GUA PARA EL EXAMEN DE AUDITORA INFORMTICA EN LA UVM SOBRE EL MANUAL DE PREPARACIN DE CISA.

Question Excerpt From AUDITORA INFORMTICA - CAP. 1-2 MANUAL CISA

Q.1)
A . B . C . D .

Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?

El cronograma de auditora puede realizarse con meses de anticipacin Es ms probable que los presupuestos de auditora sean cumplidos por el personal de auditora de SI El personal de auditora estar expuesto a una variedad de tecnologas Los recursos de auditora son asignados a las reas de mayor preocupacin
Una accin correctiva ha sido tomada por un auditado inmediatamente despus de la identificacin de un hallazgo que debera ser reportado. El auditor debe:

Q.2)
A . B . C . D .

incluir el hallazgo en el reporte final porque el auditor de SI es responsable de un reporte exacto de todos los hallazgos. no incluir el hallazgo en el reporte final porque el reporte de auditora debe incluir solamente los hallazgos no resueltos. no incluir el hallazgo en el reporte final porque la accin correctiva puede ser verificada por el auditor de SI durante la auditora. incluir el hallazgo en la reunin de cierre para fines de discusin soalmente.
El objetivo PRIMARIO de una funcin de auditora de SI es:

Q.3)
A . B . C . D .

determinar si todos usan los recursos de SI de acuerdo con su descripcin del trabajo determinar si los sistemas de informacin salvaguardan activos, y mantienen la integridad de datos examinar libros de contabilidad y evidencia documentara relacionada para el sistema computarizado determinar la capacidad de la organizacin para detectar fraude

En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha Q.4) identificado amenazas e impactos potenciales. Inmediatamente despus un auditor de SI debe:
A . B . C . D

identificar y evaluar el proceso de anlisis del riesgo usado por la gerencia. identificar los activos de informacin y los sistemas subyacentes. revelar las amenazas y los impactos a la gerencia. identificar y evaluar los controles

existentes.
Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?

Q.5)
A . B . C . D .

No reportar un ataque exitoso en la red No notificar a la polica sobre un intento de intrusin. La falta de examen peridico de derechos de acceso La falta de notificacin al pblico sobre un intruso.
Cul de los siguientes es un objetivo de control de SI?

Q.6)
A . B . C . D .

Los reportes de salida estn bajo llave en un lugar seguro No ocurren transacciones duplicadas Los procedimientos de respaldo/recuperacin del sistema son actualizados peridicamente El diseo y el desarrollo del sistema renen los requerimientos de los usuarios
Un elemento clave en un anlisis de riesgo es / son:

Q.7)
A . B . C . D .

la planeacin de auditora los control es las vulnerabilidade s. las responsabilidad es Ser dinmico y cambiar con frecuencia para coincidir con la naturaleza cambiante de la Tecnologa y la profesin de auditora. Establecer claramente los objetivos de la auditora para la delegacin de autoridad para el mantenimiento y revisin de los controles internos. Documentar los procedimientos de auditora designados para lograr los objetivos planeados de auditora Descubrir la autoridad, alcance y responsabilidades generales de la funcin de auditora.
Durante una revisin de los controles sobre el proceso de definir los niveles de servicios de TI, un auditor de SI entrevistara MS probablemente al:

Q.8) Un contrato de auditora debera:

A . B . C . D .

Q.9)

A . B . C . D .

programador de sistemas. personal del departamento legal. gerente de la unidad de negocio. program ador.
Es un enfoque de auditora basado en el riesgo, un auditor de SI, adems del riesgo, un auditor de SI, adems del riesgo, estaria influenciado por la:

Q.10)
A . B . C . D .

disponibilidad de CAATs representacin de la gerencia. estructura de la organizacin y las responsabilidades del puesto de trabajo existencia de controles internos y operativos
La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para la gerencia de seguridad de informacin es que ste asegura que:

Q.11)
A . B . C . D .

los activos de informacin estn sobreprotegidos. se aplique nivel bsico de proteccin independientemente del valor del activo. se apliquen niveles apropiados de proteccin a los activos de informacin. se dedique una proporcin igual de recursos para proteger todos los activos de informacin.
Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimento?

Q.12)
A . B . C . D .

Muestreo de atributos. Muestreo de variables. Media estratificada por unidad . Estimacin de la diferencia.
El propsito PRIMARIO de un contrato de auditora es:

Q.13)
A . B . C .

documentar el proceso de auditora usado por la empresa. documentar formalmente el plan de accin del departamento de auditora. documentar un cdigo de conducta profesional para el

D .

auditor. describir la autoridad y responsabilidades del departamento de auditora.

Cul de las siguientes opciones sera normalmente la evidencia MS confiable para un auditor?

Q.14)
A . B . C . D .

Una carta de confirmacin recibida de un tercero verificado un saldo de cuenta. Garanta de la gerencia de lnea de que una aplicacin est funcionado como se la diseo. Los datos de tendencia obtenidos de fuentes de la World Wide Web (internet) Los anlisis de ratio desarrollados por el auditor de SI a partir de los informes suministrados por la gerencia de lnea.
Cul de las siguientes es la razn MS probable de por qu los sistemas de correo electrnico se han convertido en una fuente til de evidencia en litigios?

Q.15)
A . B . C . D .

Permanecen disponibles archivos de respaldo de diferentes ciclos. Los controles de acceso establecen la responsabilidad de dar cuenta de la informacin de correo electrnico. La clasificacin de datos regular que informacin debera ser comunicada por correo electrnico. Dentro de la empresa, una poltica clara para usar el correo electrnico asegura que la evidencia esta disponible.
Cul de los siguientes describe MEJOR una prueba integrada (integrated test facility- ITF)?

Q.16)
A . B . C . D .

Una tcnica que permite al auditor de SI probar una aplicacin de computadora con el fin de verificar si hay un proceso correcto. La utilizacin de hardware y/o software para revisar y probar el funcionamiento de un sistema de computadora. Un mtodo para usar opciones especiales de programacin para permitir que se imprima la ruta a travs de un programa tomado para procesar una transaccin especifica. Un procedimiento para marcar y extender transacciones y registros maestros que son usados por un auditor de SI para pruebas.

El departamento de SI de una organizacin quiere asegurarse de que los archivos Q.17) de computadora usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para permitir la recuperacin apropiada. Este es un:
A . B . C . D .

procedimiento de control. objetivos de control. control correctivo. control operativo.

Q.18) El grado hasta donde los datos sern recolectados durante una auditora de SI

debera ser determinado basado en:

A . B . C . D .

la disponibilidad de la informacin crtica requerida. la familiaridad del auditor con las circunstancias. la capacidad del auditado para encontrar evidencia relevante el propsito y el alcance de la auditora que se haga.

Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. Cul de las siguientes situaciones Q.19) puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas:
A . B . C . D .

implement un control especfico durante el desarrollo del sistema de aplicacin. diseo un mdulo integrado de auditora exclusivamente para auditar el sistema de aplicacin. particip como miembro del equipo del proyecto del sistema de aplicacin, pero no tuvo responsabilidades operativas. suministr asesoramiento en relacin con las mejores prcticas del sistema de aplicacin.
Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro de un proceso, un auditor de SI debera estar consciente:

Q.20)
A . B . C . D .

del punto en que los controles son ejercidos como flujos de datos a travs del sistema. de que solo los controles preventivos y de deteccin son relevantes. de que los controles correctivos solo pueden ser considerados como compensatorios. de que la clasificacin permite a un auditor de SI determinar que controles faltan. no requiere que un auditor de SI recolecte evidencia sobre la confidencialidad del sistema mientras est teniendo lugar el procesamiento. requiere que el auditor de SI revise y d un seguimiento de inmediato a toda la informacin recolectada puede mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran nmero de transacciones. no depende de la complejidad de los sistemas de computadora de una organizacin.

Q.21) La ventaja PRIMARIA de un enfoque continuo de auditora es que:

A . B . C . D .

Un auditor de SI descubre evidencia de fraude perpetrado con la identificacin del usuario de un Gerente. el gerente habra escrito la contrasea, asignada por el Q.22) administrador del sistema, dentro del cajn/ la gaveta de su escritorio. El auditor de SI debera concluir que el:
A .

asistente del gerente perpetr el

B . C . D .

fraude perpetrador no puede ser establecido ms all de la duda. fraude pudo haber sido perpetrado por el gerente administrador del sistema perpetr el fraude. concluir que no existen errores materiales, cuando de hecho los hay un control que deja de detectar un error. un control que detecta un errores de alto riesgo un control que detecta un error pero que deja de reportarlo
Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un departamento de SI?

Q.23) El riesgo de deteccin se refiere a:

A . B . C . D .

Q.24)
A . B . C . D .

Discusin con la gerencia Revisin del organigrama Observacin y entrevistas Prueba de derechos de acceso de usuario

Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri numerosas duplicaciones de nombre de cliente que surgan de Q.25) variaciones en los primeros nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara:
A . B . C . D .

datos de prueba para validar los datos ingresados. datos de prueba para determinar las capacidades de seleccin del sistema. software generalizado de auditora para buscar duplicaciones de campo de direccin. software generalizado de auditora para buscar duplicaciones de campos de cuenta.

un revisin de implementacin de una aplicacin distribuida multiusuario, el auditor de SI encuentra debilidades menores en tres reas -La disposicin inicial Q.26) de parmetros est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera:
A . B

registrar las observaciones por separado con el impacto de cada una de ellas marcado contra cada hallazgo respectivo. advertir al gerentes sobre probables riesgos sin registrar las observaciones ya que las

. C . D .

debilidades de control de menor importancia registrar las observaciones y el riesgo que surjan de las debilidades colectivas. evaluar los jefes de departamento concernidos con cada observacin y documentario debidamente en el reporte
Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa en prueba cambia?

Q.27)
A . B . C . D .

Listados de la biblioteca de prueba Listados de programas fuente Solicitudes de cambio de programas Listados de la biblioteca de produccin.

Cul de las siguientes pruebas es realizada por un auditor de SI cuando es Q.28) seleccionada una muestra de programas para determinar si las versiones fuentes y las versiones objeto son las mismas?
A . B . C . D .

Una prueba sustantiva de los controles de la biblioteca de programas Una prueba de cumplimiento de controles de la biblioteca de programas Una prueba de cumplimiento de los controles del compilador de programas Una prueba sustantiva de los controles de compilador de programas
Una prueba integrada (integrated test facility -ITF) se considera una herramienta til de auditora porque:

Q.29)
A . B . C . D .

es un enfoque eficiente en costos de los controles de aplicacin de auditora permite a la gerencia financiera y al auditor de SI integrar sus pruebas de auditora compara el resultado (output) del procesamiento con datos calculados de manera independiente. provee al auditor de SI una herramienta para analizar una amplia gama de informacin. mejorar el tiempo de respuesta para los usuarios. establecer el deber de rendir cuenta y responsabilidad de las transacciones procesadas. mejorar la eficiencia operativa del sistema. proveer la informacin til a los auditores que puedan desear rastrear transacciones

Q.30) El propsito PRIMARIO de las pistas de auditora es:

A . B . C . D .

Q.31)
A . B . C . D .

Para identificar el valor del inventario que se ha guardado (no han rotado) por ms de ocho semanas, lo MS probable es que un auditor de SI utilice:

datos de prueba muestreo estadstico una facilidad de prueba integrada software generalizado de auditora
Los diagramas de flujo de datos son usados por los Auditores de SI para:

Q.32)
A . B . C . D .

ordenar los datos jerrquicamente resaltar las definiciones de datos de alto nivel resumir grficamente las rutas y el almacenamiento de datos. describir detalles paso por paso de la generacin de datos.
Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)?

Q.33)
A . B . C . D .

Concentracin en las reas de alto riesgo El reemplazo de las responsabilidades de auditora La realizacin de cuestionarios de control Los talleres de facilitacin colaborativa

Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de Q.34) software descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes acciones debera emprender el auditor de SI?
A . B . C . D .

Borrar personalmente todas las copia del software no autorizado Informar al auditado sobre el software no autorizado y dar seguimiento para confirmar la eliminacin. Reportar el uso del software no autorizado a la gerencia del auditado y la necesidad de prevenir que vuelva a ocurrir. No emprender ninguna accin, ya que es una prctica comnmente aceptada y la gerencia de operaciones es responsable del monitorear dicho uso.

El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y Q.35) concluya que los errores materiales no existen cuando en realidad existen, es un ejemplo de:
A .

riesgo

B . C . D .

inherente riesgo de control riesgo de deteccin riesgo de auditora

Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de controles (control self-assessment -CSA), es que ella:

Q.36)
A . B . C . D .

puede identificar las reas de alto riesgo que pudieran necesitar una revisin de tallada mas tarde. permite al auditor de SI que evale el riesgo de manera independiente. se puede usar como reemplazo de las auditoras tradicionales permite que la gerencia delegue la responsabilidad de control.
Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar:

Q.37)
A . B . C . D .

los umbrales razonables objetivo las reas de alto riesgo dentro de la organizacin la ubicacin y el formato de los archivos de output las aplicaciones que proveen la ms alta retribucin (pay back) potencial.
En un enfoque de auditoria basado en el riesgo, un auditor de SI debera realizar primero una:

Q.38)
A . B . C . D .

evaluacin del riesgo inherente evaluacin del riesgo de control prueba de evaluacin de control. evaluacin de prueba sustantiva
Respecto al muestreo, se puede decir que:

Q.39)
A . B . C .

El muestreo es generalmente aplicable cuando la poblacin se refiere a un control intangible o no documentado. Si un auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede bajar. El muestreo de atributos ayudara a prevenir el muestreo excesivo de un atributo deteniendo una prueba de auditora lo antes posible.

D .

El muestreo variable es una tcnica para estimar la velocidad de ocurrencia de un control dado o conjunto de controles relacionados.
Cul de las siguientes formas de evidencia para el auditor se considerara MS confiable?

Q.40)
A . B . C . D .

Una declaracin verbal del auditado Los resultados de una prueba realizada por un auditor de SI Un reporte de contabilidad por computadora generado internamente Una carta de confirmacin recibida de una fuente externa

Los anlisis de riesgos realizados por los auditores de SI son un factor crtico Q.41) para la planeacin de la auditora. Se debe hacer un anlisis del riesgo para proveer:
A . B . C . D .

garanta razonable de los puntos materiales de SI sern cubiertos durante el trabajo de auditora. garanta suficiente de que los puntos materiales sern cubiertos durante el trabajo de auditora garanta razonable de que todos los puntos sern cubiertos durante el trabajo de auditora. garanta suficiente de que todos los puntos sern cubiertos durante el trabajo de auditora. subj etiv o obj eti vo matem tico estad stico

Q.42) La evaluacin de riesgos es un proceso:

A . B . C . D .

La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de Q.43) auditora de los sistemas de informacin estn debidamente documentadas en una carta o contrato de auditora (Audit Charter) y DEBEN ser:
A . B . C . D .

aprobadas por el ms nivel de la gerencia aprobadas por la gerencia del departamento de auditora aprobadas por la gerencia del departamento de los usuarios cambiadas cada ao antes del inicio de las auditoras de SI.