Post on 21-Sep-2015
description
Pregunta
Reespuesta adecuada
I
Despus de la investigacin inicial, un auditor de SI
tiene motivos para creer que puede estar en presencia
de fraude. El auditor de SI debe:
Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna
accin adicional o si se debe recomendar una investigacin. El auditor de SI debe notificar a las autoridades apropiadas dentro de la
organizacin solamente si ha determinado que los indicadores de fraude son suficientes para recomendar una investigacin. Normalmente,
el auditor de SI no tiene autoridad para consultar con un asesor legal externo.
I
La ventaja PRIMARIA de un enfoque continuo de
auditora es que:
El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema cuando se usa en entornos
que comparten el tiempo que procesan un gran nmero de transacciones, pero dejan muy pocas pistas de papel. La opcin
A es incorrecta ya que el enfoque de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la
confiabilidad del sistema mientras est llevando a cabo el procesamiento. La opcin B es incorrecta ya que un auditor de SI
normalmente revisara y dara seguimiento slo a las deficiencias materiales o errores detectados. La opcin D es incorrecta
ya que el uso de tcnicas de auditora continua depende efectivamente de la complejidad de los sistemas de computadora de una organizacin.
I
Cul de las opciones siguientes es la tcnica de
auditora MS efectiva para identificar
violaciones a la segregacin de funciones en
una nueva implementacin de un sistema de
planificacin de recursos de empresa (ERP)?
Debido a que el objetivo es identificar violaciones a la segregacin de funciones, es necesario definir la lgica que
identificar los conflictos en la autorizacin. Se podra desarrollar un programa para identificar estos conflictos. Un informe de
derechos de seguridad en el sistema de planificacin de los recursos de la empresa (ERP) sera voluminoso y requerira mucho tiempo
para su revisin; por lo tanto, esta tcnica no es tan efectiva como la creacin de un programa. A medida que las complejidades aumentan, se
vuelve ms difcil verificar la efectividad de los sistemas, y la complejidad no est vinculada por s sola a la segregacin de funciones. Es
buena prctica revisar los casos recientes de violacin de derechos; sin embargo, pudiera requerir una cantidad de tiempo
significativa el verdaderamente identificar cules violaciones resultaron realmente de una segregacin inapropiada de funciones.
I
El estatuto de auditora de SI de una organizacin
debera especificar:
El estatuto de auditora de SI establece el rol de la funcin de auditora de sistemas de informacin. El estatuto debera
describir la autoridad general, el alcance y las responsabilidades de la funcin de auditora. Debera ser aprobado por el ms alto
nivel de gestin y, de estar disponible, por el comit de auditora. La planificacin de corto y largo plazo es responsabilidad de
la gestin de auditora. Los objetivos y el alcance de cada auditora de SI deberan acordarse en una carta de compromiso. La gestin de
auditora debera desarrollar un plan de entrenamiento, basado en el plan de auditora.
I
Un auditor de SI est realizando una auditora a un
servidor de copias de respaldo administrado desde
una ubicacin remota. El auditor de SI revisa los
logs de un da y descubre un caso en el cual el
inicio de sesin en un servidor fall con el
resultado de que no se pudo confirmar los reinicios
de la copia de respaldo. Qu debera hacer el
auditor?
Los estndares de auditora requieren que un auditor de SI recopile evidencia de auditora suficiente y apropiada. El auditor descubri un
problema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemtica de control. En este punto es
demasiado pronto para emitir un hallazgo de auditora; la accin de solicitar una explicacin a la gerencia es aconsejable, pero sera
mejor recopilar evidencia adicional para evaluar apropiadamente la seriedad de la situacin. Una falla de respaldo, que no se ha
establecido en este punto, es seria si involucra datos crticos. Sin embargo, el asunto no es la importancia de los datos presentes en el
servidor donde se detect un problema, sino la posibilidad de que exista una falla sistemtica de control que tenga un impacto en otros
servidores.
I
Un Contrato de auditora debera:
Un contrato de auditora debera establecer los objetivos de la gerencia para, y la delegacin de autoridad a la auditora
de SI. Este contrato no debera cambiar de manera significativa con l tiempo y debera ser aprobado al nivel ms alto de la gerencia. El
contrato de auditora no estara a un nivel de detalle y por lo tanto no incluira objetivos o procedimientos especficos de auditora.
I
Un auditor de SI revisa un organigrama
PRIMARIAMENTE para:
Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organizacin. Esto ayuda al auditor de SI a
saber si hay una segregacin apropiada de funciones. Un diagrama de flujo de trabajo proporcionara informacin sobre las funciones de
diferentes empleados. Un diagrama de red proveer informacin sobre el uso de diversos canales de comunicacin e indicar la conexin de
los usuarios a la red.
I
En una auditora de SI de varios servidores crticos, el
auditor quiere analizar las pistas de auditora para
descubrir potenciales anomalas en el
comportamiento de usuarios o del sistema. Cul de
las herramientas siguientes es la MS adecuada para
realizar esa tarea?
Las herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios o del sistema, por
ejemplo, determinando para los documentos prenumerados si los nmeros son secuenciales o incrementales. Las herramientas CASE se
usan para asistir en el desarrollo de software. El software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para
proveer estadsticas de produccin. Las herramientas heursticas de escaneo se pueden usar para escanear en busca de virus para indicar
cdigos posiblemente infectados.
I
Un auditor de SI emite un reporte de auditora sealando la falta de funciones de proteccin de firewall en
el gateway perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI
no ha ejercido:
Cuando un auditor de SI recomienda un vendedor especfico,
ellos comprometen la independencia profesional. La independencia
organizacional no tiene relevancia con respecto al contenido de un
reporte de auditora y debe ser considerado en el momento de aceptar
el compromiso. La competencia tcnica y profesional no es relevante
para el requisito de independencia.
I
Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara:
Un control de revisin de aplicaciones implica la evaluacin de los
controles automatizados de la aplicacin y una evaluacin de
cualesquiera exposiciones resultantes de las debilidades del
control. Las otras opciones pueden ser objetivos de una
auditora de aplicacin pero no forman parte de una auditora
restringida a una revisin de controles.
I
Mientras se planifica una auditora, se debe hacer una evaluacin del riesgo para proveer:
El Lineamiento de Auditora de SI G15 de ISACA sobre planificar
los estados de auditora de SI, "Se debe hacer una evaluacin
del riesgo para proveer aseguramiento razonable de que los puntos
materiales sern cubiertos de manera adecuada durante el trabajo de
auditora. Esta evaluacin debe identificar las reas con una riesgo
relativamente elevado de la existencia de problemas materiales."
El aseguramiento definido de que los puntos materiales estarn
cubiertos durante el trabajo de auditora es una proposicin imprctica.
El aseguramiento razonable de que todos los puntos sern cubiertos
durante el trabajo de auditora no es la respuesta correcta, ya que los
puntos materiales necesitan ser cubiertos, no todos los puntos.
I
Un auditor de SI debe usar muestreo estadstico, y no muestreo de opiniones (no estadstico) cuando:
Dada una tasa esperada de error y nivel de confianza, el muestreo
estadstico es un mtodo objetivo de muestreo, que ayuda a un auditor
de SI a determinar el tamao de la muestra y a cuantificar la
probabilidad de error (coeficiente de confianza). La opcin B es
incorrecta aporque el riesgo de muestreo es el riesgo de que una
muestra no sea representativa de la poblacin. Este riesgo existe tanto
para las muestras de opinin como para las estadsticas. La opcin C es
incorrecta porque el muestreo estadstico no requiere el uso de
software generalizado de auditora. La opcin D es incorrecta porque
la tasa tolerable de errores debe ser predeterminada tanto para el
muestreo de opinin como para el estadstico.
I
Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos
importados estn completos se lleva a cabo:
Comparar los totales de control de los datos importados con los
totales de control de los datos originales es el siguiente paso lgico, ya
que esto confirma la integridad de los datos importados. No es posible
confirmar la totalidad (completeness) clasificando los datos importados,
porque los datos originales pueden no estar en el orden de clasificacin.
Adems la clasificacin no provee totales de control para verificar la
totalidad (completeness). Revisar una impresin de
100 registros de datos originales con 100 registros de datos
importados es un proceso de verificacin fsica y confirma la
correccin de estos registros solamente. Filtrar datos para
diferentes categoras y compararlos con los datos originales
an requerira que se desarrollen los totales de control para
confirmar la totalidad de los datos.
I
Mientras lleva a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el paso siguiente del
auditor de SI?
La primera cosa que un auditor de SI debe hacer despus de detectar
el virus es alertar a la organizacin sobre su presencia, luego
esperar su respuesta. La opcin A debe ser emprendida despus de la
opcin C. Esto permitir al auditor de SI examinar el funcionamiento
real y la eficacia del sistema de respuesta. Un auditor de SI no debe hacer
cambios al sistema que est auditando; asegurar la eliminacin del virus
es la responsabilidad de la gerencia.
I
Durante la recoleccin de evidencia forense, cul de las acciones siguientes tiene MS posibilidades de causar la
destruccin o corrupcin de evidencia en un sistema comprometido?
Reiniciar el sistema puede causar un cambio en el estado del sistema y
la prdida de archivos y evidencia importante almacenados en la
memoria. Las otras opciones son acciones apropiadas para preservar la
evidencia.
I
Cul de las opciones siguientes es el beneficio clave de la autoevaluacin de control (CSA)?
El objetivo de la autoevaluacin de control es inducir a la
gerencia del negocio a estar ms consciente de la importancia
del control interno y de su responsabilidad en trminos del
gobierno corporativo. La reduccin de los gastos de auditora
no es un beneficio clave de la autoevaluacin de control
(CSA). Una mejor deteccin de fraude es importante, pero no
tanto como la propiedad, y no es un objetivo principal de la
CSA. La CSA puede ofrecer informacin ms detallada a los
auditores internos, permitiendo que asuman un rol ms
consultivo; sin embargo, este es un beneficio adicional, no el
I
Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?
La evidencia obtenida de fuentes externas es por lo general
ms confiable que la obtenida desde dentro de la
organizacin. Las cartas de confirmacin recibidas desde el exterior,
como por ejemplo las usadas para verificar los balances de cuentas por
cobrar, son por lo general altamente confiables. La prueba realizada
por un auditor no puede ser confiable si el auditor no tenia un buen
I
Los diagramas de flujo de datos son usados por los
Auditores de SI para:
Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su
origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningn orden jerrquico.
El flujo de los datos no coincidir necesariamente con ningn orden jerrquico o de generacin de datos.
I
En una auditora de una aplicacin de
inventario,qu enfoque proveera la MEJOR
evidencia de que las rdenes de compra son
vlidas?
Para determinar la validez de una orden de compra, probar los controles de acceso proveer la mejor evidencia. Las opciones B y C se basan en
enfoques posteriores a los hechos, mientras que la opcin D no sirve el propsito porque lo que est en la documentacin de sistema puede no ser lo
mismo que lo que est ocurriendo.
I
Cul de los siguientes mtodos de muestreo es el
MS til cuando se pone a prueba su
cumplimiento?
El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que
se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una poblacin y se usa en la comprobacin de
cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobacin de detalles
o cantidad.
I
Qu tcnica de auditora provee la MEJOR
evidencia de la segregacin de funciones en un
departamento de SI?
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando operaciones no compatibles y entrevistando el personal de SI el
auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no
puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada
respecto a la segregacin de funciones. Un organigrama no proveera detalles de las funciones de los empleados y la prueba de los derechos de usuario proveera
informacin sobre los derechos que ellos tienen dentro de los sistemas de SI, pero no
proveera informacin completa sobre las funciones que ellos desempean.
I
Las decisiones y las acciones de un auditor es
MS probable que afecten a cul de los riesgos
siguientes?
Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditora. Los riesgos inherentes por
lo general no estn afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compaa.
Los riesgos financieros no estn afectados por el auditor de SI.
I
Una accin correctiva ha sido tomada por un
auditado inmediatamente despus de la
identificacin de un hallazgo que debera ser
reportado. El auditor debe:
Incluir el hallazgo en el reporte final es una prctica de auditora generalmente aceptada. Si se emprende una accin despus de que comenz la auditora y
antes de que terminara, el reporte de auditora debe identificar el hallazgo y describir la accin correctiva tomada. Un reporte de auditora debe
reflejar la situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el auditado deben ser reportadas por
escrito.
I
Durante una auditora de control de cambios
de un sistema en produccin, un auditor de
SI descubre que el proceso de administracin
de cambios no est documentado formalmente
y que algunos procedimientos de migracin
fallaron. Qu debera hacer el auditor de
SI a continuacin?
Un proceso de gestin de cambios es crtico para los sistemas de produccin de TI.Antes de recomendar que la organizacin tome alguna otra accin
(por ejemplo, interrumpir las migraciones, redisear el proceso de gestin de cambios), el auditor de SI debera obtener garanta de que los incidentes
reportados se relacionan con deficiencias en el proceso de gestin de cambios y que no fueron causados por algn proceso diferente a la gestin de cambios.
I
Cul de las siguientes opciones sera normalmente
la evidencia MS confiable para un auditor?
La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B, C y D no serian consideradas confiables.
I
El propsito PRIMARIO de una auditora forense
de TI es:
La opcin B describe una auditora forense. La evidencia recolectada podra utilizarse posteriormente en procesos judiciales. Las auditoras forenses
no se limitan a fraude corporativo. Evaluar la exactitus de los estados financieros de una organizacin no es el propsito de una auditora
forense. Llegar a la conclusin de que se registr un delito sera parte de un proceso legal y no el objetivo de una auditora forense.
I
Un auditor de SI est evaluando una red corporativa en busca de una
posible penetracin por parte de empleados internos. Cul de los
hallazgos siguientes debera preocupar MS al auditor de SI?
El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos y expone los
recursos de la red a la explotacin
(maliciosa). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos IDs de
usuario tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un riesgo de seguridad,
pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de usuario. Mientras que el impacto
de los usuarios que instalan software en sus computadoras puede ser elevado puede ser elevado, (por ejemplo,
debido a la instalacin de Caballos de Troya o programas de key-logging), la probabilidad no es elevada debido al nivel de
conocimientos tcnicos que se requiere para penetrar exitosamente a la red. A pesar que el monitoreo de red puede ser un
control de deteccin til, slo detectar el abuso de cuentas de usuario en circunstancias especiales y por lo tanto no es una
primera lnea de defensa.
I
Un auditor de SI que particip en el diseo del plan de continuidad del negocio
(BCP) de una empresa, ha sido asignado para auditar el plan. El auditor de SI
debera:
Comunicar la posibilidad de conflicto de inters a la gerencia antes de comenzar la asignacin es la respuesta
correcta. Se debera comunicar un posible conflicto de inters, que pudiera afectar la independencia del auditor, a la
gerencia antes de comenzar la asignacin. Rechazar la asignacin no es la respuesta correcta, porque se podra aceptar la
asignacin despus de obtener la aprobacin de la gerencia. Informar a la gerencia sobre el posible conflicto de inters
despus de completar la asignacin de auditora no es la respuesta correcta, porque se debera obtener la
aprobacin antes y no despus de completar la asignacin. Informar al equipo de planificacin de continuidad del
negocio (BCP) sobre el posible conflicto de inters antes de iniciar la asignacin no es la respuesta correcta, porque el equipo
de BCP no tiene la autoridad para decidir sobre este asunto.
I
Mientras revisaba los papeles de trabajo electrnico sensitivos, el auditor
de SI not que los mismos no estaban encriptados. Esto podra
comprometer:
La encripcin prueba la confidencialidad de los papeles de trabajo electrnicos. Las pistas de auditora, las aprobaciones de la
etapa de auditora y el acceso a los papeles de trabajo, por s mismos, no afectan la confidencialidad sino que forman parte del
motivo para requerir la encripcin.
I
La razn PRIMARIA por la que un auditor de SI realiza un recorrido funcional
durante la fase preliminar de una asignacin de auditora es:
Entender el proceso de negocio es el primer paso que un auditor de SI necesita realizar. Las normas no requieren que un
auditor de SI efecte un recorrido de proceso. Identificar las debilidades de control no es la razn primaria para el recorrido y
tpicamente ocurre en una etapa posterior en la auditora. Planear pruebas sustantivas se realiza en una etapa posterior de la
auditora.
I
Al planear una auditora, el paso MS crtico es la identificacin de:
Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para determinar
las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haberse considerado antes de
decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar las
reas de riesgo, y el tiempo asignado para una auditora est determinado por las reas a ser auditadas, las
cuales son primariamente seleccionadas con base en la identificacin de los riesgos.
I
Cul de los siguientes es una ventaja de una prueba integrada (ITF)?
Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente
con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos separados de prueba. Sin
embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin.
I
Un auditor de SI evala los resultados de prueba de una modificacin a un sistema
que trata con cmputo de pagos. El auditor encuentra que el 50% de los clculos
no coinciden con los totales predeterminados. Cul de los siguientes es MS
probable que sea el siguiente paso en la auditora?
El auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar los resultados.
Despus de que los clculos hayan sido confirmados, ms pruebas pueden ser llevadas a cabo y revisadas. La
preparacin de reportes, hallazgos y recomendaciones no se hara hasta que todos los resultados fueran confirmados.
I
Durante una entrevista final, en los casos en que hay desacuerdo con respecto al
impacto de un hallazgo, un auditor de SI debe:
Si el auditado esta en desacuerdo en cuanto al impacto de un hallazgo, es importante que el auditor de SI elabor, clarifique y
de a conocer los riesgos que el auditado no ha valorado y la magnitud de su exposicin. El objetivo deberia ser mostrar al
auditado o descubrir nueva informacin que el auditor de SI no haya contemplado. Cualquier cosa que parezca
una amenaza para el auditado reducir la efectividad de la comunicacin y establece una relacin
controvetida. Por el mismo punto, un auditor de SI no deberia ponerse de acuerdo automticamente con el
auditado cuando exprese su punto de vista diferente.
I
La decisin final de incluir un hallazgo material en un informe de auditora debe ser
tomada por el:
El auditor de SI debe tomar la decisin final respecto a qu incluir o excluir del informe de auditora. Las otras
opciones limitaran la independencia del auditor.
I
A pesar de que la gerencia ha dicho otra cosa, un auditor de SI tiene motivos para creer que la
organizacin est usando software que no tiene licencia. En esta situacin, el auditor de SI debe:
Cuando hay una indicacin de que una organizacin podra estar usando software sin licencia, el auditor
de SI debe obtener evidencias suficientes antes de incluirlo en el informe. Con respecto a este asunto,
las manifestaciones obtenidas de la gerencia no pueden ser verificadas de manera independiente. Si la
organizacin est usando software que no tiene licencia, el auditor, para mantener objetividad e independencia,
debe incluir esto en el informe.
I
Cul de las siguientes tcnicas de auditora en lnea es MS efectiva para la deteccin temprana de
errores o irregularidades?
La tcnica de gancho de auditora implica integrar el cdigo en los sistemas de aplicacin para el examen de
las transacciones seleccionadas. Esto ayuda a un auditor de SI a actuar antes de que un error o una
irregularidad se salgan de control. Un mdulo integrado de auditora implica integrar software
escrito especialmente en el sistema anfitrin de aplicacin de la organizacinl de modo que los sistemas de
aplicacin sean monitoreados de manera selectiva. Una prueba integrada se usa cuando no es prctico usar
datos de prueba, y las instantneas o snapshots se usan cuando se requiere una pista de auditora.
I
El vicepresidente de recursos humanos ha solicitado una auditora para identificar los
sobrepagos de planilla/nmina para el ao anterior.
Cul sera la MEJOR tcnica de auditora para usar en esta situacin?
Las caractersticas del software generalizado de auditora incluyen cmputos matemticos,
estratificacin, anlisis estadstico, verificacin de secuencia, verificacin de duplicados y reclculos.
El auditor de SI, usando software generalizado de auditora, podra disear pruebas apropiadas
para recalcular la planilla/nmina y, de ese modo, determinar si hubo sobrepagos, y a quines
fueron efectuados. Los datos de prueba probaran si existen controles que pudieran impedir los
sobrepagos, pero no detectaran los errores de clculo especficos anteriores. Ni una prueba
integrada ni un mdulo integrado de auditora detectaran errores para un perodo anterior.
I
El xito de la autoevaluacin de control (CSA) depende grandemente de:
El objetivo primario de un programa de autoevaluacin de control (CSA) es apalancar la
funcin de auditora interna cambiando algunas de las responsabilidad de monitoreo de control
a los gerentes de lnea de rea funcional. El xito de un programa de CSA depende del grado al que los
gerentes de lnea asumen responsabilidad de los controles. Las opciones B, C y D son caractersticas de un
enfoque tradicional de auditora, no un enfoque de CSA.
I
Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?
El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea
empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido
por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de
anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa
con que el personal de auditora cumpla con los cronogramas en una auditora en particular, ni quiere decir
necesariamente que una variedad ms amplia de auditoras se llevar a cabo en un ao dado.
I
Durante la etapa de planificacin de una auditora de SI, la meta PRIMARIA de un auditor de SI es:
Las normas de auditora de ISACA requieren que un auditor de SI planee el trabajo de auditora
para resolver los objetivos de auditora. La opcin B es incorrecta porque el auditor no recoge
evidencia en la etapa de planificacin de una auditora. Las opciones C y D son incorrectas porque no son
las metas primarias de la planificacin de auditora. Las actividades descritas en las opciones B, C y D son
todas emprendidas para resolver los objetivos de auditora y, de ese modo, son secundarias a la opcin A.
I
Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de
controles (control self-assessment-CSA), es que ella:
La CSA se predica sobre la revisin de las reas de alto riesgo que o bien necesitan atencin inmediata o una
revisin ms exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la
participacin de tanto los auditores como la gerencia de lnea. Lo que ocurre es que la funcin de
auditora interna pasa algunas de las responsabilidades de monitoreo de control a las reas funcionales. La
respuesta C es incorrecta porque la CSA no es un reemplazo de las auditoras tradicionales. La CSA no
pretende reemplazar las responsabilidades de la auditora, sino aumentarlas. La respuesta D es incorrecta
porque la CSA no permite que la gerencia delegue su responsabilidad de controlar.
I
Cuando selecciona los procedimientos de auditora, un auditor de SI debe usar su juicio profesional
para asegurar que:
Los procedimientos son procesos que un auditor de SI puede seguir en un compromiso de auditora.
Para determinar si cualquier procedimiento especfico es apropiado, un auditor de SI debe usar un
juicio profesional apropiado a las circunstancias especficas. El juicio profesional implica una
evaluacin subjetiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditora. El
juicio se ocupa de un rea gris donde las decisiones binarias
(s /no) no son apropiadas y donde la experiencia pasada del auditor juega un papel clave
en hacer un juicio. Los lineamientos de ISACA proveen informacin sobre cmo satisfacer las
normas cuando se efecta un trabajo de auditora de SI. Identificar las debilidades materiales
es el resultado de competencia apropiada, experiencia y prolijidad en planificar y ejecutar la auditora
y no el resultado de juicio profesional. El juicio profesional no es un input primario para los aspectos
I
Cul de los siguientes es un atributo del mtodo de autoevaluacin de control (CSA)?
El mtodo de autoevaluacin de control (CSA) hace nfasis en la administracin y en la obligacin de rendir
cuentas de desarrollar y monitorear los controles de los procesos de negocio de una organizacin. Los
atributos de CSA incluyen: empleados facultados, mejoramiento continuo, extensa participacin y
entrenamiento de los empleados, todo lo cual son manifestaciones de amplia participacin de los
interesados. Las opciones B, C y D son atributos de un mtodo tradicional de auditora.
I
Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10
formularios "nuevo usuario" ms recientes fueron correctamente autorizados. Este es un
ejemplo de:
La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las
polticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas.
El muestreo de variables se usa para estimar los valores numricos, tales como valores de
dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los
saldos de los estados financieros. El desarrollo de pruebas sustantivas depende a menudo del
resultado de las pruebas de cumplimiento. Si las pruebas de cumplimiento indican que hay controles internos
adecuados, entonces las pruebas sustantivas se pueden minimizar. El muestreo stop-or-go permite que una
prueba sea detenida lo antes posible y no es apropiada para verificar si se han seguido los procedimientos.
I
Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa
en pruebas cambia?
La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es
el sistema automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y
autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el
tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay
ninguna garanta de que hayan sido elaboradas las solicitudes para todos los cambios. Los listados de biblioteca
de prueba no representan los ejecutables aprobados y autorizados.
I
Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el
auditor de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetros
est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se
estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera:
Las debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial
de debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de
parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al
gerente local sin reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas.
I
Cuando prepara un informe de auditora, el auditor de SI debe asegurarse que los resultados estn
soportados por:
El estndar de ISACA sobre "informes" requiere que el auditor de SI tenga evidencias de auditora
suficientes y apropiadas para soportar los resultados que se reportan. Las declaraciones de la gerencia de SI
proveen una base para obtener concurrencia sobre asuntos que no pueden ser verificados con
evidencia emprica. El informe debe basarse en evidencias recogidas durante el curso de la revisin aunque
el auditor pueda tener acceso a los documentos de trabajo de otros auditores. Los resultados de una
autoevaluacin de control organizacional (CSA) podran complementar los hallazgos de auditora. Se podra
hacer referencia a las opciones A, B y C durante una auditora pero, por ellas mismas, no seran consideradas
una base suficiente para emitir un informe.
I
Un auditor de SI que entrevista a un empleado de planilla encuentra que las
respuestas no respaldan las descripciones de los puestos de trabajo y los procedimientos
documentados. Bajo estas circunstancias, el auditor de SI debe:
Si las respuestas dadas a las preguntas de un auditor de SI no estn confirmadas por procedimientos
documentados o descripciones de puestos de trabajo, el auditor de SI debe expandir el alcance de las
pruebas de los controles e incluir ms pruebas sustantivas. No hay evidencia de que
cualesquiera sean los controles que pudieran existir son o bien inadecuados o adecuados. Poner mayor
confianza en las auditoras anteriores o suspender la auditora son acciones inapropiadas ya que no proveen
conocimiento actual de la adecuacin de los controles existentes.
I
La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para
la gerencia de seguridad de informacin es que ste asegura que:
Una evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el
enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del
riesgo. Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es
asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de
la evaluacin del riesgo asegurar que se aplique un nivel de proteccin apropiado al nivel de riesgo y al valor
del activo, y por lo tanto, toma en cuenta el valor del activo. El enfoque de lnea base permite que ms recursos
sean dirigidos hacia los activos que estn en mayor riesgo de dirigir los recursos a todos los activos.
I
En el proceso de evaluar los controles de cambio de programa, un auditor de SI usara software de
comparacin de cdigo fuente para:
Un auditor de SI tiene un objetivo, aseguramiento independiente y relativamente completo de cambios de
programa porque la comparacin de cdigos fuente identificar los cambios. La opcin B es incorrecta porque
los cambios hechos desde la adquisicin de la copia no estn incluidos en la copia del software. La opcin C es
incorrecta ya que un auditor de SI tendr que obtener este aseguramiento separadamente. La opcin
D es incorrecta porque cualquier cambio hecho entre el tiempo en que se adquiri la copia de control y se
hace la comparacin del cdigo fuente no ser detectado.
I
Cul de las opciones siguientes debera utilizar un auditor de SI para detectar registros duplicados
de facturas dentro de un archivo maestro de facturas?
El Software genrico de auditora (GAS) permite al auditor revisar todo el archivo de facturas para
buscar los elementos que cumplan con los criterios de seleccin. El muestreo de atributos ayuda a
identificar los registros que cumplen con condiciones especficas, pero no compara un registro con
otro para identificar duplicados. Para detectar registros duplicados de facturas, el auditor de SI debera
verificar todos los elementos que cumplan con los criterios y no simplemente una muestra de los
elementos. Los datos de prueba se utilizan para verificar el procesamiento de programas, pero
no identifican registros duplicados. Una facilidad de prueba integrada (ITF) permite al auditor de SI
probar las transacciones de prueba a travs del sistema de produccin, pero no compara los registros para
identificar duplicados.
I
Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas
de informacin. El auditor de SI debe PRIMERO
revisar:
Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de
diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos.
Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente
de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante
la etapa de mitigacin del riesgo y no durante la etapa de evaluacin del riesgo. Se debe establecer un
mecanismo para monitorear constantemente los riesgos relacionados con los activos durante la
I
En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha
identificado amenazas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:
Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que las
amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI
debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.
I
Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO
revisar:
El primer paso para evaluar los controles de monitoreo de red debe ser la revisin de la
adecuacin de la documentacin de red, especficamente los diagramas de topologa. Si esta informacin
no estuviera actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar problemas no
ser efectiva.
I
Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las
investigaciones?
El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las reglas de
evidencia. La opcin B, los ahorros en tiempo y en costos, y la eficiencia y la eficacia, opcin C,
eficiencia y eficacia, son preocupaciones legtimas y diferencian a los paquetes buenos de los
paquetes deficientes de software forense. La opcin D, la capacidad de investigar las violaciones de los
derechos de propiedad intelectual, es un ejemplo de un uso de software forense.
I
Se asigna a un auditor de sistemas para que realice una revisin de un sistema de
aplicacin posterior a la implementacin. Cul de las siguientes situaciones puede haber
comprometido la independencia del auditor de sistemas? El auditor de SI:
Se puede comprometer la independencia si el auditor de sistemas est o ha estado involucrado
activamente en el desarrollo, adquisicin, e implementacin del sistema de aplicacin. Las opciones B y
C son situaciones que no comprometen la independencia del auditor de sistemas. La opcin D es
incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesora sobre las
mejores prcticas conocidas.
I
Cul de las opciones siguientes utilizara un auditor de SI para determinar si se realizaron
modificaciones no autorizadas a los programas de produccin?
Para determinar que slo se han realizado modificaciones autorizadas a los programas de
produccin, sera necesario revisar el proceso de gestin de cambios para evaluar la existencia de
un rastro de evidencia documental. Las pruebas de cumplimiento ayudaran a verificar que el
proceso de gestin de cambios ha sido aplicado consistentemente. Es poco probable que el anlisis del log
de sistema provea informacin sobre la modificacin de programas. El anlisis forense es una tcnica
especializada para investigacin criminal. Una revisin analtica evala el ambiente general de control de una
organizacin.
I
La razn MS importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de
auditora es:
El alcance de una auditora de SI est definido por sus objetivos. Esto implica identificar las debilidades de
control relevantes para el alcance de la auditora. Obtener evidencias suficientes y apropiadas ayuda al auditor
a identificar las debilidades de control pero tambin a documentarlas y validarlas. Cumplir con los
requisitos regulatorios, asegurar la cobertura y la ejecucin de la auditora son todos relevantes para
una auditora pero no son la razn por la que se requiera evidencia suficiente y relevante.
I
El propsito PRIMARIO de las pistas de auditora es:
Habilitar pistas de auditora ayuda a establecer la obligacin de rendir cuentas y la responsabilidad de las
transacciones procesadas, rastreando transacciones a travs del sistema. El objetivo de habilitar software para
proveer pistas de auditora no es mejorar la eficiencia del sistema, ya que esto implica a menudo un
procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Habilitar
pistas de auditora si implica almacenamiento y de eso modo ocupa espacio de disco. La opcin D es tambin
una razn valida; sin embargo, no es la razn primaria.
I
Cuando desarrolla una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo
una evaluacin del riesgo para asegurar que:
Al desarrollar una estrategia de auditora basada en el riesgo, es crtico que los riesgos y las vulnerabilidades
sean entendidos. Esto determinar las reas a ser auditadas y el grado de cobertura. Entender si estn
establecidos los controles apropiados requeridos para mitigar los riesgos es un efecto resultante de una
auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente
relacionados con el proceso de auditora y no son relevantes para el anlisis del riesgo del entorno a
ser auditado. Un anlisis de brechas normalmente se hara para comparar el estado real con un
estado esperado o deseable.
I
Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son
correctos es:
Una prueba sustantiva incluye recolectar evidencia para evaluar la integridad de las transacciones individuales,
los datos y otra informacin. Llevar a cabo un conteo fsico del inventario de cintas es una prueba sustantiva.
Las opciones A, B y D son pruebas de cumplimiento.
I
Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER
paso sera:
Monitorear el tiempo (la opcin A) y auditar los programas (opcin D), as como tambin un entrenamiento
adecuado (opcin B) mejorarn la productividad del personal de auditora de SI (eficiencia y
desempeo), pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se dedican a,
y que estn enfocados sobre, las reas de mayor riesgo.
I
El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin es:
El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin
es llegar a un acuerdo sobre los hallazgos. Las otras opciones, a pesar de estar relacionadas con el cierre
formal de una auditora, son de importancia secundaria.
I
El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado
basado en:
El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse
directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un
alcance estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos,
que una auditora que tuviera un propsito y un alcance ms amplios. El alcance de una auditora
de SI no debera ser restringido por la facilidad de obtener la informacin o por la familiaridad del
auditor con el rea que est siendo auditada. Recolectar toda la evidencia requerida es un elemento
requerido de un auditora de SI y el alcance de la auditora no debe estar limitado por la capacidad del auditado
de encontrar evidencia relevante.
I
El riesgo general del negocio para una amenaza en particular se puede expresar como:
La opcin A toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la
mejor medida del riesgo para un activo. La opcin B provee nicamente la probabilidad de que una
amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo.
De manera similar, la opcin C considera solamente la magnitud del dao y no la posibilidad de
que una amenaza explote una vulnerabilidad. La opcin D define el riesgo sobre una base arbitraria y no es
adecuado para un proceso cientfico de administracin del riesgo.
I
Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de software
descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes
acciones debera emprender el auditor de SI?
El uso de software no autorizado o ilegal debe estar prohibido en una organizacin. La piratera de software
tiene como consecuencia la exposicin inherente y puede resultar en severas multas. El auditor de SI debe
convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un
auditor de SI no debe asumir la funcin del oficial de cumplimiento ni asumir participacin
personal alguna para retirar o eliminar el software no autorizado.
I
Cul de las siguientes es la razn MS probable de por qu los sistemas de correo
electrnico se han convertido en una fuente til de evidencia en litigios?
Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser
recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar
cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las
normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por correo
electrnico, pero la creacin de la poltica no provee informacin requerida para fines de litigacin.
I
Cul de las siguientes es una prueba sustantiva?
Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva
determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una prueba
de cumplimiento determina si se estn aplicando los controles de una forma consistente con las
polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la
autorizacin para cambiar parmetros y revisar los reportes histricos de contrasea son todas pruebas de
cumplimiento.
I
Una prueba integrada (integrated test facility-ITF) se considera una herramienta til de auditora
porque:
Una facilidad de prueba integrada se considera una herramienta til de auditora porque usa los mismos
programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica
establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la
entidad como un medio de verificar el procesamiento adecuado.
I
Cuando se realiza una investigacin forense de computadora, con respecto a la evidencia
recolectada, la MAYOR preocupacin de un auditor de SI debe ser:
La preservacin y documentacin de evidencia para revisin por el organismo de cumplimiento y las
autoridades judiciales son la preocupacin primaria cuando se lleva a cabo una investigacin. No preservar
debidamente la evidencia podra poner en peligro la aceptacin de la evidencia en el proceso legal. El anlisis,
la evaluacin y la divulgacin son importantes pero no son la preocupacin primaria en una investigacin
forense.
I
Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri
numerosas duplicaciones de nombre de cliente que surgan de variaciones en los primeros
nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara:
Como el nombre no es el mismo (debido a variaciones de los primeros nombres), un mtodo
para detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones
Y podra entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los
clientes en estas direcciones. Buscar los nmeros de cuenta duplicados probablemente no hallara
duplicaciones de nombres ya que lo ms probable es que los clientes tengan nmeros de cuenta diferentes
para cada combinacin. Los datos de prueba no seran tiles para detectar la extensin de cualquier
caracterstica de dato, sino simplemente para determinar como fueron procesados los datos.
I
Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul
de las siguientes es una funcin de usuario que el auditor de SI debe revisar?
Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de
documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de
anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la
red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario.
Las opciones B, C y D son ejemplos de funciones de sistemas operativos de red.
I
El MEJOR mtodo de probar la exactitud de un sistema de clculo de impuestos es:
Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es
el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la
creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales
no resolveran la exactitud de clculos individuales de impuestos.
I
Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro
de un proceso, un auditor de SI debera estar consciente:
Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de
datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos
pueden ser tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen
los efectos de los errores o irregularidades y son considerados exclusivamente como controles
compensatorios. La opcin D es incorrecta e irrelevante ya que la existencia y funcin de los controles es
importante, no la clasificacin.
I
Cul de las siguientes tcnicas de auditora ayudara MS a un auditor a determinar si ha habido
cambios no autorizados de programa desde la ltima actualizacin autorizada de programa?
Una comparacin automtica de cdigos es el proceso de comparar dos versiones del ejemplo de programa
para determinar si las dos corresponden. Es una tcnica eficiente porque es un procedimiento automtico.
Las corridas de prueba de datos permiten al auditor verificar el procesamiento de transacciones
preseleccionadas, pero no proveen evidencias sobre porciones no ejercitadas de un programa. La revisin
de cdigos es el proceso de leer listados de cdigo fuente de programa para determinar si el cdigo
contiene errores potenciales o declaraciones ineficientes. Una revisin de cdigos puede usarse como
un medio de comparacin de cdigos pero es ineficiente. La revisin de los procedimientos de migracin de
cdigos no detectara cambios de programa.
I
Un auditor de SI que evala los controles de acceso lgico debe PRIMERO:
Cuando evala los controles de acceso lgico, un auditor de SI debe primero obtener un entendimiento del riesgo
de seguridad que enfrenta el procesamiento
de informacin revisando la documentacin relevante, mediante averiguaciones, y llevando a cabo
una evaluacin del riesgo. La documentacin y la evaluacin es el segundo paso para determinar la
adecuacin, la eficiencia y la eficacia identificando as las deficiencias o la redundancia en los controles. El
tercer paso es probar las vas de acceso-para determinar si los controles estn funcionando. Finalmente, el
auditor de SI evala el entorno de seguridad para determinar si es adecuado revisando las polticas escritas,
observando las prcticas y comparndolas con las mejores prcticas apropiadas de seguridad.
I
Un Auditor de sistemas que trate de determinar si el acceso a la documentacin de programas
est restringido a las personas autorizadas, lo
MS probable es que:
Preguntar a los programadores sobre los procedimientos que se estn siguiendo actualmente es
til para determinar si el acceso a la documentacin de programas est restringido a las personas
autorizadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las
instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la
documentacin de programas. Probar los registros de utilizacin no resolver la seguridad de acceso a
la documentacin de programas. Probar la seguridad de acceso a archivos de datos no resuelve la
seguridad de la documentacin de programas.
I
Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba
procedimientos de seguridad documentados. El auditor de SI debe:
Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto,
el mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la
organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su
independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los
objetivos de la auditora, es decir, la identificacin de los riesgos potenciales. Como no hay
procedimientos documentados, no hay base contra la cual probar el cumplimiento.
I
Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?
No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo
cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta
de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan
una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un
requisito y depende del deseo de la organizacin o de la falta del mismo de hacer saber sobre la intrusin.
I
Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?
No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa,
lo cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la
falta de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no
representan una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no
es un requisito y depende del deseo de la organizacin o de la falta del mismo de hacer saber sobre la
intrusin.
I
Cul de las siguientes es la razn MS probable de por qu los sistemas de correo
electrnico se han convertido en una fuente til de evidencia en litigios?
Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser
recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar
cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las
normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por
correo electrnico, pero la creacin de la poltica no provee informacin requerida para fines de litigacin.
I
Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las
investigaciones?
El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las
reglas de evidencia. Los ahorros en tiempo y en costos, opcin B, y la eficiencia y la eficacia, opcin
C, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de
software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opcin D,
es un ejemplo de un uso de software forense.
I
Cul de las siguientes es una prueba sustantiva?
Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva
determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una
prueba de cumplimiento determina si se estn aplicando los controles de una forma consistente
con las polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin,
revisar la autorizacin para cambiar parmetros y revisar los reportes histricos de contrasea son todas
pruebas de cumplimiento.
I
Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?
La evidencia obtenida de fuentes externas es por lo general ms confiable que la obtenida
desde dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por
ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables.
La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del rea
tcnica bajo revisin.
I
Cul de las siguientes herramientas de auditora es la MS importante para un auditor de SI cuando
se requiere una pista de auditora?
Una herramienta de instantnea (snapshot) es ms til cuando se requiere una pista de auditora. ITF puede
usarse para incorporar transacciones de prueba en una corrida normal de produccin. CIS es til cuando las
transacciones que renen ciertos criterios necesitan ser examinadas. Los ganchos de auditora son tiles
cuando slo se necesita examinar transacciones o procesos escogidos.
I
Cul de las siguientes opciones sera normalmente la evidencia MS confiable para un auditor?
La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas
B, C y D no serian consideradas confiables.
I
Cul de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada
una muestra de programas para determinar si las versiones fuentes y las versiones objeto son
las mismas?
Una prueba de cumplimiento determina si los controles estn operando como se disearon y si
estn siendo aplicados en tal forma que cumplan con las polticas y procedimientos de gerencia.
Por ejemplo, si al auditor de SI le preocupa si los controles de biblioteca de programas
estn funcionando correctamente, el auditor de SI podra seleccionar una muestra de programas para
determinar si las versiones fuente y las versiones objeto son las mismas. En otras palabras, el principal objetivo
de cualquier prueba de cumplimiento es proveer a los auditores una garanta razonable de que un control en
particular en el que el auditor planea basarse est operando como el auditor lo percibi en la evaluacin
preliminar.
I
Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa
en pruebas cambia?
La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es
el sistema automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y
autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el
tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay
ninguna garanta de que hayan sido elaboradas las solicitudes para todos los cambios. Los listados de biblioteca
I
Cul de las siguientes tcnicas en lnea es ms efectiva para la deteccin temprana de errores o
irregularidades?
La tcnica del gancho de auditora implica integrar cdigo en los sistemas de aplicacin para el examen de
transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se
sale de control. Un modulo integrado de auditora implica integrar software escrito especialmente en el
sistema anfitrin de aplicacin de la organizacin para que los sistemas de aplicacin sean
monitoreados de manera selectiva. Una facilidad integrada de prueba se usa cuando no es prctico usar datos
de prueba, y las instantneas o snapshots se usan cuando se requiere una pista de auditora.
I
Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?
El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El
muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una
calidad especifica (atributo) en una poblacin y se usa en la comprobacin de cumplimiento
para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que
involucran la comprobacin de detalles o cantidad.
I
Cul de los siguientes describe MEJOR una prueba integrada (integrated test facility-ITF)?
La respuesta A describe mejor una prueba integrada (integrated test facility-ITF), que es un proceso de
auditora especializado asistido por computadora que permite que auditor de SI pruebe una aplicacin
de manera continua. La respuesta B es un ejemplo de un archivo de revisin de control de
sistemas; las respuestas C y D son ejemplos de instantneas.
I
Cul de los siguientes es el MAYOR desafo al utilizar datos de prueba?
La eficacia de los datos de prueba est determinada por la extensin de la cobertura de todos los controles
clave a ser probados. Si los datos de prueba no cubren todas las condiciones vlidas y no vlidas, hay
un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el
programa, por el perodo cubierto por la auditora, pueden haberse efectuado para depurar o para funcionalidades
adicionales. Sin embargo, como el mtodo de datos de prueba involucra la prueba de datos para el
perodo de auditora, los cambios en el programa probado pueden tener un impacto mnimo. Las
aplicaciones con la tecnologa actual por lo general no son afectadas por las transacciones adicionales. Los
datos de prueba son desarrollados por el auditor, sin embargo, no es necesario que el procesamiento sea bajo la
supervisin de un auditor, ya que los datos de entrada sern verificados por los datos de salida
(outputs).
I
Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?
El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea
empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido
por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de
anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa con
que el personal de auditora cumpla con los cronogramas en una auditora en particular, ni quiere decir
necesariamente que una variedad ms amplia de auditoras se llevar a cabo en un ao dado.
I
Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)?
Los objetivos de los programas CSA incluyen la educacin para la gerencia de lnea en responsabilidad del
control, seguimiento y concentracin de todos en las reas de alto riesgo. Los objetivos de los
programas de CSA incluyen el aumento de las responsabilidades de auditora, no el reemplazo
de las responsabilidades de auditora. Las opciones C y D son herramientas de CSA y no objetivos.
I
Cul de los siguientes es una ventaja de una prueba integrada (ITF)?
Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba
simultneamente con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos
separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser
aislados de los datos de produccin.
I
Cul de los siguientes pasos realizara PRIMERO un auditor de SI normalmente en una revisin de
seguridad del centro de datos?
Durante la planeacin, el auditor de SI debera obtener una visin general de las funciones que estn siendo
auditadas y evaluar los riesgos de auditora y de negocios. Las opciones A y D son parte del proceso de trabajo
de campo de la auditora que ocurre posterior a esta planeacin y preparacin. La opcin C no es parte de una
revisin de seguridad.
I
Cul de los siguientes podra ser usado por un auditor de SI para validar la efectividad de las rutinas
de edicin y de validacin?
La prueba de integridad de dominio est dirigida a verificar que los datos se ajusten a las
definiciones, i.e., los elementos de datos estn todos en los dominios correctos. El objetivo principal
de este ejercicio es verificar que las rutinas de edicin y de validacin estn funcionando de manera
satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican
calcular y verificar diversos campos computados , tales como los totales de control. Las verificaciones de
I
Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos
siguientes?
Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y
tcnicas de auditora. Los riesgos inherentes por lo general no estn afectados por el auditor de SI.
Un riesgo de control es controlado por las acciones de la gerencia de la compaa. Los riesgos
financieros no estn afectados por el auditor de SI.
I
Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un
departamento de SI?
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando
operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las
tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de
funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el
departamento de SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada respecto a la
segregacin de funciones. Un organigrama no proveera detalles de las funciones de los empleados y la
prueba de los derechos de usuario proveera informacin sobre los derechos que ellos tienen dentro
de los sistemas de SI, pero no
proveera informacin completa sobre las funciones que ellos desempean.
I
A travs de todas las fases de un trabajo de auditora, el Auditor de SI debe concentrarse en:
A travs de todas las fases de la auditora de SI, el auditor debe asegurarse que haya documentacin adecuada. La
recoleccin de evidencias, el muestreo y las pruebas sustantivas no ocurren en todas las fases de una auditora;
por ejemplo, la fase de reporte no requiere la recoleccin de evidencias, sino que utilizara las evidencias
recolectadas en una fase anterior del proceso de auditora.
I
Al llevar a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el
siguiente paso del auditor de SI?
Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar sobre su presencia a la
organizacin, luego esperar la respuesta de sta. La opcin A se debe emprender despus de la opcin C.
Esto permitir al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El auditor
de SI no debe hacer cambios al sistema que est siendo auditado, y asegurar la eliminacin del virus es una
responsabilidad de la gerencia.
I
Al planear una auditora, el paso MS crtico es la identificacin de:
Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para
determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan
haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no
son tan crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est
determinado por las reas a ser auditadas. Las cuales son primariamente seleccionadas con base en la
identificacin de los riesgos.
I
Cuando comunican los resultados de auditora, los auditores de SI deben recordar que en ltima
instancia ellos son los responsables ante:
El auditor de SI es en ltima instancia responsable ante la alta gerencia y ante el comit de auditora de
la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la
entidad auditada (opcin B), ello se hace nicamente para obtener acuerdo sobre los hallazgos y para
desarrollar un curso de accin correctiva. La opcin C es incorrecta porque el director de auditora de SI debe
revisar el reporte que el auditor de SI prepar, pero no es la persona que tomar las decisiones respecto a los
hallazgos y sus consecuencias potenciales. La opcin D es incorrecta porque la responsabilidad de reportar a las
autoridades judiciales descansara en la junta directiva y sus asesores legales.
I
Cuando se est desarrollando una estrategia de auditora basada en el riesgo, un auditor de
SI debe llevar a cabo una evaluacin del riesgo para asegurar que:
Para desarrollar una estrategia de auditora basada en el riesgo, es crtico que se entiendan los
riesgos y vulnerabilidades. Esto determinar las reas a ser auditadas y la extensin de la cobertura. Entender
si los controles apropiados requeridos para mitigar los riesgos estn instalados es un efecto resultante de
una auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente
relacionados con el proceso de auditora y no son relevantes para el anlisis de riesgo del
entorno a ser auditado. El anlisis de brecha por lo general se hara para comparar el estado
real de un estado esperado o deseable.
I
Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO
revisar:
El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la
adecuacin de documentacin de red, especficamente los diagramas de topologa. Si esta informacin no
est actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no sern
efectivos.
I
Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro
de un proceso, un auditor de SI debera estar consciente:
Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de
datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos
pueden ser tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen
los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios.
La opcin D es incorrecta e irrelevante ya que la existencia y funcin de los controles es importante, no la
I
Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es
identificar:
El primer paso y el ms crtico en el proceso es identificar las reas de alto riesgo dentro de la
organizacin. Los gerentes del departamento de negocios y altos ejecutivos estn en las mejores posiciones
para ofrecer una opinin respecto a estas reas. Una vez que las reas potenciales de implementacin hayan
sido identificadas, se debera realizar una evaluacin del impacto potencial para identificar las
aplicaciones que proveen el mayor payback potencial a la organizacin. En este punto las pruebas y
los umbrales razonables objetivo deberan determinarse antes de la programacin. Durante el
desarrollo de sistemas, se debe definir la ubicacin y el formato de los archivos de salida (output) generados por
los programas de monitoreo.
I
Cuando se realiza una investigacin forense de computadora, respecto a las evidencias recolectadas,
un auditor de SI debe preocuparse MS
de:
La preservacin y la documentacin de evidencias a ser revisadas por las autoridades policiales y judiciales
es una preocupacin primaria cuando se lleva a cabo una investigacin. No preservar las evidencias
debidamente, podra poner en peligro la aceptacin de las evidencias en los procesos legales. El anlisis, la
evaluacin y la revelacin son importantes pero no son de importancia primaria en una investigacin forense.
I
Cuando se seleccionan procedimientos de auditora, el Auditor de SI debe usar su juicio profesional
para asegurar que:
Los procedimientos son procesos posibles que un auditor de SI puede seguir en un trabajo de auditora. Para
determinar si algn procedimiento especfico es apropiado, el Auditor de SI debe usar su juicio profesional
apropiado para las circunstancias especficas. Juicio profesional implica una evaluacin subjetiva y a menudo
cualitativa de las condiciones que surgen en el curso de una auditora. El juicio se ocupa de un rea gris donde
las decisiones binarias (s/no) no son apropiadas y la experiencia pasada del auditor tiene una funcin
clave para emitir un juicio. Los lineamientos de ISACA proveen informacin sobre cmo satisfacer los
estndares cuando se lleva a cabo un trabajo de auditora de SI. La identificacin de las debilidades
importantes es el resultado de la competencia, la experiencia, y la minuciosidad apropiada para planear y
ejecutar la auditora y no el resultado de un juicio profesional. Juicio profesional no es un insumo primario para
los aspectos financieros de la auditora.
I
Durante la etapa de planeacin de una auditora de SI, la meta PRIMARIA del auditor es:
Las normas de auditora de ISACA requieren que un auditor de SI planee el trabajo de auditora
para alcanzar los objetivos de auditora. La opcin B es incorrecta porque el auditor no recoge
evidencias en la etapa de planeacin de una auditora. Las opciones C y D son incorrectas porque
ellas no son las metas primarias de planeacin de una auditora. Las actividades descritas en las opciones B, C y
D son todas emprendidas para resolver objetivos de auditora y son por ello secundarias frente a la opcin A.
I
Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba
procedimientos de seguridad documentados. El auditor de SI debe:
Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto, el
mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la organizacin
est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su independencia
estara en peligro. Dar por terminada la auditora puede impedir que se logren los objetivos de
la auditora, es decir, la identificacin de los riesgos potenciales. Como no hay procedimientos
documentados, no hay base contra la cual probar el cumplimiento.
I
Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el
auditor de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetros
est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se
estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera:
Las debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial
de debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de
parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al
gerente local sin reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas.
I
Durante una revisin de los controles sobre el proceso de definir los niveles de
servicios de TI, un auditor de SI entrevistara MS
probablemente al:
Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que
cada una de las otras entidades enumeradas puede suministrar alguna definicin la mejor eleccin aqu es
el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los
requerimientos relacionados con la organizacin.
I
Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri
numerosas duplicaciones de nombre de cliente que surgan de variaciones en los primeros
nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara:
Como el nombre no es el mismo ( debido a variaciones de los primeros nombres ), un mtodo
para detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones Y
podra entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los
clientes en estas direcciones. Buscar los nmeros de cuenta duplicados probablemente no hallara
duplicaciones de nombres ya que lo mas probable es que los clientes tengan nmeros de cuenta diferentes
para cada combinacin. Los datos de prueba no serian tiles para detectar la extensin de cualquier
caracterstica de dato, sino simplemente para determinar como fueron procesados los datos.
I
El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora
usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para
permitir la recuperacin apropiada. Este es un:
Los objetivos de control de SI especifican el conjunto mnimo de controles para asegurar la eficiencia y
efectividad en las operaciones y funciones dentro de una organizacin. Los procedimientos de control se
desarrollan para proveer una garanta razonable de que se lograran los objetivos especficos. Un control
correctivo es una categora de controles, que est dirigida a minimizar la amenaza y/o a remediar los
problemas que no fueron impedidos o que no fueron inicialmente detectados. Los controles operativos
I
El xito de la autoevaluacin de control (CSA) depende en gran medida de:
El objetivo primario de un programa de CSA es repaldar la funcin de auditora interna pasando algunas de las
responsabilidades de monitoreo de control a los gerentes de lnea del rea funcional. El xito de un
programa de autoevaluacin de control (CSA) depende del grado en el que los gerentes de lnea
asumen la responsabilidad de los controles. Las opciones B, C y D son caractersticas de un mtodo tradicional de
auditora, no de un mtodo de CSA.
I
El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado
basado en:
El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse
directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un
alcance estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos,
que una auditora que tuviera un propsito y un alcance mas amplios. El alcance de una auditora de
SI no debera ser restringidos por la facilidad de obtener la informacin o por la familiaridad del
auditor con el rea que esta siendo auditada. Recolectar toda la evidencia requerida es un elemento
requerido de un auditor de SI y el alcance de la auditora no debe estar limitado por la capacidad del auditado de
encontrar evidencia relevante.
I
El MEJOR mtodo de prob