Académique Documents
Professionnel Documents
Culture Documents
C6-1 ¿Cuál de los siguientes es MAS probable que resulte de un proceso del proyecto de
reingeniería de negocios (BPR)?
A Un proyecto de BPR con más frecuencia conduce a un mayor número de personas que
usan tecnología, y esto sería una causa de preocupación. Como BPR está frecuentemente
orientada a la tecnología, y esta tecnología es por lo general más compleja y volátil que en el
pasado, con frecuencia los ahorros de costo no se materializan en esta área. No hay razón
para que IP entre en conflicto con un proyecto de BPR, a menos que el proyecto no sea
ejecutado debidamente.
A Disponibilidad de datos.
B Totalidad de datos.
C Redundancia de datos.
D Inexactitud de datos.
A La verificación asegurará que las órdenes de producción coincidan con las órdenes del
cliente. El registro se puede usar para detectar inexactitudes, pero en sí mismo no garantiza
un procesamiento exacto. Los totales hash asegurarán la transmisión precisa de las órdenes,
pero no el procesamiento centralizado exacto. La aprobación de supervisión de producción
es un proceso manual que consume tiempo que no garantiza un control apropiado.
C6-5 Cuál de las siguientes opciones provee MEJOR información para detectar una entrada
(input) no autorizada proveniente de una terminal:
C6-6 A medida que un proceso del proyecto de reingeniería del negocio ( BPR) se establece
se espera que:
B Una fortaleza de un sistema de calidad implementado basado en ISO 9001 es que aumenta
las mejoras en las actividades del ciclo de vida del software, la garantía de calidad y control
de calidad. Las debilidades del sistema incluyen que puede dejar de proveer respuestas
claras a preguntas respecto a la productividad, confiabilidad o efectividad de costo del
sistema. Un sistema de calidad no es una garantía de soluciones de calidad para los
problemas del negocio ya que los requerimientos de usuario definidos de manera deficiente
afectarán adversamente el diseño del software. Dependiendo de la madurez del sistema de
calidad implementado, las etapas pueden variar desde procedimientos no implementados a
totalmente implementados.
C6-7 A medida que un proceso del proyecto de reingeniería del negocio (BPR) se establece,
se espera que:
A La falta de seguridad.
B La pérdida de plusvalía.
C El corte de energía.
D Los servicios de información
C Las amenazas, como por ejemplo un corte de energía, son posibles fuentes de peligro para
los activos de una organización. La falta de seguridad es una vulnerabilidad. Las
vulnerabilidades son un conjunto de circunstancias susceptibles a ataques. La pérdida de
plusvalía es un impacto. Los servicios de información son activos, vulnerables a amenazas y
a los impactos resultantes.
C6-9 Una secuencia de bits unidos a un documento digital que se usa para asegurar un
correo electrónico enviado a través de la Internet, se denomina una:
A Firma resumida.
B Firma electrónica.
C Firma digital.
D Firma hash
C Una firma digital a través de la llave criptográfica privada autentica una transmisión
proveniente de un remitente por medio de la llave criptográfica privada. Es una hilera de bits
que representa de manera única otra hilera de bits, un documento digital. Una firma
electrónica se refiere a la hilera de bits que digitalmente representa una firma manuscrita
captada por un sistema de computadora cuando una persona la aplica en una almohadilla de
pluma electrónica, conectada al sistema.
A Dígitos de verificación
B Bits de paridad
C Verificación uno a uno.
D Entrada (input) registrado previamente.
B Los bits de paridad se usan para verificar si hay totalidad de transmisiones de datos. La
opción A es incorrecta porque los dígitos de verificación son una verificación de control de
exactitud. La opción C es incorrecta porque en la verificación uno a uno, los documentos
individuales se hacen coincidir con un listado detallado de documentos procesados por la
computadora, pero no aseguran que todos los documentos hayan sido recibidos para
procesamiento. La opción D (input registrado previamente) es un control de archivo de datos
en el cual los campos seleccionados de información están preimpresos en formularios de
entrada para reducir la oportunidad de errores de registro.
C6-12 ¿Cuál de los siguientes tipos de verificaciones de edición de datos se usa para
determinar si un campo contiene datos, y no ceros o espacios en blanco?
A Dígito de verificación
B Verificación de existencia.
C Verificación de totalidad
D Verificación de razonabilidad
A Controles preventivos.
B Controles de detección
C Controles correctivos.
D Controles de compensación
A Las ediciones de datos son controles preventivos ya que se usan en un programa antes
que los datos sean procesados, previniendo así el procesamiento de datos que contengan
errores.
C6-14 Cuál de los siguientes tipos de controles está diseñado para proveer la capacidad de
verificar datos y registrar valores a través de las etapas de procesamiento de la aplicación?
A Verificación de rangos.
B Totales de ejecución a ejecución.
C Verificaciones de límite sobre sumas calculadas.
D Reporte de excepción.
C6-15 ¿Cuál de los siguientes está destinado a detectar la pérdida o duplicado de entradas?
A Los totales hash son el resultado de totalizar campos especificados en una serie de
transacciones o registros. Si una suma posterior no tuviera como resultado el mismo número
, entonces los registros se han perdido, o bien han sido ingresados o transmitidos
incorrectamente, o han sido duplicados.
D Una pista de auditoría no es efectiva si los detalles en la misma pueden ser enmendados.
C6-17 La intención de los controles de aplicación es asegurar que cuando se ingresan datos
inexactos al sistema, los datos sean:
A Aceptados y procesados.
B Aceptados y no procesados.
C No aceptados y no procesados.
D No aceptados y procesados.
C6-18 ¿Cuál de las siguientes opciones es la PRIMERA cosa que un auditor de SI debería
hacer después de descubrir un programa de caballo de Troya en un sistema de
computadora?
A Investigar el autor.
B Eliminar cualesquiera amenazas subyacentes.
C Establecer controles de compensación.
D Hacer que se elimine el código transgresor.
D La primera función de un auditor de SI es impedir que el caballo de Troya cause más daño.
Después de eliminar el código transgresor, las acciones de seguimiento incluirán
investigación y recomendaciones (las opciones B y C)
C6-19 ¿Cuál de las siguientes actividades del administrador de base de datos (DBA) es
improbable que sea registrada en el registro de controles de detección?
A Eliminación de un registro.
B Cambio de una contraseña.
C Revelación de una contraseña.
D Cambios a derechos de acceso.
C6-20 La edición /validación de datos ingresados en un sitio remoto sería realizada MAS
efectivamente en el:
A Sitio central de procesamiento después de ejecutar el sistema de aplicación.
B Sitio central de procesamiento durante la ejecución del sistema de aplicación.
C Sitio remoto de procesamiento después de la transmisión de los datos al sitio central de
procesamiento.
D Sitio remoto de procesamiento antes de transmitir los datos al sitio central de
procesamiento.
D Es importante que los datos entrados desde un sitio remoto sean editados y validados
antes de ser transmitidos al sitio central de procesamiento.
A Revisión visual detallada y análisis del código fuente de los programas de cálculo.
B Recrear un programa lógico usando software generalizado de auditoría para calcular los
totales mensuales.
C Preparar transacciones simuladas para procesar y comparar los resultados con resultados
predeterminados.
D Creación automática del diagrama de flujo y análisis del código fuente de los programas
de cálculo.
C Preparar transacciones simuladas para procesar y comparar los resultados con resultados
predeterminados es el MEJOR método para probar que un cálculo de impuestos es correcto.
La revisión visual detallada, la creación de diagramas de flujo y el análisis de código fuente
no son métodos efectivos, y los totales mensuales no resolverían la exactitud de cálculos
individuales de impuestos.
A Registro de auditoría.
B Registro de consola.
C Registro de terminal.
D Registro de transacción
C6-23 Un programador incluyó, en una aplicación de pago de nómina, una rutina para buscar
su código de empleado en nómina. Como consecuencia, si este número de código no
aparece durante la ejecución del pago de la nómina, la rutina generará y colocará números
aleatorios en cada cheque de pago. Esta rutina se conoce como:
A Scavenging
B Fuga de datos.
C Piggybacking
D Caballo de Troya.
C6-25 Para reducir la posibilidad de perder datos durante el procesamiento, el PRIMER punto
en el que se deberían implementar los totales de control es:
C6-26 Mientras copiaba archivos desde un disco floppy, un usuario introdujo un virus en la
red. ¿Cuál de las siguientes opciones detectaría MAS efectivamente la existencia del virus?
Un:
C6-27 Cuando dos o más sistemas están integrados, los controles de entrada/salida deber
ser revisados por el auditor de SI en los:
C Ambos sistemas deben ser revisados para verificar si tienen controles de entrada/salida ya
que la salida de un sistema es entrada para el otro.
C Las técnicas de autenticación para enviar y recibir mensajes tienen una función clave para
minimizar la exposición a transacciones no autorizadas. Los acuerdos de socios comerciales
de EDI minimizarán la exposición a los problemas legales.
C6-30 Cuando se revisa un proceso de proyecto de reingeniería del negocio (BPR), ¿Cuál de
los siguientes aspectos es MAS importante que un auditor de SI evalúe?
A EDI promueve un ambiente sin papeles más eficiente, pero al mismo tiempo, al haber
menos intervención humana, se hace más difícil revisar y autorizar. La opción B es incorrecta
ya que como la interacción entre las partes es electrónica, no ocurre una autenticación
inherente. Los datos computadorizados pueden parecer los mismos, independientemente de
la fuente, y no incluyen ningún elemento humano o firma que los distinga. La opción C es
incorrecta por que es un riesgo de seguridad asociado con el EDI. La opción D es incorrecta
porque hay relativamente pocos controles adicionales de EDI, si los hubiera. En vez de ello,
será necesario que se ejerza más control por parte del sistema de aplicación del usuario para
reemplazar los controles manuales, como por ejemplo revisiones de documentos en el sitio.
Será necesario poner más énfasis en el control sobre la transmisión de datos (controles de
administración de red)
C6-32 ¿Cuál de los siguientes perfiles de usuario sería de MAS preocupación para el auditor
de SI, cuando realiza la auditoría de un sistema de EFT?
A Tres usuarios con la capacidad de capturar y verificar sus propios mensajes.
B Cinco usuarios con la capacidad de capturar y enviar sus propios mensajes.
C Cinco usuarios con la capacidad de verificar otros usuarios y enviar sus propios mensajes.
D Tres usuarios con la capacidad de capturar y verificar los mensajes de otros usuarios y
enviar sus propios mensajes.
A Totales hash.
B Verificación de razonabilidad.
C Controles de acceso en línea.
D Reporte de imagen antes y después.
A Las tasas de impuestos representan datos críticos que serán usados en numerosos
cálculos y que deberían ser verificados de manera independiente por alguien que no sea la
persona que los ingresa antes que ellos sean usados en el procesamiento. Las opciones B Y
C son controles programados útiles para impedir errores graves, es decir, errores como por
ejemplo un cero agregado o alfa en lugar de un número. Una tabla de impuestos debe ser
100 por ciento correcta, no solo legible. La opción permitirá que el personal de ingreso de
datos verifique si la entrada es correcta, pero esto no es suficiente.
C6-35 Durante una auditoría del sistema de administración de cintas en un centro de datos,
un auditor de SI descubrió que los parámetros están fijados para evadir o ignorar las
etiquetas escritas en los registros de encabezado de cintas. El auditor de SI también
determinó que estuvieran implementados procedimientos efectivos para el establecimiento
y preparación de los trabajos. En esta situación, el auditor de SI debería concluir que:
A Los encabezados de cintas deberían ser registrados manualmente y verificados por los
operadores.
B Los procedimientos para el establecimiento y preparación de trabajos no son controles
apropiados de compensación
C Los procedimientos para el establecimiento y preparación de trabajos compensan la
debilidad de control de las etiquetas de la cinta.
D Se deben fijar parámetros del sistema de administración de cintas para verificar todas las
etiquetas.
C Los controles de compensación son una parte importante de una estructura de control. Se
consideran adecuados, ayudan a lograr el objetivo de control y son efectivos en costos. En
esta situación, el auditor de SI es probable que concluya que los procedimientos para el
establecimiento y preparación de trabajos compensan la debilidad de control de etiquetas de
cintas.
C6-36 Un auditor de SI, que revisa controles de base de datos, descubrió que los cambios a
la base de datos durante horas laborales normales se manejaban a través de un conjunto de
procedimientos estándar Sin embargo, los cambios hechos después de horas normales
requerían solamente un número abreviado de pasos. En esta situación, ¿cuál de las
siguientes opciones se consideraría un conjunto de controles adecuados de compensación?
A Las vulnerabilidades son características de los Recursos de SI que pueden ser explotadas
teniendo como consecuencia algún daño. Las amenazas, no las vulnerabilidades, son
eventos que tienen el potencial de causar daño. Una amenaza ocurre a causa de una
vulnerabilidad asociada con el uso del recurso de información. La falta de conocimiento del
usuario es un ejemplo de vulnerabilidad
B Los controles de integridad referencial impiden que ocurran valores clave extraños que no
coincidan. Dado que un empleado que no existe no aparece en la tabla de empleados, nunca
tendrá una entrada correspondiente en la tabla de pagos de salarios. Las otras opciones no
pueden ser detectadas por los controles de integridad referencial.
C6-39 ¿Cuál de los siguientes servicios de mensaje da protección más fuerte de que ha
ocurrido una acción específica?
A Prueba de entrega.
B No repudio.
C Prueba de sometimiento.
D Autenticación de origen de mensaje.
B Los servicios de no repudio proveen evidencia de que ocurrió una acción especifica. Los
servicios de no repudio son similares a sus contrapartes más débiles de prueba. (i.,e., prueba
de sometimiento, prueba de entrega, y autenticación de origen de mensaje). Sin embargo, el
no repudio provee protección más fuerte porque la prueba puede ser demostrada a un
tercero. Las firmas digitales se usan para proveer no repudio. La autenticación de origen de
mensaje solamente confirmará la fuente del mensaje y no confirma la acción especifica que
se ha realizado.
C6-40 La razón PRIMARIA de reemplazar los cheques con un sistema de EFT en el área de
cuentas por pagar es.:
A El proceso de pago es más eficiente porque implica que virtualmente no hay intervención.
Esto reduce la posibilidad de que ocurran errores de transcripción ya que la información es
ingresada al sistema de cuentas por pagar. Las normas internacionales de banca de EFT no
dictan la forma en que se deban hacer las transacciones- La disminución en el número de
formularios de pagos basados en papel hace el proceso más sencillo, pero la mayoría de las
compañías aceptará el pago en cualquier forma que el cliente esté dispuesto a usar. La
reducción en los cambios no autorizados a las transacciones de pago no es una razón
importante para ir a EFT.
C6-41 Un auditor de SI recomienda que se programe una validación inicial a una aplicación
de captación de transacciones de tarjeta de crédito. Es MAS probable que el proceso de
validación inicial:
A Realice verificaciones para asegurar que el tipo de transacción es válido para el tipo de
tarjeta.
B Verifique el formato del número ingresado y luego lo coloque en la base de datos.
C Asegure que la transacción ingresada esté dentro del límite de crédito del tarjetahabiente.
D Confirme que la tarjeta no aparezca como perdida o robada en el archivo maestro.
A Controles de validación
B Verificaciones de credibilidad interna.
C Procedimientos control de oficina.
D Balanceo automatizado del sistema.
D El balanceo automatizado del sistema sería la mejor forma de asegurar que no se pierda
ninguna transacción ya que cualquier desbalance entre el total de entradas y el total de
salidas se reportaría para investigación y corrección. Los controles de validación y
certificaciones de credibilidad interna son ciertamente controles validos, pero no detectarán
ni reportarán las transacciones perdidas. Además, a pesar de que se podría usar un
procedimiento de oficina para sumar y comparar entradas y salidas, un proceso
automatizado es menos susceptible de error.
D Los cambios hechos a la tabla de la base de datos de planilla aparecería en los archivos de
registro de transacciones. Como el programa original fue restaurado, la comparación de
códigos fuente y ejecutables no es inefectiva. ITF es menos efectivo que la comparación de
código fuente, porque es difícil saber qué buscar.
C6-44 Dando seguimiento a la reorganización del legado de base de datos de una compañía,
se descubrió que accidentalmente se borraron algunos registros. ¿Cuál de los siguientes
controles hubiera detectado MAS efectivamente este incidente?
A Verificación de rango.
B Inspección de tablas
C Totales de ejecución a ejecución
D Verificación uno a uno.
C Los totales de ejecución a ejecución hubieran sido un control efectivo del procesamiento
en esta situación. Las inspecciones de tabla y la verificación de rangos se usan para validar
datos antes del ingreso, o tan cerca del punto de origen como sea posible. La verificación
uno a uno consume mucho tiempo y por lo tanto es menos efectiva.
C6-45 Recientemente una compañía ha ampliado la capacidad de su sistema de compras
para incorporar transmisiones de EDI ¿cuál de los siguientes controles se debería
implementar en lal interfaz de EDI para proveer un mapeo eficiente de datos?
A Verificación de llave.
B Verificación uno a uno.
C Recálculos manuales.
D Reconocimientos funcionales.
D Actuando como una pista de auditoría para Transacciones de EDI, los reconocimientos
funcionales son una de los controles principales que se usan en el mapeo de datos. Todas las
otras opciones son controles manuales de entrada, mientras que el mapeo de datos se
ocupa de la integración automática de datos en la compañía que recibe.
C6-46 En un almacén de datos ( data warehouse), la calidad de datos se logra mediante la:
A Limpieza.
B Reestructuración
C Credibilidad de datos fuente.
D Transformación
C6-47 Las órdenes de venta son numeradas automáticamente en forma secuencial en cada
uno de los puntos de venta múltiple de un vendedor minorista. Las órdenes pequeñas son
procesadas directamente en los puntos de venta, enviándose las órdenes grandes a una
instalación central de producción. El control más apropiado para asegurar que todas las
órdenes transmitidas a producción sean recibidas y procesadas sería:
A Enviar y conciliar totales de transacción no solamente asegura que las órdenes fueron
recibidas, sino que también fueron procesadas por el lugar central de producción. Transmitir
los datos de la transacción de regreso al sitio local confirma que el lugar central la recibió,
pero no que las hayan procesado realmente. Rastrear y dar cuenta de la secuencia numérica
solamente confirma que las órdenes están a la mano y no si las mismas se han efectuado
realmente. El uso de verificación de paridad solamente confirmaría que la orden no fue
cambiada durante la transmisión
C6-48 ¿Cuál de los siguientes es un control para compensar que un programador tenga
acceso a datos de producción de cuentas por pagar?
B Los almacenes de datos están orientados a sujeto. El almacén de datos está destinado a
ayudar en la toma de decisiones cuando la o las funciones a ser afectadas por la decisión
pasan por todos los departamentos dentro de una organización. No son volátiles. La
orientación a objeto y la volatilidad son irrelevantes par un sistema de almacén de datos.
C6-51 ¿Cuál de las siguientes pruebas realizadas por un auditor de SI sería MAS efectiva
para determinar el cumplimiento de los procedimientos de control de cambios de una
organización ?
C6-52 ¿Cuál de las siguientes opciones es un riesgo de implementación dentro del proceso
de sistema de soporte de decisiones?
A Control de gerencia.
B Dimensiones semiestructuradas.
C Incapacidad para especificar el propósito y los patrones de uso.
D Cambios en los proceso de decisión
C La incapacidad para especificar el propósito y los patrones de uso es un riesgo que los
desarrolladores necesitan anticipar mientras implementan un sistema de soporte de
decisiones (DSS). Las opciones A, B y D no son riesgos, sino características de un DSS.
A Crítico.
B Vital.
C Sensitivo.
D No crítico.
C Las funciones sensitivas se describen mejor como las que pueden ser realizadas
manualmente a un costo tolerable por un período de tiempo prolongado. Las funciones
críticas son las que no pueden ser realizadas a menos que sean reemplazadas por
capacidades idénticas y no pueden ser realizadas por medios manuales. Las funciones
vitales se refieren a las que se pueden realizar manualmente pero solamente por un período
de tiempo breve. Esto está asociado con costos más bajos de interrupción que con funciones
críticas. Las funciones no críticas pueden ser interrumpidas por un período de tiempo
prolongado, con poco o ningún costo para la compañía, y requieren poco tiempo o costo
restaurar.
C6-54 Cuando una organización ha terminado el proceso de reingeniería del negocio (PBP)
de todas sus operaciones críticas, es MAS probable que el auditor de SI se concentre en una
revisión de:
C6-55 Un auditor de SI que realiza una revisión de las operaciones de EFT de una compañía
minorista verificaría que el límite de crédito de los clientes sea verificado antes que los
fondos sean transferidos mediante la revisión de:
A Reputación
B Autenticación
C Encripción
D No repudio.
D No repudio puede asegurar que una transacción sea ejecutada. Implica crear prueba del
origen o de la entrega de datos para proteger al remitente contra negación falsa por el
destinatario del recibo de los datos o viceversa. La opción A es incorrecta porque la
reputación de la compañía por sí misma, no probaría que se hizo una transacción a través de
Internet. La opción B no es correcta ya que los controles de autenticación son necesarios
para establecer la identificación de todas las partes de una comunicación. La opción C es
incorrecta ya que la encripción puede proteger los datos transmitidos a través de la Internet,
pero no puede probar que se hicieron las transacciones.
C6-57 Una compañía utiliza un banco para procesar su planilla semanal. Los formularios de
hojas de tiempo y de ajuste de planilla (e.g. cambios de tarifa por hora, terminaciones) son
efectuados y entregados al banco, el cual prepara los cheques y reporta para su distribución.
Para asegurar MEJOR que los datos de la planilla son correctos:
A Los reportes de planilla deberían ser comparados con los formularios de entrada.
B La planilla bruta debería ser recalculada manualmente.
C Los cheques deberían ser comparados con los formularios de entrada.
D Los cheques deberían ser conciliados con los reportes de salida.
A La mejor forma de confirmar que los datos son correctos, cuando la entrada es
suministrada por la compañía y la salida es generada por el banco, es verificar los datos
ingresados con los resultados de entrada (reportes de planilla). Por ello, comparar reportes
de planilla con formularios de entrada es el mejor mecanismo para verificar que los datos
son correctos. Recalcular manualmente la planilla bruta solo verificaría si el procesamiento
es correcto y no la exactitud de los datos de entrada.
Comparar los cheques con los formularios de entrada no es factible ya que los cheque tienen
información procesada y los formularios de entrada tienen los datos de entrada. Conciliar
cheque con los reportes de salida solo confirma que los cheques han sido emitidos según los
reporte de salida.
C6-58 Los precios se cargan sobre la base de una tarifa estándar de archivo maestro que
cambia a medida que aumenta el volumen. Cualesquiera excepciones deben ser aprobadas
manualmente. ¿Cuál es control automatizado MAS efectivo para ayudar a asegurar que
todas las excepciones de precios sean aprobadas?
A Verificación visual, por el empleado de ingreso de datos, de todas las sumas mostradas de
vuelta .
B Los precios fuera del rango normal deberían ser ingresados dos veces para verificar la
corrección de los datos ingresados.
C El sistema pita cuando se ingresan excepciones de precios e imprime dichos incidentes en
un reporte.
D Una contraseña de segundo nivel debe ingresarse antes de que se pueda procesar una
excepción de precio.
D El control automatizado debería asegurar que el sistema procese las excepciones de
precio solo previa aprobación de otro usuario que este autorizado a aprobar dichas
excepciones. Una contraseña de segundo nivel aseguraría que las excepciones de precios
fueran aprobadas por un usuario que haya sido autorizado por la gerencia. La verificación
visual de todas las sumas por un empleado de ingreso de datos no es control, sino un
requerimiento básico para cualquier ingreso de datos. Que el usuario pueda verificar
visualmente lo que ha digitado es un control manual básico. El hecho que el sistema pite al
ingresarse una excepción de precios solo es una advertencia al empleado de ingreso de
datos, no impide que se siga procesando. Imprimir estas excepciones en un reporte es un
control (manual) de detección.
A Sobre la base de la evaluación de todo el proceso del negocio, definir correctamente las
áreas a ser revisadas es el primer paso en un Proyecto de BPR. Sobre la base de la definición
de las áreas a ser revisadas, se desarrolla el plan del proyecto. Entender el proceso en
Revisión es importante, pero el sujeto de la Revisión debe estar definido primero. De ahí en
adelante, el proceso puede ser reestructurado, modernizado, implementado y monitoreado
en pos de un mejoramiento continuo.
C6-66 ¿Cuál de los siguientes elementos es el MAS crítico y contribuye MAS a la calidad de
datos en un almacén de datos?
C6-67 Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para
proyectar las pérdidas financieras que podrían resultar del riesgo. Para evaluar las pérdidas
potenciales el equipo debería:
C La practica común, cuando es difícil calcular las pérdida financiera, es tomar un enfoque
cualitativo, en el que el gerente afectado por el riesgo define la pérdida financiera en
términos de un factor ponderado (e.g., 1 es un impacto muy bajo para el negocio y 5 es un
impacto muy alto). Un ROI es computado cuando hay ahorros o ingresos predecibles, que
pueden ser comparados con la inversión que se necesita para realizar los ingresos. La
amortización se usa en un estado de ganancias y pérdidas, no para computar las pérdidas
potenciales. Emplear el tiempo necesario para definir exactamente la suma total es por lo
general un enfoque incorrecto. Si ha sido difícil estimar las pérdidas potenciales (e.g.,
pérdidas derivadas de la erosión de la imagen pública debido a un ataque de hacker)
situación que no es probable que cambie, al final del día, uno llegará a una evaluación que
no está bien respaldada.
C6-68 En un proceso EDI, el dispositivo que transmite y recibe los documentos electrónicos
es el:
A Manejador de comunicaciones.
B Traductor de EDI.
C Interfaz de aplicaciones.
D Interfaz de EDI.
C6-73 Funcionalidad es una característica asociada con evaluar la calidad de los productos
de software durante todo su ciclo de vida, y se describe MEJOR como el conjunto de atributos
que recaen sobre:
A Un auditor de SI estaría preocupado por los controles clave que existían en el proceso
anterior del negocio y no por los del nuevo proceso.
B Los procesos de sistema son automatizados en tal forma que hay más intervenciones
manuales y controles manuales.
C Los procesos recién diseñados del negocio por lo general no implican cambios en la forma
de hacer negocios.
D Las ventajas, por lo general, se obtienen cuando el proceso de reingeniería se ajusta de
manera apropiada al negocio y al riesgo.
C6-75 Los rubros de fecha de nacimiento y fecha de matrimonio fueron cambiados cuando
se ingresaban los datos. ¿Cuál de las siguientes verificaciones de validación de datos podría
detectar esto?
A Relación lógica.
B Secuencia.
C Razonabilidad
D Validez