROBAR EN DETERMINADOS MOMENTOS DEL TIEMPO LOS CONTROLES
Y PROCEDIMIENTOS INFORMÁTICOS MÁS COMPLEJOS
5. Cuál de las definiciones no corresponde al sistema de CII
ES RESPONSABLE DE REVISAR E INFORMAR A LA DIRECCIÓN DE LA ORGANIZACIÓN
SOBRE EL DISEÑO Y EL FUNCIONAMIENTO DE LOS CONTROLES IMPLANTADOS Y SOBRE
LA FIABILIDAD DE LA INFORMACIÓN SUMINISTRADA
6.”Eficacia, eficiencia, economicidad…” son finalidades que pertenecen a la auditoria
DE GESTIÓN
7. “la norma, disposición o parámetro de medición transgredido”, señale esta definición a que elemento de los
hallazgos pertenece según la NAGU 3.60 comunicación de hallazgos de la resolución de contraloría Nº259-
2000-CG
CRITERIO
8. Señale la estructura correcta de las normas de control interno, según la resolución de contraloría Nº320-
2006-CG
CÓDIGO-TITULO-SUMILLA-COMENTARIO
9. para fines de la adecuada formalización e implementación de la estructura de control interno en todas las
entidades del estado, se concibe que esta se organice con base en los siguientes cinco componentes,
seleccione la correcta
AMBIENTE DE CONTROL-EVALUACIÓN DE RIESGOS-ACTIVIDADES DE CONTROL
GERENCIAL- INFORMACIÓN Y COMUNICACIÓN –SUPERVISIÓN
10. “Los sistemas de información deben ser revisados periódicamente, y ser necesario, rediseñados cuando
se detecten deficiencias en sus procesos y productos. Cuando la entidad cambie objetivos y metas, estrategia,
políticas y programas de trabajo, entre otro, debe considerarse el impacto en los ideas de información para
adoptar las acciones necesarios” Esta sumilla a que contenido del título 4. Norma general para el componente
de información y comunicación de la resolución de contraloría Nº320-2006-CG corresponde, señalar:
FLEXIBILIDAD AL CAMBIO
11. No es una función de control interno…
TIENE COBERTURA SOBRE TODOS LOS COMPONENTES DE LOS SISTEMAS DE
INFORMACIÓN DE LA ORGANIZACIÓN
12. De las alternativas selección la que NO corresponde a las normas generales de control interno amparadas
en la resolución de contraloría Nº320 -2006-CG y que se aplican a todas las entidades del estado
NORMA GENERAL PARA EL COMPONENTE DESARROLLO DE LA ESTRUCTURA
ORGANIZACIONAL
13. señale la alternativa que NO corresponde a la realización de controles de las diferentes actividades
operativas, sistemas entornos informáticos
CONTROLES EN EL REGISTRO Y CODIFICACIÓN DE TODOS LOS BIENES INFORMÁTICOS
14. señale 2 similitudes que tienen CII y AI CII:
CONOCIMIENTOS ESPECIALIZADOS EN TIC
VERIFICACIÓN DEL CUMPLIMIENTO DE CONTROLES INTERNOS, NORMATIVA Y
PROCEDIMIENTOS ESTABLECIDOS POR LAS DIRECCIONES (INF. Y GRAL.) PARA LAS TICS
1 el grupo 4 de la clasificación de las normas NAGU hace referencia de manera general a las normas relativas
al informe de auditoría gubernamental, señalar cual sostiene específicamente al “contenido del informe”
NAGU 4.40
2 El grupo de 3 de la clasificación de las normas Nagu hace referencia de manera general a las Nomas
Relativas a la Ejecución de la Auditoria Gubernamental, señalar cual sostiene específicamente a la
“comunidad de hallazgos”
NAGU3.60
3 Según la resolución de contraloría 259-2000-CG la estructura del control interno esta conformada por cinco
componetes interrelacionados, señale el componente incorrecto
PLANIFICACION DE LA AUDITORIA GUBERNAMENTAL
4 ” 6.4.3. Se realizarán copias de seguridad de la información en medios de almacenamiento cada vez que los
archivos o bases de datos se actualicen, estas copias se podrán efectuar en tres formas:
a) Respaldo Total: copia completa de todos los archivos en un solo medio de almacenamiento.
b) Respaldo Incremental: copia de todos los cambios o adiciones que se realizan a determinados archivos
cada día.
c) Respaldo Diferencial: copia de cambios o adiciones que se realizan a determinados archivos respecto al
respaldo total, después de cierto período de tiempo.”
Señalar a que disposición especifica de las “Normas técnicas para el almacenamiento y respaldo de la
información procesada por las entidades de la administración publica”-resolución jefatural nº386-2002-inei,
corresponde la mencionada directiva
DEL RESPALDO
5 En que punto esencial, genérico y mínimo del informe dice “Dentro del contrato en el carta propuesta del
auditor informático se define que o quienes pueden hacer uso del informa asi como los usos concretos que
tendrá”
DISTRIBUCION DEL INFORME
6 La NTP-ISO/IEC 12207:2004 tecnología de la información. Procesos del ciclo de vida del software 1º edición
en entidades del sistema nacional de informática – resolución ministerial Nº179-2004-PCM, esta estructurada
en : procesos principales del ciclo de vida, procesos de apoyo del ciclo de vida y procesos organizativos del
ciclo de vida. Señale cual de las alternativas no corresponde al de los procesos principales del ciclo de vida
DOCUMENTACION
7 La NTP-ISO/IEC 12207:2004 tecnología de la información. Procesos del ciclo de vida del software 1º edición
en entidades del sistema nacional de informática – resolución ministerial Nº179-2004-PCM, está estructurada
en : procesos principales del ciclo de vida, procesos de apoyo del ciclo de vida y procesos organizativos del
ciclo de vida. Señale cuál de las alternativas no corresponde al de los procesos organizativos del ciclo de vida
AUDITORIA
8 “En cumplimiento de este principio deberá procurar evitar dilaciones innecesarias en la realización de la
auditoria. Estas dilaciones permitirán al auditado reducir los plazos de actuación tendentes a solventar los
problemas detectados o a la adecuación a los nuevos métodos propuesto aportando un determinado valor
añadido al trabajo del auditor”
PRINCIPIO DE ECONOMÍA
9 Señale, cual de la normativas adoptadas por el gobierno peruano tiene estrecha relación con la metodología
P-H-V-A (Planificar-Hacer-Verificar-Actuar) del SGSI(sistema de gestión de la seguridad de la información)
NTP-ISO/IEC 17799-ISO/IEC 27001, -Code of practice for information security management
10 Cual de las alternativas No corresponde a contratos complejos, señalar.
CONTRATO DE AUDITORIA

EXAMEN AUDI
 1. “Sirven de base para la planificación, control y evaluación por la dirección de las
actividades del departamento de informática” Indicar que tipo de control general
organizativo pertenece esta definición.
POLITICAS
2. “Que describan la forma y las responsabilidades de ejecutoria para regular las relaciones
entre el departamento de informática y los Departamentos Usuarios” ” Indicar que tipo de
control general organizativo pertenece esta definición.
PROCEDIMIENTOS
3. “Realizado por la alta dirección, definen procesos corporativos y se considera TIC así como
las amenazas y oportunidades de su uso o de su usencia. Una actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan
afectar el funcionamiento de un sistema” ” Indicar que tipo plan de control general
organizativo pertenece esta definición.
PLAN ESTRATEGICO DE INFORMACION
4. Cuál de las alternativas no pertenece a la seguridad Fisica y Logica de los controles de la
explotación de los sistemas de información.
PROCEDIMIENTOS DE CONTROL DE EXPLOTACION
5. A que tipo de controles de sistemas de gestión de base de datos corresponde la siguiente
definición… “como comprobar enlaces físicos, registros de control para mantener los
balances de transacciones”
CONTROLES PARA ASEGURAR LA INTEGRIDAD DE LOS DATOS
6. Cual de las alternativas no pertenece a los controles en informática distribuida y redes
CONTROL PARA LA DESCRIPCION Y LOS CAMBIOS DE DATOS ASI COMO PARA EL
MANTENIMIENTO DEL DICCIONARIO DE DATOS
7. “Auditor consiste de que sus recomendaciones deben basarse en la experiencia
contrastada que posee, evitando que el auditado se embarque en proyectos basado en
simples intuiciones sobre los posibles evoluciones de las TI “Señale a que principio
Deontológico corresponde esta definición”
CAUTELA
8. “El auditor debe de actuar conforme a las normas de dignidad de la profesión y de
corrección en el trato personal – Cuando precise de asesoramiento de otros expertos debe
acudir a ellos – Guardar respetó por la política empresarial del Auditado
COMPORTAMIENTO PROFESIONAL
9. “Limitaciones de alcance de la auditoria – Incertidumbre significativas de un modo tal que
impidan al auditor formarse una opinión- irregularidades, incumplimiento de normativa legal
y profesional que imposibiliten lograr los objetivos e la Auditoria Informática” Señale a que
informe corto de opinión pertenecen las características señaladas.
OPINION DENEGADA
10. Cual de las alternativas una no corresponde a los contratos complejos, señalar
CONTRATO DE AUDITORIA

2DO EXAMEN AUDI RUBER 0051

1. … estos controles tratan de conocer cuanto antes el evento, módulo o información sujeto al
ataque
CONTROLES DETECTIVES
2. … aseguran que las modificaciones de los procedimientos programados están adecuadamente
diseñadas, probadas, aprobadas e implantadas
OBJETIVOS DE CONTROL DE MANTENIMIENTO
3. Que elemento no es válido para implantar un sistema de control interno informático
ENCUESTA
4. CII y AI verifican y determinan el cumplimiento y validez de los siguientes controles internos.
Señale cual corresponde
CONTROLES DE VENTA DE SISTEMAS DE INFORMACIÓN
5. “realizado por la alta dirección, definen procesos corporativos y se considera TIC así como las
amenazas y oportunidades de su uso o de sus ausencias”. Esta definición corresponde a:
PLAN ESTRATÉGICO DE LA INFORMACIÓN
6. Cuál de los controles contempla POLITICAS DE PERSONAL – selección, plan de formación,
plan de vacaciones y evaluación y promoción.
CONTROLES GENERALES ORGANIZATIVOS
7. Designar oficialmente la figura de CII y de AI. Corresponde a los…
CONTROLES GENERALES ORGANIZATIVOS
8. Cuál de las alternativas NO corresponde a los controles de metodología
PROCEDIMIENTOS PARA REALIZAR UN SEGUIMIENTO Y CONTROL DE LOS
CAMBIOS DE UN SISTEMA DE INFORMACIÓN
9. Según la resolución de contraloría N°259-2000-CG, ítem NAGU 3.60 comunicación de
hallazgos dice: (3. Los hallazgos a ser comunicados revelaran necesariamente la situación o
hecho detectado), (2. La norma, disposición o parámetro de medición transgredido), (3. El
resultado adverso o riesgo potencial identificado), (4. Así como la razón que motivo el hecho o
incumplimiento establecido). Determine cuál es la correlación correcha
1. CONDICIÓN 2.CRITERIO 3.EFECTO 4.CAUSA
10. La norma general para el componente de información y comunicación, está contenida por las
siguientes alternativas, señale cual no corresponde a dicho título:
ESTRUCTURA ORGANIZACIONAL.

2DO EXAMEN ADRIANO

1. De las alternativas una no corresponde a los contratos complejos, señalar

CONTRATO DE AUDITORIA
2. “Señale cuál de las disipaciones especificas no corresponde a las normas técnicas para el
almacenamiento y respaldo de la información procesada por las Entidades de la
administración Publica” RESOLUCION JEFATURAL N° 386-2002-INEI.
DE LA SEGURIDAD LOGICA
3. Qué entidad nacional propone como actividad permanente de la formulación y evaluación el
plan Operativo Informático.
LA OFICINA NACIONAL DE GOBIERNO ELECTRONICO E INFORMATICA
4. No es un PROCESO PRINCIPAL DEL CICLO E VIDA descrito en la norma técnica Peruana
NTP-ISO/IEC 12207.2004 TECNOLOGIA DE LA INFORMACION, procesos del ciclo de vida
 del software 1° edición en entidades del sistema Nacional e informática – RESOLUCION
MINISTERIAL N° 179-2004-PCM señálelo.
DOCUMENTACION
5. No es un PROCESO ORGANIZATIVO DEL CICLO E VIDA descrito en la norma técnica
Peruana NTP-ISO/IEC 12207.2004 TECNOLOGIA DE LA INFORMACION, procesos del ciclo
de vida del software 1° edición en entidades del sistema Nacional e informática –
RESOLUCION MINISTERIAL N° 179-2004-PCM señálelo.
AUDITORIA
6. Uno de los principios del auditor dice “ Respetar su labor y eludir hacer comentarios que
pudiesen interpretarse como despreciativos o de desprestigio de su calificación profesional”
Cual es..?
PRINCIPIO DE NO INGERENCIA
7. De cuál de las funciones no está encargado el SEACE (Sistema Electrónico de Adquisición y
Contrataciones con el Estado)
EJECUTORES CONSULTORES DE OBRA / OTORGAR LA BUENA PRO
8. A qué tipo de control interno pertenecen los siguientes controles
• Control de entrada de datos: procedimientos de conversión y de entrada, validación y
corrección de datos
• Control de tratamiento de datos: Asegurando que no se den e alta modifiquen o borren
datos no autorizados
• Controles de salida de datos: Procedimientos de distribución de salidas, de gestión d
errores en salida
o CONTROLES EN APLICACIONES
9. La ISO/IEC 17799-2005 tiene 11 cláusulas de control, de las cuales se alcanza 3 correctas y 1
incorrecta.. señale la incorrecta
GESTION DE RECURSOS HUMANOS
10. Según la NTP ISO/IEC 17799 la siguiente descripción “provee información mas detallada para
apoyar la implementación del control y conocer el objetivo de control” corresponde a:
GUIA DE IMPLEMENTACION

EXAMEN AUDII

1. Debe existir disposición de dialogo entre el auditado y el auditor para aclarar dudas sobre
aspectos conflictivos que pudieran surgir. Y el auditor debe usar un lenguaje al nivel de
comprensión del auditado” esta descripción corresponde al principio de:
CONFIANZA
2. “Garantía de que los intereses del auditado serán asumidos aun con objetividad y se da el
rechazo de criterios con los que no se este de acuerdo” esta descripción corresponde al
principio de:
INDEPENDENCIA
3. En cumplimiento de este principio deberá procurar evitar dilaciones innecesarias en la
realización de la auditoria. Estas dilaciones permitirán al auditado reducir los plazos de
actuación tendentes a solventar los problemas detectados o a la adecuación de los nuevos
métodos propuestos aportando un determinado valor añadido al trabajo del auditor”
PRINCIPIO DE ECONOMIA O PRINCIPIO DE CRITERIO PROPIO MORAL
4. Cuál de las alternativas No corresponde a contratación de servicios señalar
CONTRATO DE VENTA DE BASE DE DATOS
5. A que fase del modelo P-H-V-A pertenecen las siguientes funciones adoptar acciones
correctivas y adoptar acciones preventivas
ACTUAR
6. A que fase del modelo P-H-V-A pertenecen las siguientes funciones de implantación como
implantar el SGSI, implantar los controles, implantar los indicadores.
HACER
7. Cual de la siguiente afirmación es verdadera
La NTP ISO/IEC 17799 contiene 11 cláusulas de control, que contiene colectivamente
un total de 39 categorías principales de seguridad y una clausula introductoria
conteniendo temas de evaluación y tratamiento del riesgo.

1. Según el anexo N° 01 esquema de presentación del plan operativo de información año

2010 o 2011 señale sus partes
• Misión de la dirección o gerencia informática
• Visión de la dirección o gerencia informática o sistemas
• Situación actual de la dirección o gerencia informática o sistemas
• Alineamiento con el plan estratégico institucional y sectorial
• Estrategias para el logro de las metas del plan operativo informático
• Programación de actividades y/o proyectos informáticos
2. Describe todo sobre controles generales organizativos.
- Políticas.- sirven de base para la planificación, control y evaluación por la dirección de
las actividades del Departamento de Informática.
- Planificación:
a.) Plan estratégico de información.- realizado por la alta dirección, definen procesos
corporativos y se considera TIC
b.) Plan Informático.- realizado por el Dep. Informática, define como cubrir las
necesidades de la empresa
c.) Plan general de seguridad: garantiza la confidencialidad, integridad y
disponibilidad de la información.
d.) Plan de emergencia ante desastres.- garantiza la disponibilidad de eventos ante
desastres.
- Estándares.- regulen la adquisición de recursos, el diseño, desarrollo y modificación y
explotación de sistemas.
- Procedimientos.- describan la forma y las responsabilidades de ejecutoria para regular
las relaciones entre el Dep. de Informática y los Deptos. Usuarios.
- Políticas de personal.- selección, plan de formación, plan de vacaciones y evaluación y
promoción.
- Asegurar que la Dirección revise todos los informes de control y resuelva todas las
observaciones.
- Asegurar que exista una política de clasificación de la información para saber dentro
de la Organización que personas están autorizadas y a qué tipo de información.
- Designar oficialmente la figura de CII y de AI.
3. Describe todo sobre controles en aplicación
Cada aplicación debe llevar controles incorporados para garantizar la entrada,
actualización, validez y mantenimiento completos y exactos de los datos. Lo más
importante en estos controles consideramos:
- Control de entrada de datos: procedimientos de conversión y de entrada, validación y
corrección de datos.
- Controles de tratamiento de datos, asegurando que no se den de alta, modifiquen o
borren datos no autorizados.
 - Controles de salida de datos: procedimientos de distribución de salidas, de gestión de
errores en las salidas.
4. Cuál es la diferencia entre los proceso principales del ciclo de vida, los procesos de
apoyo al ciclo de vida, y los procesos organizativos, según 179-2004 PCM
Proceso principales del ciclo de vida:
- Dan servicio a las partes principales durante el ciclo de vida del software
- Son 5 procesos principales (adquisición, suministro, desarrollo, operación,
mantenimiento)
Procesos de apoyo al ciclo de vida:
- Apoya a otro proceso como parte esencial del mismo
- Son 8 procesos de apoyo (documentación, gestión de configuración,
aseguramiento de calidad, verificación, validación, revisión, auditoria, solución
de problemas)
- Se emplea y ejecuta por otro proceso según sus necesidades
Procesos organizativos:
- Son usados fuera del ámbito de proyectos y contratos específicos
- Son 4 procesos organizativos (gestión, infraestructura, mejora, recursos
humanos)
- Se emplea por una organización para establecer e implementar una
infraestructura constituida por procesos y personal asociado al ciclo de vida.
5. Hacer la descripción sobre los controles sobre ordenadores personales y redes de área
loca
-Políticas de adquisición y utilización.
-Normativas y procedimientos de desarrollo y adquisición de Sw. De aplicaciones.
-Procedimiento de control de Sw. Contratado bajo licencia.
-Controles de acceso a redes, mediante palabras clave, a través de ordenadores -
personales.
-Revisiones periódicas del uso de los ordenadores personales.
-Políticas que contemplen la selección, adquisición e instalación de redes.
-Procedimientos de seguridad física y lógica.
-Departamento que realice la gestión y soporte técnico de la red.
-Controles para evitar modificar la configuración de una red.
-Inventario actualizado de todas las aplicaciones de la entidad.
-Implantar herramientas de gestión de la red con el fin de valorar su rendimiento,
aplicación y control.
-Políticas que obliguen a la desconexión de los equipos de las líneas de comunicación
cuando no se está haciendo uso de ellas.
-Adoptar los procedimientos de control y gestión adecuados para la integridad, privacidad,
confidencialidad y seguridad de la información contenida en las redes.
-Cuando exista conexión PC-Host, comprobar que opere bajo los controles necesarios para
evitar la carga/extracción de datos de forma no autorizada.
-Contratos de mantenimiento (preventivo y correctivo).
6. Según el lineamiento que establecen el contenido mínimo del plan estratégico de
gobierno electrónico explicar todo lo referente a ello
-Introducción: Es la sección inicial que establece el propósito y los objetivos de todo el
contenido del documento, el cual va seguido del desarrollo del tema.
-Marco Conceptual: Se refiere a los conceptos claves que deben precisarse para la
comprensión del tema.
 -El Gobierno Electrónico: Desarrollar el concepto de Gobierno Electrónico, sus fases de
desarrollo, tipos de Gobierno Electrónico, desde la perspectiva de su Ministerio, su
Organismo Público, su Región, su Gobierno Local o su Organismo Autónomo.
-La Sociedad de la Información: Desarrollar el concepto de Sociedad de la Información,
interpretar su grado de desarrollo desde la perspectiva de su Ministerio, su Organismo
Público, su Región, su Gobierno Local o su Organismo Autónomo.
-La Brecha Digital: diferencias que hay entre grupos según su capacidad para utilizar las TIC
de forma eficaz.
-La Resistencia al Cambio: ambiente dinámico de cambios cada vez más acelerado, que
exige de ellas y de su personal adaptaciones constantes.
7. Señalar las partes del plan estratégico:
-El Plan Estratégico: El Plan Estratégico es el documento en el que se refleja cual será la
estrategia a seguir por una entidad en el mediano plazo.
-El Marco Institucional: como está organizado el organismo autónomo para desarrollar el
plan estratégico
-El Marco Legal: normas que impulsen dicho concepto.
-El Estado de la situación actual y el diagnóstico: recoger y analizar datos para evaluar
problemas de diversa naturaleza
-La Misión: Lo que pretende cumplir en su entorno o sistema social en el que actúa
-La Visión: representación de lo que debe ser en el futuro la organización.
-El Objetivo General: Propósito definido en términos generales que parte de un
diagnóstico y expresa la situación que se desea alcanzar en términos de grandes
-Los Objetivos Específicos: Son los logros necesarios para alcanzar el Objetivo General.
-La Declaración de Principios: Son líneas directrices para lograr la implementación del
Gobierno Electrónico.
-El Análisis FODA: Es una herramienta que permite conformar un cuadro de la situación
actual de la organización.
-Los Factores Críticos de Éxito:
-Las Estrategias Claves
-Las Políticas Públicas relativas a las TIC: Son el conjunto de objetivos, decisiones y
acciones que se llevan a cabo para solucionar los problemas que se consideran prioritarios
-La Internet como medio para lograr el Gobierno Electrónico de la Entidad
-Definición de Metas: Son compromisos que en el marco del Gobierno Electrónico asumen
las distintas entidades para lograr su consecución en cierto tiempo.
-Recursos y Presupuesto: identificar las fuentes de financiamiento.
-Adopción de Estándares: Son las normas y protocolos internacionales que deben cumplir
los productos que se usan en un ambiente de Gobierno Electrónico
-Plan de Acción: es el instrumento gerencial de programación y control de la ejecución
temporal de las actividades y proyectos que deben llevar a cabo las dependencias
públicas.
-Seguimiento y Evaluación: El Plan Estratégico de Gobierno Electrónico debe especificar
cuáles van a ser los mecanismos para su seguimiento y evaluación
-Conclusiones: se deben enumerar las conclusiones, que sirvan en el futuro para la
actualización de la estrategia de Gobierno Electrónico.
ESTRUCTURA DEL INFORME
El Informe debe presentar la siguiente estructura:
I.- INTRODUCCIÓN: Comprenderá la información general concerniente a la acción de control y a la
entidad examinada, 1. Origen del examen
Estará referido a los antecedentes o razones que motivaron la realización de la acción de control,
2.- Naturaleza y Objetivos del examen: En este rubro se señalará la naturaleza o tipo de la acción
de control practicada
3.- Alcance del examen: Se indicará claramente la cobertura y profundidad del trabajo realizado
para el logro de los objetivos de la acción de control
4.- Antecedentes y base legal de la entidad: Se hará referencia, de manera breve y concisa, a los
aspectos de mayor relevancia que guarden vinculación directa con la acción de control realizada,
5.- Comunicación de hallazgos: Se indica el cumplimiento de la comunicaci0on oportuna de los
hallazgos efectuados por el personal
6.- Memorándum de Control Interno: Se indicará que durante la acción de control se ha emitido el
Memorándum de Control Interno,
7.- Otros aspectos de importancia: Podrá referirse bajo el presente rubro aquella información
verificada que la Comisión Auditora
II.- OBSERVACIONES
En esta parte del Informe, la Comisión Auditora desarrollará las observaciones que, como
consecuencia del trabajo de campo realizado. Con tal propósito, dicha presentación considerará
en su desarrollo expositivo los aspectos esenciales siguientes:
1. Sumilla: Es el título o encabezamiento que identifica el asunto materia de la observación.
2. Elementos de la observación (condición, criterio, efecto y causa): Son los atributos propios de
toda observación, teniendo en consideración lo siguiente:
a) Condición: es el hecho o situación deficiente detectada
b) Criterio: es la norma, disposición o parámetro de medición aplicable al hecho o situación
observada.
c) Efecto: es la consecuencia real o potencial, cuantitativa o cualitativa, ocasionada por el hecho o
situación observada
d) Causa: es la razón o motivo que dio lugar al hecho o situación observada,
3. Comentarios y/o aclaraciones del personal comprendido en las observaciones
Son las respuestas brindadas a la comunicación de los hallazgos respectivos,
4. Evaluación de los comentarios y/o aclaraciones presentados
Es el resultado del análisis realizado por la Comisión Auditora sobre los comentarios y/o
aclaraciones y documentación presentada por el personal comprendido en la observación,
III.- CONCLUSIONES: En este rubro la Comisión Auditora deberá expresar las conclusiones del
Informe de la acción de control
IV.- RECOMENDACIONES: Las recomendaciones se formularán con orientación constructiva para
propiciar el mejoramiento de la gestión de la entidad
V.- ANEXOS: Aquella documentación indispensable que contenga importante información
complementaria o ampliatoria de los datos contenidos en el Informe
FIRMA: El Informe, una vez efectuado el control de calidad correspondiente previo a su
aprobación, deberá ser firmado por el Jefe de Comisión, el Supervisor y el nivel gerencial
competente de la
**… estos controles tratan de conocer cuanto antes el evento, módulo o información
sujeto al ataque
Controles detectives
**… aseguran que las modificaciones de los procedimientos programados están
adecuadamente diseñadas, probadas, aprobadas e implantadas
Objetivos de control de mantenimiento
**Que elemento no es válido para implantar un sistema de control interno informático
Encuesta
**CII y AI verifican y determinan el cumplimiento y validez de los siguientes controles
internos. Señale cual corresponde
Controles de venta de sistemas de información
**“realizado por la alta dirección, definen procesos corporativos y se considera TIC así
como las amenazas y oportunidades de su uso o de sus ausencias”. Esta definición
corresponde a:
Plan estratégico de la información
**Cuál de los controles contempla POLITICAS DE PERSONAL – selección, plan de
formación, plan de vacaciones y evaluación y promoción.
Controles generales organizativos
**Designar oficialmente la figura de CII y de AI. Corresponde a los…
Controles generales organizativos
**Cuál de las alternativas NO corresponde a los controles de metodología
Procedimientos para realizar un seguimiento y control de los cambios de un sistema de
información
**Según la resolución de contraloría N°259-2000-CG, ítem NAGU 3.60 comunicación de
hallazgos dice: (3. Los hallazgos a ser comunicados revelaran necesariamente la situación o
hecho detectado), (2. La norma, disposición o parámetro de medición transgredido), (3. El
resultado adverso o riesgo potencial identificado), (4. Así como la razón que motivo el
hecho o incumplimiento establecido). Determine cuál es la correlación correcha
1. condición 2.criterio 3.efecto 4.causa
**La norma general para el componente de información y comunicación, está contenida
por las siguientes alternativas, señale cual no corresponde a dicho título:
Estructura organizacional.
**A qué tipo de control interno pertenecen los siguientes controles.
• Control de entrada de datos: procedimientos de conversión y de entrada, validación, y
corrección de datos.
• Controles de tratamientos de datos: asegurando que no se den de alta, modifiquen o
borren datos que no están autorizados.
• Controles de salidas de datos: procedimientos de distribución de salidas, de gestión de
errores en las salidas.
Rpta. Controles en aplicaciones
**Señale cuál de las DISPOSICIONES ESPECÍFICAS no corresponden a las normas técnicas para el
almacenamiento y respaldo de la información procesada por las entidades de administración
pública – RESOLUCIÓN JEFATURAL N° 386.2002 INEI
Rpta. De la seguridad lógica
**Qué entidad nacional propone como actividad permanente la formulación y resolución del plan
operativo informático
Rpta. La oficina nacional de gobierno informático y electrónico
**No es un PROCESO PRINCIPAL DEL CICLO DE VIDA descrito en la norma técnica peruana “NTP-
ISO-IEC-17799-2007 Tecnología de la información. Procesos del ciclo de vida del software. 1°
edición en entidades de sistema nacional de informática – RESOLUCION MINISTERIAL N° 179 –
2004 - PCM”. Señálelo
Rpta. Documentación
**No es un PROCESO ORGANIZATIVO DEL CICLO DE VIDA descrito en la norma técnica peruana
“NTP-ISO-IEC-17799-2007 Tecnología de la información. Procesos del ciclo de vida del software. 1°
edición en entidades de sistema nacional de informática – RESOLUCION MINISTERIAL N° 179 –
2004 - PCM”. Señálelo
Rpta. Auditoria
**Uno de los principios del auditor dice: “respetar su labor y eludir hacer comentarios que pueden
interpretarse como despreciativos o de diagnóstico de su calificación profesional”. Cual es:
Rpta. Principio de no injerencias
**En cumplimiento de este principio deberá procurar evitar decisiones innecesarias en la
realización de la auditoria. Estas dilaciones permitirán al auditado reducir los plazos de actuación
tendentes a solventar los problemas detectados o a la adecuación a los nuevos métodos
propuestos aportando un determinado valor añadido al trabajo del auditor.
Rpta. Principio de economía
**Según la RESOLUCIÓN DE CONTRALORIA N° 320 – 2005 – CG; aprueban normas de control
interno la organización del sistema de control interno, está dado por cinco componentes; señale
de las cuatro menciones cual es el incorrecto.
Rpta. Roles y responsabilidades
**Cuál de las alternativas no corresponde a contratos complejos; señalar
Rpta. Contrato de auditoria
**En qué punto esencial, genérico y mínimo de informe dice: “Dentro del contrato o en la carta
propuesta del auditor informático se define quien o quienes pueden hacer uso del informe así
como los usos concretos que tendrá”:
Rpta. Distribución del informe

**Según el anexo N° 01 esquema de presentación del plan operativo de información año 2010 o
2011 señale sus partes
 • Misión de la dirección o gerencia informática
• Visión de la dirección o gerencia informática o sistemas
• Situación actual de la dirección o gerencia informática o sistemas
• Alineamiento con el plan estratégico institucional y sectorial
• Estrategias para el logro de las metas del plan operativo informático
• Programación de actividades y/o proyectos informáticos
**Describe todo sobre controles generales organizativos.
- Políticas.- sirven de base para la planificación, control y evaluación por la dirección de
las actividades del Departamento de Informática.
- Planificación:
e.) Plan estratégico de información.- realizado por la alta dirección, definen procesos
corporativos y se considera TIC
f.) Plan Informático.- realizado por el Dep. Informática, define como cubrir las
necesidades de la empresa
g.) Plan general de seguridad: garantiza la confidencialidad, integridad y
disponibilidad de la información.
h.) Plan de emergencia ante desastres.- garantiza la disponibilidad de eventos ante
desastres.
- Estándares.- regulen la adquisición de recursos, el diseño, desarrollo y modificación y
explotación de sistemas.
- Procedimientos.- describan la forma y las responsabilidades de ejecutoria para regular
las relaciones entre el Dep. de Informática y los Deptos. Usuarios.
- Políticas de personal.- selección, plan de formación, plan de vacaciones y evaluación y
promoción.
- Asegurar que la Dirección revise todos los informes de control y resuelva todas las
observaciones.
- Asegurar que exista una política de clasificación de la información para saber dentro
de la Organización que personas están autorizadas y a qué tipo de información.
- Designar oficialmente la figura de CII y de AI.
**Describe todo sobre controles en aplicación
Cada aplicación debe llevar controles incorporados para garantizar la entrada,
actualización, validez y mantenimiento completos y exactos de los datos. Lo más
importante en estos controles consideramos:
- Control de entrada de datos: procedimientos de conversión y de entrada, validación y
corrección de datos.
- Controles de tratamiento de datos, asegurando que no se den de alta, modifiquen o
borren datos no autorizados.
- Controles de salida de datos: procedimientos de distribución de salidas, de gestión de
errores en las salidas.
**Cuál es la diferencia entre los proceso principales del ciclo de vida, los procesos de apoyo al
ciclo de vida, y los procesos organizativos, según 179-2004 PCM
*Proceso principales del ciclo de vida:
- Dan servicio a las partes principales durante el ciclo de vida del software
- Son 5 procesos principales (adquisición, suministro, desarrollo, operación,
mantenimiento)
*Procesos de apoyo al ciclo de vida:
- Apoya a otro proceso como parte esencial del mismo
- Son 8 procesos de apoyo (documentación, gestión de configuración, aseguramiento de
calidad, verificación, validación, revisión, auditoria, solución de problemas)
- Se emplea y ejecuta por otro proceso según sus necesidades
 *Procesos organizativos:
- Son usados fuera del ámbito de proyectos y contratos específicos
- Son 4 procesos organizativos (gestión, infraestructura, mejora, recursos humanos)
- Se emplea por una organización para establecer e implementar una infraestructura constituida
por procesos y personal asociado al ciclo de vida.
**Hacer la descripción sobre los controles sobre ordenadores personales y redes de área loca
-Políticas de adquisición y utilización.
-Normativas y procedimientos de desarrollo y adquisición de Sw. De aplicaciones.
-Procedimiento de control de Sw. Contratado bajo licencia.
-Controles de acceso a redes, mediante palabras clave, a través de ordenadores -
personales.
-Revisiones periódicas del uso de los ordenadores personales.
-Políticas que contemplen la selección, adquisición e instalación de redes.
-Procedimientos de seguridad física y lógica.
-Departamento que realice la gestión y soporte técnico de la red.
-Controles para evitar modificar la configuración de una red.
-Inventario actualizado de todas las aplicaciones de la entidad.
-Implantar herramientas de gestión de la red con el fin de valorar su rendimiento,
aplicación y control.
-Políticas que obliguen a la desconexión de los equipos de las líneas de comunicación
cuando no se está haciendo uso de ellas.
-Adoptar los procedimientos de control y gestión adecuados para la integridad, privacidad,
confidencialidad y seguridad de la información contenida en las redes.
-Cuando exista conexión PC-Host, comprobar que opere bajo los controles necesarios para
evitar la carga/extracción de datos de forma no autorizada.
-Contratos de mantenimiento (preventivo y correctivo).
**Según el lineamiento que establecen el contenido mínimo del plan estratégico de gobierno
electrónico explicar todo lo referente a ello
-Introducción: Es la sección inicial que establece el propósito y los objetivos de todo el
contenido del documento, el cual va seguido del desarrollo del tema.
-Marco Conceptual: Se refiere a los conceptos claves que deben precisarse para la
comprensión del tema.
-El Gobierno Electrónico: Desarrollar el concepto de Gobierno Electrónico, sus fases de
desarrollo, tipos de Gobierno Electrónico, desde la perspectiva de su Ministerio, su
Organismo Público, su Región, su Gobierno Local o su Organismo Autónomo.
-La Sociedad de la Información: Desarrollar el concepto de Sociedad de la Información,
interpretar su grado de desarrollo desde la perspectiva de su Ministerio, su Organismo
Público, su Región, su Gobierno Local o su Organismo Autónomo.
-La Brecha Digital: diferencias que hay entre grupos según su capacidad para utilizar las TIC
de forma eficaz.
-La Resistencia al Cambio: ambiente dinámico de cambios cada vez más acelerado, que
exige de ellas y de su personal adaptaciones constantes.
**Señalar las partes del plan estratégico:
-El Plan Estratégico: El Plan Estratégico es el documento en el que se refleja cual será la
estrategia a seguir por una entidad en el mediano plazo.
-El Marco Institucional: como está organizado el organismo autónomo para desarrollar el
plan estratégico
-El Marco Legal: normas que impulsen dicho concepto.
-El Estado de la situación actual y el diagnóstico: recoger y analizar datos para evaluar
problemas de diversa naturaleza
-La Misión: Lo que pretende cumplir en su entorno o sistema social en el que actúa
-La Visión: representación de lo que debe ser en el futuro la organización.
-El Objetivo General: Propósito definido en términos generales que parte de un
diagnóstico y expresa la situación que se desea alcanzar en términos de grandes
-Los Objetivos Específicos: Son los logros necesarios para alcanzar el Objetivo General.
-La Declaración de Principios: Son líneas directrices para lograr la implementación del
Gobierno Electrónico.
-El Análisis FODA: Es una herramienta que permite conformar un cuadro de la situación
actual de la organización.
-Los Factores Críticos de Éxito:
-Las Estrategias Claves
-Las Políticas Públicas relativas a las TIC: Son el conjunto de objetivos, decisiones y
acciones que se llevan a cabo para solucionar los problemas que se consideran prioritarios
-La Internet como medio para lograr el Gobierno Electrónico de la Entidad
-Definición de Metas: Son compromisos que en el marco del Gobierno Electrónico asumen
las distintas entidades para lograr su consecución en cierto tiempo.
-Recursos y Presupuesto: identificar las fuentes de financiamiento.
-Adopción de Estándares: Son las normas y protocolos internacionales que deben cumplir
los productos que se usan en un ambiente de Gobierno Electrónico
-Plan de Acción: es el instrumento gerencial de programación y control de la ejecución
temporal de las actividades y proyectos que deben llevar a cabo las dependencias
públicas.
-Seguimiento y Evaluación: El Plan Estratégico de Gobierno Electrónico debe especificar
cuáles van a ser los mecanismos para su seguimiento y evaluación
-Conclusiones: se deben enumerar las conclusiones, que sirvan en el futuro para la
actualización de la estrategia de Gobierno Electrónico.
**ESTRUCTURA DEL INFORME
El Informe debe presentar la siguiente estructura:
I.- INTRODUCCIÓN: Comprenderá la información general concerniente a la acción de control y a la
entidad examinada, 1. Origen del examen
Estará referido a los antecedentes o razones que motivaron la realización de la acción de control,
2.- Naturaleza y Objetivos del examen: En este rubro se señalará la naturaleza o tipo de la acción
de control practicada
3.- Alcance del examen: Se indicará claramente la cobertura y profundidad del trabajo realizado
para el logro de los objetivos de la acción de control
4.- Antecedentes y base legal de la entidad: Se hará referencia, de manera breve y concisa, a los
aspectos de mayor relevancia que guarden vinculación directa con la acción de control realizada,
5.- Comunicación de hallazgos: Se indica el cumplimiento de la comunicaci0on oportuna de los
hallazgos efectuados por el personal
6.- Memorándum de Control Interno: Se indicará que durante la acción de control se ha emitido el
Memorándum de Control Interno,
7.- Otros aspectos de importancia: Podrá referirse bajo el presente rubro aquella información
verificada que la Comisión Auditora
II.- OBSERVACIONES
En esta parte del Informe, la Comisión Auditora desarrollará las observaciones que, como
consecuencia del trabajo de campo realizado. Con tal propósito, dicha presentación considerará
en su desarrollo expositivo los aspectos esenciales siguientes:
1. Sumilla: Es el título o encabezamiento que identifica el asunto materia de la observación.
2. Elementos de la observación (condición, criterio, efecto y causa): Son los atributos propios de
toda observación, teniendo en consideración lo siguiente:
a) Condición: es el hecho o situación deficiente detectada
b) Criterio: es la norma, disposición o parámetro de medición aplicable al hecho o situación
observada.
c) Efecto: es la consecuencia real o potencial, cuantitativa o cualitativa, ocasionada por el hecho o
situación observada
d) Causa: es la razón o motivo que dio lugar al hecho o situación observada,
3. Comentarios y/o aclaraciones del personal comprendido en las observaciones
Son las respuestas brindadas a la comunicación de los hallazgos respectivos,
4. Evaluación de los comentarios y/o aclaraciones presentados
Es el resultado del análisis realizado por la Comisión Auditora sobre los comentarios y/o
aclaraciones y documentación presentada por el personal comprendido en la observación,
III.- CONCLUSIONES: En este rubro la Comisión Auditora deberá expresar las conclusiones del
Informe de la acción de control
IV.- RECOMENDACIONES: Las recomendaciones se formularán con orientación constructiva para
propiciar el mejoramiento de la gestión de la entidad
V.- ANEXOS: Aquella documentación indispensable que contenga importante información
complementaria o ampliatoria de los datos contenidos en el Informe
FIRMA: El Informe, una vez efectuado el control de calidad correspondiente previo a su
aprobación, deberá ser firmado por el Jefe de Comisión, el Supervisor y el nivel gerencial
competente de la