EVALUACION DEL PROCESO DEL NEGOCIO Y GERENCIA DE RIESGO.

C6-1 ¿Cuál de los siguientes es MAS probable que resulte de un proceso del proyecto de
reingeniería de negocios (BPR)?

A Un mayor número de personas que usan tecnología.

B Ahorros significativos de costo, a través de una reducción en la complejidad de la
tecnología de información
C Una estructura organizativa más débil y menos responsabilidad de rendir cuenta.
D Mayor riesgo de protección de la información (IP).

A Un proyecto de BPR con más frecuencia conduce a un mayor número de personas que
usan tecnología, y esto sería una causa de preocupación. Como BPR está frecuentemente
orientada a la tecnología, y esta tecnología es por lo general más compleja y volátil que en el
pasado, con frecuencia los ahorros de costo no se materializan en esta área. No hay razón
para que IP entre en conflicto con un proyecto de BPR, a menos que el proyecto no sea
ejecutado debidamente.

C6-2 Una compañía al por menor instaló recientemente software de clientes de

almacenamiento de datos en diferentes sitios geográficos. Debido a diferencias de zonas de
tiempo entre los sitios, las actualizaciones al almacén no están sincronizadas. ¿Cuál de los
siguientes se verá MAS afectado?

A Disponibilidad de datos.
B Totalidad de datos.
C Redundancia de datos.
D Inexactitud de datos.

B Las actualizaciones no sincronizadas generalmente causarán que la totalidad de los datos

se vea afectada; por ejemplo, los datos de ventas provenientes de un sitio no coinciden con
los costos incurridos en otro sitio.

C6-3 Una compañía ha implementado un nuevo sistema Cliente-servidor de planeación de

empresas (ERP). Las sucursales locales transmiten órdenes de clientes a una instalación
central de fabricación. ¿Cuál de las siguientes opciones aseguraría MEJOR que las órdenes
sean ingresadas correctamente y que se produzcan los productos correspondientes?

A Verificar la producción con las órdenes del cliente.

B Registrar todas las órdenes del cliente en el sistema ERP
C Usar totales hash en el orden que transmite el proceso.
D Aprobar (supervisor de producción) órdenes antes de la producción

A La verificación asegurará que las órdenes de producción coincidan con las órdenes del
cliente. El registro se puede usar para detectar inexactitudes, pero en sí mismo no garantiza
un procesamiento exacto. Los totales hash asegurarán la transmisión precisa de las órdenes,
pero no el procesamiento centralizado exacto. La aprobación de supervisión de producción
es un proceso manual que consume tiempo que no garantiza un control apropiado.

C6-04 Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema

que trata con cómputo de pagos. El auditor encuentra que el 50 % de los cálculos no
coinciden con los totales predeterminados. ¿Cuál de las siguientes opciones es MAS
probable que sea el siguiente paso en la auditoría:

A Diseñar más pruebas de los cálculos que están con error.

B Identificar variables que puedan haber causado que los resultados de prueba sean
incorrectos.
C Examinar algunos de los casos de prueba para confirmar los resultados.
D Documentar los resultados y preparar un reporte de hallazgos, conclusiones y
recomendaciones.

C El auditor de SI deberá luego examinar casos donde ocurrieron cálculos incorrectos y

confirmar los resultados. Después de que los cálculos hayan sido confirmados, más pruebas
pueden ser llevadas a cabo y revisadas. La preparación de reportes, hallazgos y
recomendaciones no se haría hasta que todos los resultados fueran confirmados.

C6-5 Cuál de las siguientes opciones provee MEJOR información para detectar una entrada
(input) no autorizada proveniente de una terminal:

A Un impreso del registro de la consola.

B El diario de transacciones.
C Un listado automatizado de archivos en suspenso.
D Un reporte de error de usuario.

B El diario de transacciones registraría toda la actividad de transacciones, que luego podría

ser comparado con los documentos fuente autorizados para identificar cualquier entrada no
autorizada. Un impreso de registro de consola no es lo mejor porque no registraría actividad
proveniente de una terminal específica. Un listado automatizado de archivos en suspenso
enumeraría solamente la actividad de transacciones donde ocurrió un error de edición, y el
reporte de error de usuario enumeraría solamente la entrada que tuvo como consecuencia
un error de edición.

C6-6 A medida que un proceso del proyecto de reingeniería del negocio ( BPR) se establece
se espera que:

A Las prioridades del negocio permanezcan estables.

B Las tecnologías de la información no cambien.
C El proceso mejore el producto, servicio y rentabilidad.
D La retroalimentación de clientes y agentes ya no será necesario.

B Una fortaleza de un sistema de calidad implementado basado en ISO 9001 es que aumenta
las mejoras en las actividades del ciclo de vida del software, la garantía de calidad y control
de calidad. Las debilidades del sistema incluyen que puede dejar de proveer respuestas
claras a preguntas respecto a la productividad, confiabilidad o efectividad de costo del
sistema. Un sistema de calidad no es una garantía de soluciones de calidad para los
problemas del negocio ya que los requerimientos de usuario definidos de manera deficiente
afectarán adversamente el diseño del software. Dependiendo de la madurez del sistema de
calidad implementado, las etapas pueden variar desde procedimientos no implementados a
totalmente implementados.

C6-7 A medida que un proceso del proyecto de reingeniería del negocio (BPR) se establece,
se espera que:

A Las prioridades del negocio permanezcan estables.

B Las tecnologías de la información no cambien.
C El proceso mejore el producto, servicio y rentabilidad.
D La retroalimentación de clientes y agentes ya no será necesaria.

C A medida que un proceso de reingeniería se establece, ciertos resultados clave

comenzarán a surgir, incluyendo una concentración sobre el proceso como un medio de
mejorar el producto, el servicio y la rentabilidad. Además, las nuevas prioridades del negocio
y enfoques del uso de información, así como también surgirán tecnologías de información
poderosas y más accesibles. Con frecuencia, las funciones de clientes y agentes serán
redefinidas proveyéndolos de más participación directa y activa en el proceso del negocio de
la empresa.

C6-8 ¿Cuál de las siguientes opciones es una amenaza?

A La falta de seguridad.
B La pérdida de plusvalía.
C El corte de energía.
D Los servicios de información

C Las amenazas, como por ejemplo un corte de energía, son posibles fuentes de peligro para
los activos de una organización. La falta de seguridad es una vulnerabilidad. Las
vulnerabilidades son un conjunto de circunstancias susceptibles a ataques. La pérdida de
plusvalía es un impacto. Los servicios de información son activos, vulnerables a amenazas y
a los impactos resultantes.

C6-9 Una secuencia de bits unidos a un documento digital que se usa para asegurar un
correo electrónico enviado a través de la Internet, se denomina una:

A Firma resumida.
B Firma electrónica.
C Firma digital.
D Firma hash

C Una firma digital a través de la llave criptográfica privada autentica una transmisión
proveniente de un remitente por medio de la llave criptográfica privada. Es una hilera de bits
que representa de manera única otra hilera de bits, un documento digital. Una firma
electrónica se refiere a la hilera de bits que digitalmente representa una firma manuscrita
captada por un sistema de computadora cuando una persona la aplica en una almohadilla de
pluma electrónica, conectada al sistema.

C6-10 Los controles de compensación están destinados a:

A Reducir el riesgo de una debilidad de control existente o potencial.

B Predecir problemas potenciales antes de que ocurran.
C Remediar problemas descubiertos por los controles de detección.
D Reportar errores u omisiones.

A Los controles de compensación están destinados a reducir el riesgo de una debilidad de

control existente o potencial. Las opciones B, C y D son características de controles
preventivos, correctivos y de detección respectivamente.

C6-11 ¿Cuál de los siguientes es una verificación (control) de totalidad?

A Dígitos de verificación
B Bits de paridad
C Verificación uno a uno.
D Entrada (input) registrado previamente.

B Los bits de paridad se usan para verificar si hay totalidad de transmisiones de datos. La
opción A es incorrecta porque los dígitos de verificación son una verificación de control de
exactitud. La opción C es incorrecta porque en la verificación uno a uno, los documentos
individuales se hacen coincidir con un listado detallado de documentos procesados por la
computadora, pero no aseguran que todos los documentos hayan sido recibidos para
procesamiento. La opción D (input registrado previamente) es un control de archivo de datos
en el cual los campos seleccionados de información están preimpresos en formularios de
entrada para reducir la oportunidad de errores de registro.

C6-12 ¿Cuál de los siguientes tipos de verificaciones de edición de datos se usa para
determinar si un campo contiene datos, y no ceros o espacios en blanco?

A Dígito de verificación
B Verificación de existencia.
C Verificación de totalidad
D Verificación de razonabilidad

C Una verificación de totalidad se usa para determinar si un campo contiene datos y no

ceros o espacios en blanco. Un dígito de verificación es un dígito calculado
matemáticamente para asegurar que los datos originales no fueron alterados. Una
verificación de existencia verifica los datos ingresados contra criterios predeterminados. Una
verificación de razonabilidad compara la entrada contra los límites razonables
predeterminados o tasas de ocurrencia.

C6-13 Las ediciones de datos son un ejemplo de:

A Controles preventivos.
B Controles de detección
C Controles correctivos.
D Controles de compensación

A Las ediciones de datos son controles preventivos ya que se usan en un programa antes
que los datos sean procesados, previniendo así el procesamiento de datos que contengan
errores.

C6-14 Cuál de los siguientes tipos de controles está diseñado para proveer la capacidad de
verificar datos y registrar valores a través de las etapas de procesamiento de la aplicación?

A Verificación de rangos.
B Totales de ejecución a ejecución.
C Verificaciones de límite sobre sumas calculadas.
D Reporte de excepción.

B Los totales de ejecución a ejecución proveen la capacidad de verificar valores de datos a

través de las etapas de procesamiento de las aplicaciones. La verificación total de ejecución
a ejecución asegura que los datos leídos en la computadora sean aceptados y luego
aplicados en el proceso de actualización

C6-15 ¿Cuál de los siguientes está destinado a detectar la pérdida o duplicado de entradas?

A Los totales hash.

B Los dígitos de verificación.
C Verificaciones de límite sobre sumas calculadas.
D Reportes de excepción.

A Los totales hash son el resultado de totalizar campos especificados en una serie de
transacciones o registros. Si una suma posterior no tuviera como resultado el mismo número
, entonces los registros se han perdido, o bien han sido ingresados o transmitidos
incorrectamente, o han sido duplicados.

C6-16 La confiabilidad de las pistas de auditoría de un sistema de aplicación puede ser

cuestionable si:

A Se registran identificaciones de usuario en las pistas de auditoría.

B El administrador de seguridad tiene derechos de lectura solamente sobre el archivo de
auditoría.
C Los sellos de fecha y hora registran cuando ocurre una acción.
D Los usuarios pueden enmendar registros de pistas de auditoría cuando corrigen errores de
Sistema.

D Una pista de auditoría no es efectiva si los detalles en la misma pueden ser enmendados.

C6-17 La intención de los controles de aplicación es asegurar que cuando se ingresan datos
inexactos al sistema, los datos sean:

A Aceptados y procesados.
B Aceptados y no procesados.
C No aceptados y no procesados.
D No aceptados y procesados.

C Los controles de aplicación aseguran que solamente se ingresen datos completos,

correctos y validos al sistema.

C6-18 ¿Cuál de las siguientes opciones es la PRIMERA cosa que un auditor de SI debería
hacer después de descubrir un programa de caballo de Troya en un sistema de
computadora?

A Investigar el autor.
B Eliminar cualesquiera amenazas subyacentes.
C Establecer controles de compensación.
D Hacer que se elimine el código transgresor.

D La primera función de un auditor de SI es impedir que el caballo de Troya cause más daño.
Después de eliminar el código transgresor, las acciones de seguimiento incluirán
investigación y recomendaciones (las opciones B y C)

C6-19 ¿Cuál de las siguientes actividades del administrador de base de datos (DBA) es
improbable que sea registrada en el registro de controles de detección?

A Eliminación de un registro.
B Cambio de una contraseña.
C Revelación de una contraseña.
D Cambios a derechos de acceso.

C La revelación de contraseña no será detectada por ningún registro de base de datos o

registro de sistema. Las actividades de cambio de contraseña pueden ser registradas en el
registro del sistema dentro del software de control de acceso. Las actividades de base de
datos serán registradas en el registro apropiado de base de datos.

C6-20 La edición /validación de datos ingresados en un sitio remoto sería realizada MAS
efectivamente en el:
A Sitio central de procesamiento después de ejecutar el sistema de aplicación.
B Sitio central de procesamiento durante la ejecución del sistema de aplicación.
C Sitio remoto de procesamiento después de la transmisión de los datos al sitio central de
procesamiento.
D Sitio remoto de procesamiento antes de transmitir los datos al sitio central de
procesamiento.

D Es importante que los datos entrados desde un sitio remoto sean editados y validados
antes de ser transmitidos al sitio central de procesamiento.

C6-21 El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:

A Revisión visual detallada y análisis del código fuente de los programas de cálculo.
B Recrear un programa lógico usando software generalizado de auditoría para calcular los
totales mensuales.
C Preparar transacciones simuladas para procesar y comparar los resultados con resultados
predeterminados.
D Creación automática del diagrama de flujo y análisis del código fuente de los programas
de cálculo.

C Preparar transacciones simuladas para procesar y comparar los resultados con resultados
predeterminados es el MEJOR método para probar que un cálculo de impuestos es correcto.
La revisión visual detallada, la creación de diagramas de flujo y el análisis de código fuente
no son métodos efectivos, y los totales mensuales no resolverían la exactitud de cálculos
individuales de impuestos.

C6-22 Un registro de control básico de un sistema de aplicación en tiempo real es un:

A Registro de auditoría.
B Registro de consola.
C Registro de terminal.
D Registro de transacción

D Como se trata de un sistema en tiempo real, la respuesta es un registro de transacción. Si

el sistema fallara, y no se mantiene un registro de transacción, se incurriría en costos
significativos para reingresar los datos de las transacciones. Un registro de transacción
también permite al personal de operaciones determinar cuáles transacciones han sido
ingresadas, y esto ayuda a reducir el tiempo de recuperación cuando ocurren fallas de
sistema.

C6-23 Un programador incluyó, en una aplicación de pago de nómina, una rutina para buscar
su código de empleado en nómina. Como consecuencia, si este número de código no
aparece durante la ejecución del pago de la nómina, la rutina generará y colocará números
aleatorios en cada cheque de pago. Esta rutina se conoce como:

A Scavenging
B Fuga de datos.
C Piggybacking
D Caballo de Troya.

D Un caballo de Troya es un código malicioso escondido en un programa autorizado de

computadora. El código escondido será ejecutado cada vez que el programa autorizado sea
ejecutado. En este caso, mientras el número de planilla del perpetrador sea parte del
proceso de planilla no ocurre nada, pero tan pronto el número de planilla desaparece ocurre
la devastación.
C6-24 Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría:

A La eficiencia de la aplicación para cumplir con el proceso del negocio.

B El impacto de cualquier exposición descubierta.
C Los procesos del negocio atendidos por la aplicación.
D La optimización de la aplicación.

B Un control de revisión de aplicaciones implica evaluación de los controles automatizados

de la aplicación y una evaluación de cualesquiera exposiciones resultantes de las debilidades
de control. Las otras opciones pueden ser objetivos de una auditoría de aplicación pero no
forman parte de una auditoría restringida a una revisión de controles.

C6-25 Para reducir la posibilidad de perder datos durante el procesamiento, el PRIMER punto
en el que se deberían implementar los totales de control es:

A Durante la preparación de datos.

B En tránsito a la computadora.
C Entre ejecuciones de programas relacionados de computadora.
D Durante la devolución de los datos al departamento usuario.

A Durante la preparación de datos es la mejor respuesta porque establece control en el

punto más temprano.

C6-26 Mientras copiaba archivos desde un disco floppy, un usuario introdujo un virus en la
red. ¿Cuál de las siguientes opciones detectaría MAS efectivamente la existencia del virus?
Un:

A Escaneo de todos los discos floppy antes de su uso.

B Monitoreo de virus en el servidor de archivos de red
C Escaneo diario programado de todas las pistas de red
D Monitoreo de virus en la computadora personal del usuario.

C Un escaneo diario programado de todas las pistas de red detectará la presencia de un

virus después que haya ocurrido la infección. Todas las otras opciones son controles
diseñados para prevenir que un virus de computadora infecte el sistema.

C6-27 Cuando dos o más sistemas están integrados, los controles de entrada/salida deber
ser revisados por el auditor de SI en los:

A Sistemas que reciben salidas de otros sistemas.

B Sistemas que envían salidas a otros sistemas.
C Sistemas que envían y reciben datos.
D Interfaces entre los dos sistemas.

C Ambos sistemas deben ser revisados para verificar si tienen controles de entrada/salida ya
que la salida de un sistema es entrada para el otro.

C6-28 Los reconocimientos funcionales se usan:

A Como una pista de auditoría para las transacciones de EDI.

B Descubrir funcionalmente el departamento de SI.
C Documentar las funciones y responsabilidades del usuario.
D Como una descripción funcional del software de aplicación.
A Los reconocimientos funcionales son transacciones estándar de EDI que dicen a los socios
comerciales que sus documentos electrónicos fueron recibidos. Diferentes tipos de
reconocimientos funcionales proveen diferentes niveles de detalle y, por lo tanto, pueden
actuar como una pista de auditoría para Transacciones de EDI. Las otras opciones no son
relevantes para la descripción de reconocimientos funcionales.

C6-29 Un Auditor de SI que ha descubierto transacciones no autorizadas durante una revisión

de
Transacciones de EDI es probable que recomiende mejorar:

A Los acuerdos de los socios comerciales de EDI.

B Los controles físicos para las terminales.
C Las técnicas de autenticación para enviar y recibir mensajes.
D Los procedimientos de control de cambios de programa.

C Las técnicas de autenticación para enviar y recibir mensajes tienen una función clave para
minimizar la exposición a transacciones no autorizadas. Los acuerdos de socios comerciales
de EDI minimizarán la exposición a los problemas legales.

C6-30 Cuando se revisa un proceso de proyecto de reingeniería del negocio (BPR), ¿Cuál de
los siguientes aspectos es MAS importante que un auditor de SI evalúe?

A El impacto de controles eliminados.

B El costo de nuevos controles.
C El proyecto de planes de BPR.
D Los planes continuados de mejoramiento y monitoreo.

A La tarea de un auditor de SI es identificar los controles clave existentes a partir de los

procesos previos al BPR y, determinar si aun existen controles en los nuevos procesos. La
opción B es incorrecta porque a pesar de que un auditor de SI puede revisar el costo de los
controles esto no es lo más importante. Las opciones C y D son pasos clave en un proyecto
exitoso de BPR.

C6-31 El impacto de EDI sobre los controles internos es:

A Que existen menos oportunidades para revisar y autorizar.

B Una autenticación inherente.
C Una distribución apropiada de las Transacciones de EDI mientras están en poder de
terceros.
D Que la gerencia de IPF tendrá mayores responsabilidades de controlar el centro de datos.

A EDI promueve un ambiente sin papeles más eficiente, pero al mismo tiempo, al haber
menos intervención humana, se hace más difícil revisar y autorizar. La opción B es incorrecta
ya que como la interacción entre las partes es electrónica, no ocurre una autenticación
inherente. Los datos computadorizados pueden parecer los mismos, independientemente de
la fuente, y no incluyen ningún elemento humano o firma que los distinga. La opción C es
incorrecta por que es un riesgo de seguridad asociado con el EDI. La opción D es incorrecta
porque hay relativamente pocos controles adicionales de EDI, si los hubiera. En vez de ello,
será necesario que se ejerza más control por parte del sistema de aplicación del usuario para
reemplazar los controles manuales, como por ejemplo revisiones de documentos en el sitio.
Será necesario poner más énfasis en el control sobre la transmisión de datos (controles de
administración de red)

C6-32 ¿Cuál de los siguientes perfiles de usuario sería de MAS preocupación para el auditor
de SI, cuando realiza la auditoría de un sistema de EFT?
A Tres usuarios con la capacidad de capturar y verificar sus propios mensajes.
B Cinco usuarios con la capacidad de capturar y enviar sus propios mensajes.
C Cinco usuarios con la capacidad de verificar otros usuarios y enviar sus propios mensajes.
D Tres usuarios con la capacidad de capturar y verificar los mensajes de otros usuarios y
enviar sus propios mensajes.

A La capacidad de una persona de capturar y verificar mensajes representa una segregación

inadecuada, ya que los mensajes se pueden tomar como correctos y como si ya hubieran
sido verificados.

C6-33 ¿Cuál de las siguientes opciones es un control de edición y validación de datos?

A Totales hash.
B Verificación de razonabilidad.
C Controles de acceso en línea.
D Reporte de imagen antes y después.

B Una verificación de razonabilidad es un control de edición y validación de datos, que se

usa para asegurar que los datos se ajusten a criterios predeterminados. El reporte de imagen
antes y después es un control sobre los archivos de datos que hace posible rastrear cambios.
Los controles de acceso en línea están diseñados para impedir el acceso no autorizado al
sistema y los datos. Un total hash es un total de cualquier campo de datos numéricos o serie
de elementos de datos en un archivo de datos. Este total es verificado contra un total de
control del mismo campo o campos para asegurar la totalidad del procesamiento.

C6-34 Un programa de cálculo de impuestos mantiene varias tasas de impuestos. El MEJOR

control para asegurar que las tasas de impuestos ingresadas al programa sean correctas es:

A Una revisión independiente del listado de transacciones.

B Una verificación de edición programada para impedir la entrada de datos inválidos.
C Verificaciones programadas de razonabilidad con un rango del 20 por ciento del ingreso de
datos.
D Una verificación visual de datos entrados por el departamento de procesamiento.

A Las tasas de impuestos representan datos críticos que serán usados en numerosos
cálculos y que deberían ser verificados de manera independiente por alguien que no sea la
persona que los ingresa antes que ellos sean usados en el procesamiento. Las opciones B Y
C son controles programados útiles para impedir errores graves, es decir, errores como por
ejemplo un cero agregado o alfa en lugar de un número. Una tabla de impuestos debe ser
100 por ciento correcta, no solo legible. La opción permitirá que el personal de ingreso de
datos verifique si la entrada es correcta, pero esto no es suficiente.

C6-35 Durante una auditoría del sistema de administración de cintas en un centro de datos,
un auditor de SI descubrió que los parámetros están fijados para evadir o ignorar las
etiquetas escritas en los registros de encabezado de cintas. El auditor de SI también
determinó que estuvieran implementados procedimientos efectivos para el establecimiento
y preparación de los trabajos. En esta situación, el auditor de SI debería concluir que:

A Los encabezados de cintas deberían ser registrados manualmente y verificados por los
operadores.
B Los procedimientos para el establecimiento y preparación de trabajos no son controles
apropiados de compensación
C Los procedimientos para el establecimiento y preparación de trabajos compensan la
debilidad de control de las etiquetas de la cinta.
D Se deben fijar parámetros del sistema de administración de cintas para verificar todas las
etiquetas.

C Los controles de compensación son una parte importante de una estructura de control. Se
consideran adecuados, ayudan a lograr el objetivo de control y son efectivos en costos. En
esta situación, el auditor de SI es probable que concluya que los procedimientos para el
establecimiento y preparación de trabajos compensan la debilidad de control de etiquetas de
cintas.

C6-36 Un auditor de SI, que revisa controles de base de datos, descubrió que los cambios a
la base de datos durante horas laborales normales se manejaban a través de un conjunto de
procedimientos estándar Sin embargo, los cambios hechos después de horas normales
requerían solamente un número abreviado de pasos. En esta situación, ¿cuál de las
siguientes opciones se consideraría un conjunto de controles adecuados de compensación?

A Permitir que se hagan cambios solamente con la cuenta de usuario DBA.

B Hacer cambios a la base de datos después de otorgar acceso a una cuenta de usuario
normal.
C Usar la cuenta de usuario de DBA para hacer cambios, registrar los cambios y revisar el
registro de cambios al día siguiente.
D Usar la cuenta normal de usuario para hacer cambios, registrar los cambios y revisar el
registro de cambios al día siguiente.

C El uso de un administrador de cuenta de usuario de base de datos (DBA) es (debería ser)

normalmente establecido para registrar todos los cambios hechos y es más apropiado para
los cambios, hechos fuera de las horas normales. El uso de un registro que almacene los
cambios permite que dichos cambios se revisen. El uso de la cuenta de usuario de DBA sin
registrar los cambios permitiría que se hagan cambios no controlados a la base de datos una
vez que se haya obtenido el acceso a la cuenta. El uso de una cuenta de usuario normal sin
restricciones permitiría cambios no controlados a cualquiera de las bases de datos. El
registro solamente proveería información sobre los cambios hechos, pero no limitaría los
cambios solamente a los que fueron autorizados. Por ello, el registro junto con la revisión
forman un conjunto apropiado de controles de compensación.

C6-37 Con referencia al proceso de administración de riesgo, ¿Cuál de las siguientes

afirmaciones es la correcta?

A Las vulnerabilidades pueden ser explotadas por una amenaza.

B Las vulnerabilidades son eventos que tienen el potencial de causar daño a los recursos de
SI.
C La vulnerabilidad existe a causa de amenazas asociadas con el uso de los recursos de
información
D La falta de conocimiento del usuario es un ejemplo de una amenaza.

A Las vulnerabilidades son características de los Recursos de SI que pueden ser explotadas
teniendo como consecuencia algún daño. Las amenazas, no las vulnerabilidades, son
eventos que tienen el potencial de causar daño. Una amenaza ocurre a causa de una
vulnerabilidad asociada con el uso del recurso de información. La falta de conocimiento del
usuario es un ejemplo de vulnerabilidad

C6-38 La gerencia de SI ha informado recientemente al auditor de SI sobre su decisión de

inhabilitar ciertos controles de integridad referencial en el sistema de planilla, para proveer a
los usuarios un generador más rápido de reportes. Es MAS probable que esta situación
aumente el riesgo de:
A Ingreso de datos por usuarios no autorizados.
B Que se le pague a un empleado no existente.
C Que un empleado reciba un aumento no autorizado.
D Que el ingreso de datos sea duplicado por usuarios no autorizados.

B Los controles de integridad referencial impiden que ocurran valores clave extraños que no
coincidan. Dado que un empleado que no existe no aparece en la tabla de empleados, nunca
tendrá una entrada correspondiente en la tabla de pagos de salarios. Las otras opciones no
pueden ser detectadas por los controles de integridad referencial.

C6-39 ¿Cuál de los siguientes servicios de mensaje da protección más fuerte de que ha
ocurrido una acción específica?

A Prueba de entrega.
B No repudio.
C Prueba de sometimiento.
D Autenticación de origen de mensaje.

B Los servicios de no repudio proveen evidencia de que ocurrió una acción especifica. Los
servicios de no repudio son similares a sus contrapartes más débiles de prueba. (i.,e., prueba
de sometimiento, prueba de entrega, y autenticación de origen de mensaje). Sin embargo, el
no repudio provee protección más fuerte porque la prueba puede ser demostrada a un
tercero. Las firmas digitales se usan para proveer no repudio. La autenticación de origen de
mensaje solamente confirmará la fuente del mensaje y no confirma la acción especifica que
se ha realizado.

C6-40 La razón PRIMARIA de reemplazar los cheques con un sistema de EFT en el área de
cuentas por pagar es.:

A Hacer el proceso de pagos más eficiente.

B Cumplir con las normas internacionales de banca EFT.
C Reducir el número de formularios de pagos basados en papel.
D Reducir el riesgo de cambios no autorizados a las transacciones de pago.

A El proceso de pago es más eficiente porque implica que virtualmente no hay intervención.
Esto reduce la posibilidad de que ocurran errores de transcripción ya que la información es
ingresada al sistema de cuentas por pagar. Las normas internacionales de banca de EFT no
dictan la forma en que se deban hacer las transacciones- La disminución en el número de
formularios de pagos basados en papel hace el proceso más sencillo, pero la mayoría de las
compañías aceptará el pago en cualquier forma que el cliente esté dispuesto a usar. La
reducción en los cambios no autorizados a las transacciones de pago no es una razón
importante para ir a EFT.

C6-41 Un auditor de SI recomienda que se programe una validación inicial a una aplicación
de captación de transacciones de tarjeta de crédito. Es MAS probable que el proceso de
validación inicial:

A Realice verificaciones para asegurar que el tipo de transacción es válido para el tipo de
tarjeta.
B Verifique el formato del número ingresado y luego lo coloque en la base de datos.
C Asegure que la transacción ingresada esté dentro del límite de crédito del tarjetahabiente.
D Confirme que la tarjeta no aparezca como perdida o robada en el archivo maestro.

B La validación inicial debería confirmar si la tarjeta es valida. Esta validez se establece a

través del número de tarjeta y del PIN entrado por el usuario. Basado en esta validación
inicial, se procederá con todas las otras validaciones. Un control de validación en la
captación de datos asegurará que los datos ingresados sean válidos (i.e., pueden ser
procesados por el sistema). Si los datos captados en la validación inicial no son válidos (si el
número de tarjeta o PIN no coincide con el de la base de datos), entonces la tarjeta será
rechazada o captada por los controles establecidos. Una vez que se realiza la validación
inicial, se realizarían las otras validaciones específicas de la tarjeta y del tenedor de la
tarjeta.

C6-42 Una aplicación propuesta de procesamiento de transacciones tendrá muchas fuentes

de captación de datos y salidas tanto en papel como en forma electrónica. Para asegurar
que las transacciones no se pierdan durante el procesamiento, el auditor de SI debería
recomendar la inclusión de:

A Controles de validación
B Verificaciones de credibilidad interna.
C Procedimientos control de oficina.
D Balanceo automatizado del sistema.

D El balanceo automatizado del sistema sería la mejor forma de asegurar que no se pierda
ninguna transacción ya que cualquier desbalance entre el total de entradas y el total de
salidas se reportaría para investigación y corrección. Los controles de validación y
certificaciones de credibilidad interna son ciertamente controles validos, pero no detectarán
ni reportarán las transacciones perdidas. Además, a pesar de que se podría usar un
procedimiento de oficina para sumar y comparar entradas y salidas, un proceso
automatizado es menos susceptible de error.

C6-43 Un programador logró acceso a la biblioteca de producción, modificó un programa que

luego fue usado para actualizar una tabla importante en la base de datos de planilla y
restauró el programa original. ¿Cuál de los siguientes métodos detectaría MAS
efectivamente este tipo de cambios no autorizados?

A Comparación de código fuente.

B Comparación de código ejecutable.
C Instalaciones integradas de prueba (ITF )
D Revisión de archivos de registro de transacciones.

D Los cambios hechos a la tabla de la base de datos de planilla aparecería en los archivos de
registro de transacciones. Como el programa original fue restaurado, la comparación de
códigos fuente y ejecutables no es inefectiva. ITF es menos efectivo que la comparación de
código fuente, porque es difícil saber qué buscar.

C6-44 Dando seguimiento a la reorganización del legado de base de datos de una compañía,
se descubrió que accidentalmente se borraron algunos registros. ¿Cuál de los siguientes
controles hubiera detectado MAS efectivamente este incidente?

A Verificación de rango.
B Inspección de tablas
C Totales de ejecución a ejecución
D Verificación uno a uno.

C Los totales de ejecución a ejecución hubieran sido un control efectivo del procesamiento
en esta situación. Las inspecciones de tabla y la verificación de rangos se usan para validar
datos antes del ingreso, o tan cerca del punto de origen como sea posible. La verificación
uno a uno consume mucho tiempo y por lo tanto es menos efectiva.
C6-45 Recientemente una compañía ha ampliado la capacidad de su sistema de compras
para incorporar transmisiones de EDI ¿cuál de los siguientes controles se debería
implementar en lal interfaz de EDI para proveer un mapeo eficiente de datos?

A Verificación de llave.
B Verificación uno a uno.
C Recálculos manuales.
D Reconocimientos funcionales.

D Actuando como una pista de auditoría para Transacciones de EDI, los reconocimientos
funcionales son una de los controles principales que se usan en el mapeo de datos. Todas las
otras opciones son controles manuales de entrada, mientras que el mapeo de datos se
ocupa de la integración automática de datos en la compañía que recibe.

C6-46 En un almacén de datos ( data warehouse), la calidad de datos se logra mediante la:

A Limpieza.
B Reestructuración
C Credibilidad de datos fuente.
D Transformación

C En un sistema de almacén de datos la calidad de datos depende de la calidad de la fuente

que los origina. Las opciones A, B, y D se relacionan con la composición de un almacén de
datos y no afectan la calidad de los datos. La reestructuración, transformación y limpieza se
relacionan todas con la reorganización de los datos existentes dentro de la base de datos.

C6-47 Las órdenes de venta son numeradas automáticamente en forma secuencial en cada
uno de los puntos de venta múltiple de un vendedor minorista. Las órdenes pequeñas son
procesadas directamente en los puntos de venta, enviándose las órdenes grandes a una
instalación central de producción. El control más apropiado para asegurar que todas las
órdenes transmitidas a producción sean recibidas y procesadas sería:

A Enviar y conciliar los conteos y totales de producción.

B Hacer que los datos sean transmitidos de regreso al sitio local para comparación.
C Comparar los protocolos de comunicaciones de datos con la verificación de paridad.
D Rastrear y dar cuenta de la secuencia numérica de las órdenes de venta en la instalación
de producción.

A Enviar y conciliar totales de transacción no solamente asegura que las órdenes fueron
recibidas, sino que también fueron procesadas por el lugar central de producción. Transmitir
los datos de la transacción de regreso al sitio local confirma que el lugar central la recibió,
pero no que las hayan procesado realmente. Rastrear y dar cuenta de la secuencia numérica
solamente confirma que las órdenes están a la mano y no si las mismas se han efectuado
realmente. El uso de verificación de paridad solamente confirmaría que la orden no fue
cambiada durante la transmisión

C6-48 ¿Cuál de los siguientes es un control para compensar que un programador tenga
acceso a datos de producción de cuentas por pagar?

A Controles de procesamiento como por ejemplo verificación de rangos y ediciones lógicas.

B Revisar los reportes de cuentas por pagar, de las salidas por ingreso de datos.
C Revisar los reportes producidos por el sistema en busca de cheques por una suma
declarada.
D Hacer que el supervisor de cuentas por pagar haga coincidir todos los cheques con las
facturas aprobadas.
D Para asegurar que el programador no pudo generar un cheque, sería necesario que
alguien confirmara todos los cheques generados por el sistema. Las verificaciones de rango
y lógicas podrían fácilmente ser evadidas por un programador ya que son exclusivas de los
controles que has sido integrados al sistema La revisión de los reportes de cuentas por pagar
por ingreso de datos solamente identificaría los cambios que podrían haberse efectuado al
momento de ingresar los datos. No identificaría la información que podría haber sido
cambiada en los archivos maestros. Revisar los reportes en busca de cheques sobre una
cierta suma no permitiría la identificación de ningún cheque por valor bajo no autorizado ni
atraparía alteraciones a los mismos cheques reales.

C-49 Un almacén de datos.

A Está orientado a objeto.

B Está orientado a sujeto.
C Es específico del departamento.
D Es una base de datos volátil.

B Los almacenes de datos están orientados a sujeto. El almacén de datos está destinado a
ayudar en la toma de decisiones cuando la o las funciones a ser afectadas por la decisión
pasan por todos los departamentos dentro de una organización. No son volátiles. La
orientación a objeto y la volatilidad son irrelevantes par un sistema de almacén de datos.

C6-50 El uso de un diagrama de GANTT puede:

A Ayudar a hacer un cronograma de tareas de proyecto.

B Determinar los puntos de verificación del proyecto.
C Asegurar las normas de documentación
D Dirigir la revisión posterior a la implementación

A U n diagrama de GANTT se usa en el control de proyectos. Puede ayudar a identificar los

puntos de verificación que se necesitan pero su uso primario es la creación de un
cronograma. No asegurará la realización de documentación no proveerá indicación para la
revisión posterior a la implementación

C6-51 ¿Cuál de las siguientes pruebas realizadas por un auditor de SI sería MAS efectiva
para determinar el cumplimiento de los procedimientos de control de cambios de una
organización ?

A Revisar los registros de migración de software y verificar las aprobaciones.

B Identificar los cambios que hayan ocurrido y verificar las aprobaciones.
C Revisar el control de documentación de cambios y verificar las aprobaciones.
D Asegurarse que solamente el personal apropiado pueda migrar cambios a producción

B El método más efectivo es determinar, a través de comparaciones de códigos, qué

cambios se han efectuado y luego verificar que los mismos hayan sido aprobados. Los
registros de control de cambios y los registros de migración de software no pueden tener en
lista todos los cambios. Asegurar que solamente el personal apropiado pueda migrar
cambios a producción es un proceso de control de llave, pero en sí mismo no verifica el
cumplimiento.

C6-52 ¿Cuál de las siguientes opciones es un riesgo de implementación dentro del proceso
de sistema de soporte de decisiones?

A Control de gerencia.
B Dimensiones semiestructuradas.
C Incapacidad para especificar el propósito y los patrones de uso.
D Cambios en los proceso de decisión

C La incapacidad para especificar el propósito y los patrones de uso es un riesgo que los
desarrolladores necesitan anticipar mientras implementan un sistema de soporte de
decisiones (DSS). Las opciones A, B y D no son riesgos, sino características de un DSS.

C6-53 Un auditor de SI que realiza una clasificación independiente de sistemas debería

considerar la clasificación de una situación en la que las funciones podrían realizarse
manualmente a un costo tolerable por un período de tiempo prolongado, que se conoce
como sistema:

A Crítico.
B Vital.
C Sensitivo.
D No crítico.

C Las funciones sensitivas se describen mejor como las que pueden ser realizadas
manualmente a un costo tolerable por un período de tiempo prolongado. Las funciones
críticas son las que no pueden ser realizadas a menos que sean reemplazadas por
capacidades idénticas y no pueden ser realizadas por medios manuales. Las funciones
vitales se refieren a las que se pueden realizar manualmente pero solamente por un período
de tiempo breve. Esto está asociado con costos más bajos de interrupción que con funciones
críticas. Las funciones no críticas pueden ser interrumpidas por un período de tiempo
prolongado, con poco o ningún costo para la compañía, y requieren poco tiempo o costo
restaurar.

C6-54 Cuando una organización ha terminado el proceso de reingeniería del negocio (PBP)
de todas sus operaciones críticas, es MAS probable que el auditor de SI se concentre en una
revisión de:

A Diagramas de flujo previos al proceso de BPR.

B Diagramas de flujo posteriores al proceso.
C Proyecto de planes de BPR.
D Planes continuado de mejoramiento y monitoreo.

B La tarea de un auditor de SI es identificar y asegurarse que se hayan incorporado controles

clave en el proceso de reingeniería. La opción A es incorrecta porque el auditor de SI debe
revisar el proceso como está actualmente, no como estaba en el pasado. Las opciones C y D
son incorrectas porque son pasos dentro de un Proyecto de BPR.

C6-55 Un auditor de SI que realiza una revisión de las operaciones de EFT de una compañía
minorista verificaría que el límite de crédito de los clientes sea verificado antes que los
fondos sean transferidos mediante la revisión de:

A La interfaz del sistema.

B La instalación de conmutador.
C Procedimiento de generación de número de identificación personal.
D Procedimientos de operaciones de respaldo.

A En el procesamiento de nivel de aplicación, el auditor de SI debería revisar la interfaz entre

el sistema de EFT sistema y el sistema de aplicación que procesa las cuentas desde las que
se transfieren fondos. La opción B es incorrecta porque un conmutador de EFT es la
instalación que provee el enlace de comunicación para todos los equipos de la red. Las
opciones C y D son procedimientos que no ayudarían a determinar si el límite de crédito del
cliente se verifica antes de que los fondos sean transferidos.

C6-56 Un fabricante ha estado comprando materiales y suministros para su negocio a través

de una aplicación de comercio electrónico. ¿En cuál de los siguientes debería basarse este
fabricante para probar que las transacciones se hicieron realmente?

A Reputación
B Autenticación
C Encripción
D No repudio.

D No repudio puede asegurar que una transacción sea ejecutada. Implica crear prueba del
origen o de la entrega de datos para proteger al remitente contra negación falsa por el
destinatario del recibo de los datos o viceversa. La opción A es incorrecta porque la
reputación de la compañía por sí misma, no probaría que se hizo una transacción a través de
Internet. La opción B no es correcta ya que los controles de autenticación son necesarios
para establecer la identificación de todas las partes de una comunicación. La opción C es
incorrecta ya que la encripción puede proteger los datos transmitidos a través de la Internet,
pero no puede probar que se hicieron las transacciones.

C6-57 Una compañía utiliza un banco para procesar su planilla semanal. Los formularios de
hojas de tiempo y de ajuste de planilla (e.g. cambios de tarifa por hora, terminaciones) son
efectuados y entregados al banco, el cual prepara los cheques y reporta para su distribución.
Para asegurar MEJOR que los datos de la planilla son correctos:

A Los reportes de planilla deberían ser comparados con los formularios de entrada.
B La planilla bruta debería ser recalculada manualmente.
C Los cheques deberían ser comparados con los formularios de entrada.
D Los cheques deberían ser conciliados con los reportes de salida.

A La mejor forma de confirmar que los datos son correctos, cuando la entrada es
suministrada por la compañía y la salida es generada por el banco, es verificar los datos
ingresados con los resultados de entrada (reportes de planilla). Por ello, comparar reportes
de planilla con formularios de entrada es el mejor mecanismo para verificar que los datos
son correctos. Recalcular manualmente la planilla bruta solo verificaría si el procesamiento
es correcto y no la exactitud de los datos de entrada.
Comparar los cheques con los formularios de entrada no es factible ya que los cheque tienen
información procesada y los formularios de entrada tienen los datos de entrada. Conciliar
cheque con los reportes de salida solo confirma que los cheques han sido emitidos según los
reporte de salida.

C6-58 Los precios se cargan sobre la base de una tarifa estándar de archivo maestro que
cambia a medida que aumenta el volumen. Cualesquiera excepciones deben ser aprobadas
manualmente. ¿Cuál es control automatizado MAS efectivo para ayudar a asegurar que
todas las excepciones de precios sean aprobadas?

A Verificación visual, por el empleado de ingreso de datos, de todas las sumas mostradas de
vuelta .
B Los precios fuera del rango normal deberían ser ingresados dos veces para verificar la
corrección de los datos ingresados.
C El sistema pita cuando se ingresan excepciones de precios e imprime dichos incidentes en
un reporte.
D Una contraseña de segundo nivel debe ingresarse antes de que se pueda procesar una
excepción de precio.
D El control automatizado debería asegurar que el sistema procese las excepciones de
precio solo previa aprobación de otro usuario que este autorizado a aprobar dichas
excepciones. Una contraseña de segundo nivel aseguraría que las excepciones de precios
fueran aprobadas por un usuario que haya sido autorizado por la gerencia. La verificación
visual de todas las sumas por un empleado de ingreso de datos no es control, sino un
requerimiento básico para cualquier ingreso de datos. Que el usuario pueda verificar
visualmente lo que ha digitado es un control manual básico. El hecho que el sistema pite al
ingresarse una excepción de precios solo es una advertencia al empleado de ingreso de
datos, no impide que se siga procesando. Imprimir estas excepciones en un reporte es un
control (manual) de detección.

C6-65 ¿Cuál de los siguientes es el primer paso en un proceso de proyectos de reingeniería

del negocio(BPR)?

A Definir las áreas a ser revisadas.

B Desarrollar un plan de proyecto.
C Entender el proceso de Revisión
D Reingeniería y modernización del proceso de Revisión

A Sobre la base de la evaluación de todo el proceso del negocio, definir correctamente las
áreas a ser revisadas es el primer paso en un Proyecto de BPR. Sobre la base de la definición
de las áreas a ser revisadas, se desarrolla el plan del proyecto. Entender el proceso en
Revisión es importante, pero el sujeto de la Revisión debe estar definido primero. De ahí en
adelante, el proceso puede ser reestructurado, modernizado, implementado y monitoreado
en pos de un mejoramiento continuo.

C6-66 ¿Cuál de los siguientes elementos es el MAS crítico y contribuye MAS a la calidad de
datos en un almacén de datos?

A Corrección de los datos fuente.

B Credibilidad de los datos fuente.
C Corrección del proceso de extracción.
D Corrección de los datos de transformación

A La corrección de los datos fuente es un prerrequisito para la calidad de los datos en un

almacén de datos. La credibilidad de los datos fuente es importante, los procesos correctos
de extracción son importantes y las rutinas correctas de transformación son importantes,
pero no cambiarían los datos incorrectos en datos de calidad (correctos)

C6-67 Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para
proyectar las pérdidas financieras que podrían resultar del riesgo. Para evaluar las pérdidas
potenciales el equipo debería:

A Computar la amortización de los activos relacionados.

B Calcular un rendimiento de la inversión (ROI)
C Aplicar un enfoque cualitativo.
D Emplear el tiempo necesario para definir exactamente la suma perdida.

C La practica común, cuando es difícil calcular las pérdida financiera, es tomar un enfoque
cualitativo, en el que el gerente afectado por el riesgo define la pérdida financiera en
términos de un factor ponderado (e.g., 1 es un impacto muy bajo para el negocio y 5 es un
impacto muy alto). Un ROI es computado cuando hay ahorros o ingresos predecibles, que
pueden ser comparados con la inversión que se necesita para realizar los ingresos. La
amortización se usa en un estado de ganancias y pérdidas, no para computar las pérdidas
potenciales. Emplear el tiempo necesario para definir exactamente la suma total es por lo
general un enfoque incorrecto. Si ha sido difícil estimar las pérdidas potenciales (e.g.,
pérdidas derivadas de la erosión de la imagen pública debido a un ataque de hacker)
situación que no es probable que cambie, al final del día, uno llegará a una evaluación que
no está bien respaldada.

C6-68 En un proceso EDI, el dispositivo que transmite y recibe los documentos electrónicos
es el:
A Manejador de comunicaciones.
B Traductor de EDI.
C Interfaz de aplicaciones.
D Interfaz de EDI.

A Un manejador de comunicaciones transmite y recibe documentos electrónicos entre socios

comerciales y o redes de área amplia;

C6-73 Funcionalidad es una característica asociada con evaluar la calidad de los productos
de software durante todo su ciclo de vida, y se describe MEJOR como el conjunto de atributos
que recaen sobre:

A existencia de un conjunto de funciones y sus propiedades especificas.

B capacidad de software de ser transferido de un ambiente a otro.
C. Capacidad de software de mantener su nivel e desempeño bajo condiciones establecidas
D. Relación entre el desempeño del software y la cantidad de recursos usados

A. Funcionalidad es el conjunto de atributos que recae sobre la existencia de un conjunto de

funciones y sus propiedades específicas. Las funciones son as que satisfacen las necesidades
establecidas o implícitas. La opción B se refiere a la portabilidad, la opción C se refiere a la
confiabilidad y la opción D. Se refiere a la eficiencia.

C6-74 Como resultado de un proceso de proyecto de reingeniería del negocio (BPR):

A Un auditor de SI estaría preocupado por los controles clave que existían en el proceso
anterior del negocio y no por los del nuevo proceso.
B Los procesos de sistema son automatizados en tal forma que hay más intervenciones
manuales y controles manuales.
C Los procesos recién diseñados del negocio por lo general no implican cambios en la forma
de hacer negocios.
D Las ventajas, por lo general, se obtienen cuando el proceso de reingeniería se ajusta de
manera apropiada al negocio y al riesgo.

D BPR es el proceso de responder a presiones competitivas, económicas y a las demandas

de los clientes para sobrevivir en el corriente entorno del negocio. Las ventajas de BPR por lo
general se experimentan cuando el proceso de reingeniería se ajusta de manera apropiada a
las necesidades del negocio. La opción A no es correcta, porque en un BPR un auditor de SI
debería preocuparse porque todos los controles, en especial tanto los del nuevo proceso
como los controles clave que puedan haber sido reestructurados de un proceso del negocio.
La opción B no es correcta porque lo que busca BPR es tener menos intervenciones y
controles manuales. La opción C es también incorrecta porque en BPR los procesos recién
diseñados del negocio, implican inevitablemente cambios en la forma de hacer negocios.

C6-75 Los rubros de fecha de nacimiento y fecha de matrimonio fueron cambiados cuando
se ingresaban los datos. ¿Cuál de las siguientes verificaciones de validación de datos podría
detectar esto?
A Relación lógica.
B Secuencia.
C Razonabilidad
D Validez

A Si una condición en particular es cierta, entonces una o más condiciones adicionales o

relaciones de ingreso de datos pueden requerirse que sean ciertas y entonces la entrada
podrá ser considerada válida. La fecha de matrimonio tiene que seguir a la fecha de
nacimiento más un cierto periodo. Una verificación de relación lógica sería útil para detectar
este error de ingreso de datos. Una verificación de secuencia verificaría una serie
ascendente o descendente de ingresos. Una verificación de razonabilidad se usa para
comparar datos de entrada con límites razonables predeterminados y una verificación de
validez validaría datos en conformidad con criterios predeterminados.