Preguntas CISA

66
Pregunta Reespuesta adecuada I Después de la investigación inicial, un auditor de SI tiene motivos para creer que puede estar en presencia de fraude. El auditor de SI debe: Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna acción adicional o si se debe recomendar una investigación. El auditor de SI debe notificar a las autoridades apropiadas dentro de la organización solamente si ha determinado que los indicadores de fraude son suficientes para recomendar una investigación. Normalmente, el auditor de SI no tiene autoridad para consultar con un asesor legal externo. I La ventaja PRIMARIA de un enfoque continuo de auditoría es que: El uso de técnicas continuas de auditoría puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran número de transacciones, pero dejan muy pocas pistas de papel. La opción A es incorrecta ya que el enfoque de auditoría continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras está llevando a cabo el procesamiento. La opción B es incorrecta ya que un auditor de SI normalmente revisaría y daría seguimiento sólo a las deficiencias materiales o errores detectados. La opción D es incorrecta ya que el uso de técnicas de auditoría continua depende efectivamente de la complejidad de los sistemas de computadora de una organización. I ¿Cuál de las opciones siguientes es la técnica de auditoría MÁS efectiva para identificar violaciones a la segregación de funciones en una nueva implementación de un sistema de planificación de recursos de empresa (ERP)? Debido a que el objetivo es identificar violaciones a la segregación de funciones, es necesario definir la lógica que identificará los conflictos en la autorización. Se podría desarrollar un programa para identificar estos conflictos. Un informe de derechos de seguridad en el sistema de planificación de los recursos de la empresa (ERP) sería voluminoso y requeriría mucho tiempo para su revisión; por lo tanto, esta técnica no es tan efectiva como la creación de un programa. A medida que las complejidades aumentan, se vuelve más difícil verificar la efectividad de los sistemas, y la complejidad no está vinculada por sí sola a la segregación de funciones. Es buena práctica revisar los casos recientes de violación de derechos; sin embargo, pudiera requerir una cantidad de tiempo significativa el verdaderamente identificar cuáles violaciones resultaron realmente de una segregación inapropiada de funciones. I El estatuto de auditoría de SI de una organización debería especificar: El estatuto de auditoría de SI establece el rol de la función de auditoría de sistemas de información. El estatuto debería describir la autoridad general, el alcance y las responsabilidades de la función de auditoría. Debería ser aprobado por el más alto nivel de gestión y, de estar disponible, por el comité de auditoría. La planificación de corto y largo plazo es responsabilidad de la gestión de auditoría. Los objetivos y el alcance de cada auditoría de SI deberían acordarse en una carta de compromiso. La gestión de auditoría debería desarrollar un plan de entrenamiento, basado en el plan de auditoría. I Un auditor de SI está realizando una auditoría a un servidor de copias de respaldo administrado desde una ubicación remota. El auditor de SI revisa los logs de un día y descubre un caso en el cual el inicio de sesión en un servidor falló con el resultado de que no se pudo confirmar los reinicios de la copia de respaldo. ¿Qué debería hacer el auditor? Los estándares de auditoría requieren que un auditor de SI recopile evidencia de auditoría suficiente y apropiada. El auditor descubrió un problema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemática de control. En este punto es demasiado pronto para emitir un hallazgo de auditoría; la acción de solicitar una explicación a la gerencia es aconsejable, pero sería mejor recopilar evidencia adicional para evaluar apropiadamente la seriedad de la situación. Una falla de respaldo, que no se ha establecido en este punto, es seria si involucra datos críticos. Sin embargo, el asunto no es la importancia de los datos presentes en el servidor donde se detectó un problema, sino la posibilidad de que exista una falla sistemática de control que tenga un impacto en otros servidores.

description

Capitulo 1 y 2

Transcript of Preguntas CISA

  • Pregunta

    Reespuesta adecuada

    I

    Despus de la investigacin inicial, un auditor de SI

    tiene motivos para creer que puede estar en presencia

    de fraude. El auditor de SI debe:

    Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna

    accin adicional o si se debe recomendar una investigacin. El auditor de SI debe notificar a las autoridades apropiadas dentro de la

    organizacin solamente si ha determinado que los indicadores de fraude son suficientes para recomendar una investigacin. Normalmente,

    el auditor de SI no tiene autoridad para consultar con un asesor legal externo.

    I

    La ventaja PRIMARIA de un enfoque continuo de

    auditora es que:

    El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema cuando se usa en entornos

    que comparten el tiempo que procesan un gran nmero de transacciones, pero dejan muy pocas pistas de papel. La opcin

    A es incorrecta ya que el enfoque de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la

    confiabilidad del sistema mientras est llevando a cabo el procesamiento. La opcin B es incorrecta ya que un auditor de SI

    normalmente revisara y dara seguimiento slo a las deficiencias materiales o errores detectados. La opcin D es incorrecta

    ya que el uso de tcnicas de auditora continua depende efectivamente de la complejidad de los sistemas de computadora de una organizacin.

    I

    Cul de las opciones siguientes es la tcnica de

    auditora MS efectiva para identificar

    violaciones a la segregacin de funciones en

    una nueva implementacin de un sistema de

    planificacin de recursos de empresa (ERP)?

    Debido a que el objetivo es identificar violaciones a la segregacin de funciones, es necesario definir la lgica que

    identificar los conflictos en la autorizacin. Se podra desarrollar un programa para identificar estos conflictos. Un informe de

    derechos de seguridad en el sistema de planificacin de los recursos de la empresa (ERP) sera voluminoso y requerira mucho tiempo

    para su revisin; por lo tanto, esta tcnica no es tan efectiva como la creacin de un programa. A medida que las complejidades aumentan, se

    vuelve ms difcil verificar la efectividad de los sistemas, y la complejidad no est vinculada por s sola a la segregacin de funciones. Es

    buena prctica revisar los casos recientes de violacin de derechos; sin embargo, pudiera requerir una cantidad de tiempo

    significativa el verdaderamente identificar cules violaciones resultaron realmente de una segregacin inapropiada de funciones.

    I

    El estatuto de auditora de SI de una organizacin

    debera especificar:

    El estatuto de auditora de SI establece el rol de la funcin de auditora de sistemas de informacin. El estatuto debera

    describir la autoridad general, el alcance y las responsabilidades de la funcin de auditora. Debera ser aprobado por el ms alto

    nivel de gestin y, de estar disponible, por el comit de auditora. La planificacin de corto y largo plazo es responsabilidad de

    la gestin de auditora. Los objetivos y el alcance de cada auditora de SI deberan acordarse en una carta de compromiso. La gestin de

    auditora debera desarrollar un plan de entrenamiento, basado en el plan de auditora.

    I

    Un auditor de SI est realizando una auditora a un

    servidor de copias de respaldo administrado desde

    una ubicacin remota. El auditor de SI revisa los

    logs de un da y descubre un caso en el cual el

    inicio de sesin en un servidor fall con el

    resultado de que no se pudo confirmar los reinicios

    de la copia de respaldo. Qu debera hacer el

    auditor?

    Los estndares de auditora requieren que un auditor de SI recopile evidencia de auditora suficiente y apropiada. El auditor descubri un

    problema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemtica de control. En este punto es

    demasiado pronto para emitir un hallazgo de auditora; la accin de solicitar una explicacin a la gerencia es aconsejable, pero sera

    mejor recopilar evidencia adicional para evaluar apropiadamente la seriedad de la situacin. Una falla de respaldo, que no se ha

    establecido en este punto, es seria si involucra datos crticos. Sin embargo, el asunto no es la importancia de los datos presentes en el

    servidor donde se detect un problema, sino la posibilidad de que exista una falla sistemtica de control que tenga un impacto en otros

    servidores.

  • I

    Un Contrato de auditora debera:

    Un contrato de auditora debera establecer los objetivos de la gerencia para, y la delegacin de autoridad a la auditora

    de SI. Este contrato no debera cambiar de manera significativa con l tiempo y debera ser aprobado al nivel ms alto de la gerencia. El

    contrato de auditora no estara a un nivel de detalle y por lo tanto no incluira objetivos o procedimientos especficos de auditora.

    I

    Un auditor de SI revisa un organigrama

    PRIMARIAMENTE para:

    Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organizacin. Esto ayuda al auditor de SI a

    saber si hay una segregacin apropiada de funciones. Un diagrama de flujo de trabajo proporcionara informacin sobre las funciones de

    diferentes empleados. Un diagrama de red proveer informacin sobre el uso de diversos canales de comunicacin e indicar la conexin de

    los usuarios a la red.

    I

    En una auditora de SI de varios servidores crticos, el

    auditor quiere analizar las pistas de auditora para

    descubrir potenciales anomalas en el

    comportamiento de usuarios o del sistema. Cul de

    las herramientas siguientes es la MS adecuada para

    realizar esa tarea?

    Las herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios o del sistema, por

    ejemplo, determinando para los documentos prenumerados si los nmeros son secuenciales o incrementales. Las herramientas CASE se

    usan para asistir en el desarrollo de software. El software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para

    proveer estadsticas de produccin. Las herramientas heursticas de escaneo se pueden usar para escanear en busca de virus para indicar

    cdigos posiblemente infectados.

  • I

    Un auditor de SI emite un reporte de auditora sealando la falta de funciones de proteccin de firewall en

    el gateway perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI

    no ha ejercido:

    Cuando un auditor de SI recomienda un vendedor especfico,

    ellos comprometen la independencia profesional. La independencia

    organizacional no tiene relevancia con respecto al contenido de un

    reporte de auditora y debe ser considerado en el momento de aceptar

    el compromiso. La competencia tcnica y profesional no es relevante

    para el requisito de independencia.

    I

    Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara:

    Un control de revisin de aplicaciones implica la evaluacin de los

    controles automatizados de la aplicacin y una evaluacin de

    cualesquiera exposiciones resultantes de las debilidades del

    control. Las otras opciones pueden ser objetivos de una

    auditora de aplicacin pero no forman parte de una auditora

    restringida a una revisin de controles.

    I

    Mientras se planifica una auditora, se debe hacer una evaluacin del riesgo para proveer:

    El Lineamiento de Auditora de SI G15 de ISACA sobre planificar

    los estados de auditora de SI, "Se debe hacer una evaluacin

    del riesgo para proveer aseguramiento razonable de que los puntos

    materiales sern cubiertos de manera adecuada durante el trabajo de

    auditora. Esta evaluacin debe identificar las reas con una riesgo

    relativamente elevado de la existencia de problemas materiales."

    El aseguramiento definido de que los puntos materiales estarn

    cubiertos durante el trabajo de auditora es una proposicin imprctica.

    El aseguramiento razonable de que todos los puntos sern cubiertos

    durante el trabajo de auditora no es la respuesta correcta, ya que los

    puntos materiales necesitan ser cubiertos, no todos los puntos.

    I

    Un auditor de SI debe usar muestreo estadstico, y no muestreo de opiniones (no estadstico) cuando:

    Dada una tasa esperada de error y nivel de confianza, el muestreo

    estadstico es un mtodo objetivo de muestreo, que ayuda a un auditor

    de SI a determinar el tamao de la muestra y a cuantificar la

    probabilidad de error (coeficiente de confianza). La opcin B es

    incorrecta aporque el riesgo de muestreo es el riesgo de que una

    muestra no sea representativa de la poblacin. Este riesgo existe tanto

    para las muestras de opinin como para las estadsticas. La opcin C es

    incorrecta porque el muestreo estadstico no requiere el uso de

    software generalizado de auditora. La opcin D es incorrecta porque

    la tasa tolerable de errores debe ser predeterminada tanto para el

    muestreo de opinin como para el estadstico.

    I

    Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos

    importados estn completos se lleva a cabo:

    Comparar los totales de control de los datos importados con los

    totales de control de los datos originales es el siguiente paso lgico, ya

    que esto confirma la integridad de los datos importados. No es posible

    confirmar la totalidad (completeness) clasificando los datos importados,

    porque los datos originales pueden no estar en el orden de clasificacin.

    Adems la clasificacin no provee totales de control para verificar la

    totalidad (completeness). Revisar una impresin de

    100 registros de datos originales con 100 registros de datos

    importados es un proceso de verificacin fsica y confirma la

    correccin de estos registros solamente. Filtrar datos para

    diferentes categoras y compararlos con los datos originales

    an requerira que se desarrollen los totales de control para

    confirmar la totalidad de los datos.

    I

    Mientras lleva a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el paso siguiente del

    auditor de SI?

    La primera cosa que un auditor de SI debe hacer despus de detectar

    el virus es alertar a la organizacin sobre su presencia, luego

    esperar su respuesta. La opcin A debe ser emprendida despus de la

    opcin C. Esto permitir al auditor de SI examinar el funcionamiento

    real y la eficacia del sistema de respuesta. Un auditor de SI no debe hacer

    cambios al sistema que est auditando; asegurar la eliminacin del virus

    es la responsabilidad de la gerencia.

    I

    Durante la recoleccin de evidencia forense, cul de las acciones siguientes tiene MS posibilidades de causar la

    destruccin o corrupcin de evidencia en un sistema comprometido?

    Reiniciar el sistema puede causar un cambio en el estado del sistema y

    la prdida de archivos y evidencia importante almacenados en la

    memoria. Las otras opciones son acciones apropiadas para preservar la

    evidencia.

    I

    Cul de las opciones siguientes es el beneficio clave de la autoevaluacin de control (CSA)?

    El objetivo de la autoevaluacin de control es inducir a la

    gerencia del negocio a estar ms consciente de la importancia

    del control interno y de su responsabilidad en trminos del

    gobierno corporativo. La reduccin de los gastos de auditora

    no es un beneficio clave de la autoevaluacin de control

    (CSA). Una mejor deteccin de fraude es importante, pero no

    tanto como la propiedad, y no es un objetivo principal de la

    CSA. La CSA puede ofrecer informacin ms detallada a los

    auditores internos, permitiendo que asuman un rol ms

    consultivo; sin embargo, este es un beneficio adicional, no el

    I

    Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?

    La evidencia obtenida de fuentes externas es por lo general

    ms confiable que la obtenida desde dentro de la

    organizacin. Las cartas de confirmacin recibidas desde el exterior,

    como por ejemplo las usadas para verificar los balances de cuentas por

    cobrar, son por lo general altamente confiables. La prueba realizada

    por un auditor no puede ser confiable si el auditor no tenia un buen

  • I

    Los diagramas de flujo de datos son usados por los

    Auditores de SI para:

    Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su

    origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningn orden jerrquico.

    El flujo de los datos no coincidir necesariamente con ningn orden jerrquico o de generacin de datos.

    I

    En una auditora de una aplicacin de

    inventario,qu enfoque proveera la MEJOR

    evidencia de que las rdenes de compra son

    vlidas?

    Para determinar la validez de una orden de compra, probar los controles de acceso proveer la mejor evidencia. Las opciones B y C se basan en

    enfoques posteriores a los hechos, mientras que la opcin D no sirve el propsito porque lo que est en la documentacin de sistema puede no ser lo

    mismo que lo que est ocurriendo.

    I

    Cul de los siguientes mtodos de muestreo es el

    MS til cuando se pone a prueba su

    cumplimiento?

    El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que

    se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una poblacin y se usa en la comprobacin de

    cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobacin de detalles

    o cantidad.

    I

    Qu tcnica de auditora provee la MEJOR

    evidencia de la segregacin de funciones en un

    departamento de SI?

    Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando operaciones no compatibles y entrevistando el personal de SI el

    auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no

    puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada

    respecto a la segregacin de funciones. Un organigrama no proveera detalles de las funciones de los empleados y la prueba de los derechos de usuario proveera

    informacin sobre los derechos que ellos tienen dentro de los sistemas de SI, pero no

    proveera informacin completa sobre las funciones que ellos desempean.

    I

    Las decisiones y las acciones de un auditor es

    MS probable que afecten a cul de los riesgos

    siguientes?

    Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditora. Los riesgos inherentes por

    lo general no estn afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compaa.

    Los riesgos financieros no estn afectados por el auditor de SI.

    I

    Una accin correctiva ha sido tomada por un

    auditado inmediatamente despus de la

    identificacin de un hallazgo que debera ser

    reportado. El auditor debe:

    Incluir el hallazgo en el reporte final es una prctica de auditora generalmente aceptada. Si se emprende una accin despus de que comenz la auditora y

    antes de que terminara, el reporte de auditora debe identificar el hallazgo y describir la accin correctiva tomada. Un reporte de auditora debe

    reflejar la situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el auditado deben ser reportadas por

    escrito.

    I

    Durante una auditora de control de cambios

    de un sistema en produccin, un auditor de

    SI descubre que el proceso de administracin

    de cambios no est documentado formalmente

    y que algunos procedimientos de migracin

    fallaron. Qu debera hacer el auditor de

    SI a continuacin?

    Un proceso de gestin de cambios es crtico para los sistemas de produccin de TI.Antes de recomendar que la organizacin tome alguna otra accin

    (por ejemplo, interrumpir las migraciones, redisear el proceso de gestin de cambios), el auditor de SI debera obtener garanta de que los incidentes

    reportados se relacionan con deficiencias en el proceso de gestin de cambios y que no fueron causados por algn proceso diferente a la gestin de cambios.

    I

    Cul de las siguientes opciones sera normalmente

    la evidencia MS confiable para un auditor?

    La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B, C y D no serian consideradas confiables.

    I

    El propsito PRIMARIO de una auditora forense

    de TI es:

    La opcin B describe una auditora forense. La evidencia recolectada podra utilizarse posteriormente en procesos judiciales. Las auditoras forenses

    no se limitan a fraude corporativo. Evaluar la exactitus de los estados financieros de una organizacin no es el propsito de una auditora

    forense. Llegar a la conclusin de que se registr un delito sera parte de un proceso legal y no el objetivo de una auditora forense.

  • I

    Un auditor de SI est evaluando una red corporativa en busca de una

    posible penetracin por parte de empleados internos. Cul de los

    hallazgos siguientes debera preocupar MS al auditor de SI?

    El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos y expone los

    recursos de la red a la explotacin

    (maliciosa). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos IDs de

    usuario tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un riesgo de seguridad,

    pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de usuario. Mientras que el impacto

    de los usuarios que instalan software en sus computadoras puede ser elevado puede ser elevado, (por ejemplo,

    debido a la instalacin de Caballos de Troya o programas de key-logging), la probabilidad no es elevada debido al nivel de

    conocimientos tcnicos que se requiere para penetrar exitosamente a la red. A pesar que el monitoreo de red puede ser un

    control de deteccin til, slo detectar el abuso de cuentas de usuario en circunstancias especiales y por lo tanto no es una

    primera lnea de defensa.

    I

    Un auditor de SI que particip en el diseo del plan de continuidad del negocio

    (BCP) de una empresa, ha sido asignado para auditar el plan. El auditor de SI

    debera:

    Comunicar la posibilidad de conflicto de inters a la gerencia antes de comenzar la asignacin es la respuesta

    correcta. Se debera comunicar un posible conflicto de inters, que pudiera afectar la independencia del auditor, a la

    gerencia antes de comenzar la asignacin. Rechazar la asignacin no es la respuesta correcta, porque se podra aceptar la

    asignacin despus de obtener la aprobacin de la gerencia. Informar a la gerencia sobre el posible conflicto de inters

    despus de completar la asignacin de auditora no es la respuesta correcta, porque se debera obtener la

    aprobacin antes y no despus de completar la asignacin. Informar al equipo de planificacin de continuidad del

    negocio (BCP) sobre el posible conflicto de inters antes de iniciar la asignacin no es la respuesta correcta, porque el equipo

    de BCP no tiene la autoridad para decidir sobre este asunto.

    I

    Mientras revisaba los papeles de trabajo electrnico sensitivos, el auditor

    de SI not que los mismos no estaban encriptados. Esto podra

    comprometer:

    La encripcin prueba la confidencialidad de los papeles de trabajo electrnicos. Las pistas de auditora, las aprobaciones de la

    etapa de auditora y el acceso a los papeles de trabajo, por s mismos, no afectan la confidencialidad sino que forman parte del

    motivo para requerir la encripcin.

    I

    La razn PRIMARIA por la que un auditor de SI realiza un recorrido funcional

    durante la fase preliminar de una asignacin de auditora es:

    Entender el proceso de negocio es el primer paso que un auditor de SI necesita realizar. Las normas no requieren que un

    auditor de SI efecte un recorrido de proceso. Identificar las debilidades de control no es la razn primaria para el recorrido y

    tpicamente ocurre en una etapa posterior en la auditora. Planear pruebas sustantivas se realiza en una etapa posterior de la

    auditora.

    I

    Al planear una auditora, el paso MS crtico es la identificacin de:

    Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para determinar

    las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haberse considerado antes de

    decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar las

    reas de riesgo, y el tiempo asignado para una auditora est determinado por las reas a ser auditadas, las

    cuales son primariamente seleccionadas con base en la identificacin de los riesgos.

    I

    Cul de los siguientes es una ventaja de una prueba integrada (ITF)?

    Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente

    con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos separados de prueba. Sin

    embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin.

    I

    Un auditor de SI evala los resultados de prueba de una modificacin a un sistema

    que trata con cmputo de pagos. El auditor encuentra que el 50% de los clculos

    no coinciden con los totales predeterminados. Cul de los siguientes es MS

    probable que sea el siguiente paso en la auditora?

    El auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar los resultados.

    Despus de que los clculos hayan sido confirmados, ms pruebas pueden ser llevadas a cabo y revisadas. La

    preparacin de reportes, hallazgos y recomendaciones no se hara hasta que todos los resultados fueran confirmados.

    I

    Durante una entrevista final, en los casos en que hay desacuerdo con respecto al

    impacto de un hallazgo, un auditor de SI debe:

    Si el auditado esta en desacuerdo en cuanto al impacto de un hallazgo, es importante que el auditor de SI elabor, clarifique y

    de a conocer los riesgos que el auditado no ha valorado y la magnitud de su exposicin. El objetivo deberia ser mostrar al

    auditado o descubrir nueva informacin que el auditor de SI no haya contemplado. Cualquier cosa que parezca

    una amenaza para el auditado reducir la efectividad de la comunicacin y establece una relacin

    controvetida. Por el mismo punto, un auditor de SI no deberia ponerse de acuerdo automticamente con el

    auditado cuando exprese su punto de vista diferente.

    I

    La decisin final de incluir un hallazgo material en un informe de auditora debe ser

    tomada por el:

    El auditor de SI debe tomar la decisin final respecto a qu incluir o excluir del informe de auditora. Las otras

    opciones limitaran la independencia del auditor.

  • I

    A pesar de que la gerencia ha dicho otra cosa, un auditor de SI tiene motivos para creer que la

    organizacin est usando software que no tiene licencia. En esta situacin, el auditor de SI debe:

    Cuando hay una indicacin de que una organizacin podra estar usando software sin licencia, el auditor

    de SI debe obtener evidencias suficientes antes de incluirlo en el informe. Con respecto a este asunto,

    las manifestaciones obtenidas de la gerencia no pueden ser verificadas de manera independiente. Si la

    organizacin est usando software que no tiene licencia, el auditor, para mantener objetividad e independencia,

    debe incluir esto en el informe.

    I

    Cul de las siguientes tcnicas de auditora en lnea es MS efectiva para la deteccin temprana de

    errores o irregularidades?

    La tcnica de gancho de auditora implica integrar el cdigo en los sistemas de aplicacin para el examen de

    las transacciones seleccionadas. Esto ayuda a un auditor de SI a actuar antes de que un error o una

    irregularidad se salgan de control. Un mdulo integrado de auditora implica integrar software

    escrito especialmente en el sistema anfitrin de aplicacin de la organizacinl de modo que los sistemas de

    aplicacin sean monitoreados de manera selectiva. Una prueba integrada se usa cuando no es prctico usar

    datos de prueba, y las instantneas o snapshots se usan cuando se requiere una pista de auditora.

    I

    El vicepresidente de recursos humanos ha solicitado una auditora para identificar los

    sobrepagos de planilla/nmina para el ao anterior.

    Cul sera la MEJOR tcnica de auditora para usar en esta situacin?

    Las caractersticas del software generalizado de auditora incluyen cmputos matemticos,

    estratificacin, anlisis estadstico, verificacin de secuencia, verificacin de duplicados y reclculos.

    El auditor de SI, usando software generalizado de auditora, podra disear pruebas apropiadas

    para recalcular la planilla/nmina y, de ese modo, determinar si hubo sobrepagos, y a quines

    fueron efectuados. Los datos de prueba probaran si existen controles que pudieran impedir los

    sobrepagos, pero no detectaran los errores de clculo especficos anteriores. Ni una prueba

    integrada ni un mdulo integrado de auditora detectaran errores para un perodo anterior.

    I

    El xito de la autoevaluacin de control (CSA) depende grandemente de:

    El objetivo primario de un programa de autoevaluacin de control (CSA) es apalancar la

    funcin de auditora interna cambiando algunas de las responsabilidad de monitoreo de control

    a los gerentes de lnea de rea funcional. El xito de un programa de CSA depende del grado al que los

    gerentes de lnea asumen responsabilidad de los controles. Las opciones B, C y D son caractersticas de un

    enfoque tradicional de auditora, no un enfoque de CSA.

    I

    Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?

    El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea

    empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido

    por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de

    anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa

    con que el personal de auditora cumpla con los cronogramas en una auditora en particular, ni quiere decir

    necesariamente que una variedad ms amplia de auditoras se llevar a cabo en un ao dado.

    I

    Durante la etapa de planificacin de una auditora de SI, la meta PRIMARIA de un auditor de SI es:

    Las normas de auditora de ISACA requieren que un auditor de SI planee el trabajo de auditora

    para resolver los objetivos de auditora. La opcin B es incorrecta porque el auditor no recoge

    evidencia en la etapa de planificacin de una auditora. Las opciones C y D son incorrectas porque no son

    las metas primarias de la planificacin de auditora. Las actividades descritas en las opciones B, C y D son

    todas emprendidas para resolver los objetivos de auditora y, de ese modo, son secundarias a la opcin A.

    I

    Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de

    controles (control self-assessment-CSA), es que ella:

    La CSA se predica sobre la revisin de las reas de alto riesgo que o bien necesitan atencin inmediata o una

    revisin ms exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la

    participacin de tanto los auditores como la gerencia de lnea. Lo que ocurre es que la funcin de

    auditora interna pasa algunas de las responsabilidades de monitoreo de control a las reas funcionales. La

    respuesta C es incorrecta porque la CSA no es un reemplazo de las auditoras tradicionales. La CSA no

    pretende reemplazar las responsabilidades de la auditora, sino aumentarlas. La respuesta D es incorrecta

    porque la CSA no permite que la gerencia delegue su responsabilidad de controlar.

    I

    Cuando selecciona los procedimientos de auditora, un auditor de SI debe usar su juicio profesional

    para asegurar que:

    Los procedimientos son procesos que un auditor de SI puede seguir en un compromiso de auditora.

    Para determinar si cualquier procedimiento especfico es apropiado, un auditor de SI debe usar un

    juicio profesional apropiado a las circunstancias especficas. El juicio profesional implica una

    evaluacin subjetiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditora. El

    juicio se ocupa de un rea gris donde las decisiones binarias

    (s /no) no son apropiadas y donde la experiencia pasada del auditor juega un papel clave

    en hacer un juicio. Los lineamientos de ISACA proveen informacin sobre cmo satisfacer las

    normas cuando se efecta un trabajo de auditora de SI. Identificar las debilidades materiales

    es el resultado de competencia apropiada, experiencia y prolijidad en planificar y ejecutar la auditora

    y no el resultado de juicio profesional. El juicio profesional no es un input primario para los aspectos

    I

    Cul de los siguientes es un atributo del mtodo de autoevaluacin de control (CSA)?

    El mtodo de autoevaluacin de control (CSA) hace nfasis en la administracin y en la obligacin de rendir

    cuentas de desarrollar y monitorear los controles de los procesos de negocio de una organizacin. Los

    atributos de CSA incluyen: empleados facultados, mejoramiento continuo, extensa participacin y

    entrenamiento de los empleados, todo lo cual son manifestaciones de amplia participacin de los

    interesados. Las opciones B, C y D son atributos de un mtodo tradicional de auditora.

  • I

    Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10

    formularios "nuevo usuario" ms recientes fueron correctamente autorizados. Este es un

    ejemplo de:

    La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las

    polticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas.

    El muestreo de variables se usa para estimar los valores numricos, tales como valores de

    dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los

    saldos de los estados financieros. El desarrollo de pruebas sustantivas depende a menudo del

    resultado de las pruebas de cumplimiento. Si las pruebas de cumplimiento indican que hay controles internos

    adecuados, entonces las pruebas sustantivas se pueden minimizar. El muestreo stop-or-go permite que una

    prueba sea detenida lo antes posible y no es apropiada para verificar si se han seguido los procedimientos.

    I

    Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa

    en pruebas cambia?

    La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es

    el sistema automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y

    autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el

    tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay

    ninguna garanta de que hayan sido elaboradas las solicitudes para todos los cambios. Los listados de biblioteca

    de prueba no representan los ejecutables aprobados y autorizados.

    I

    Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el

    auditor de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetros

    est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se

    estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera:

    Las debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial

    de debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de

    parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al

    gerente local sin reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas.

    I

    Cuando prepara un informe de auditora, el auditor de SI debe asegurarse que los resultados estn

    soportados por:

    El estndar de ISACA sobre "informes" requiere que el auditor de SI tenga evidencias de auditora

    suficientes y apropiadas para soportar los resultados que se reportan. Las declaraciones de la gerencia de SI

    proveen una base para obtener concurrencia sobre asuntos que no pueden ser verificados con

    evidencia emprica. El informe debe basarse en evidencias recogidas durante el curso de la revisin aunque

    el auditor pueda tener acceso a los documentos de trabajo de otros auditores. Los resultados de una

    autoevaluacin de control organizacional (CSA) podran complementar los hallazgos de auditora. Se podra

    hacer referencia a las opciones A, B y C durante una auditora pero, por ellas mismas, no seran consideradas

    una base suficiente para emitir un informe.

    I

    Un auditor de SI que entrevista a un empleado de planilla encuentra que las

    respuestas no respaldan las descripciones de los puestos de trabajo y los procedimientos

    documentados. Bajo estas circunstancias, el auditor de SI debe:

    Si las respuestas dadas a las preguntas de un auditor de SI no estn confirmadas por procedimientos

    documentados o descripciones de puestos de trabajo, el auditor de SI debe expandir el alcance de las

    pruebas de los controles e incluir ms pruebas sustantivas. No hay evidencia de que

    cualesquiera sean los controles que pudieran existir son o bien inadecuados o adecuados. Poner mayor

    confianza en las auditoras anteriores o suspender la auditora son acciones inapropiadas ya que no proveen

    conocimiento actual de la adecuacin de los controles existentes.

    I

    La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para

    la gerencia de seguridad de informacin es que ste asegura que:

    Una evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el

    enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del

    riesgo. Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es

    asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de

    la evaluacin del riesgo asegurar que se aplique un nivel de proteccin apropiado al nivel de riesgo y al valor

    del activo, y por lo tanto, toma en cuenta el valor del activo. El enfoque de lnea base permite que ms recursos

    sean dirigidos hacia los activos que estn en mayor riesgo de dirigir los recursos a todos los activos.

    I

    En el proceso de evaluar los controles de cambio de programa, un auditor de SI usara software de

    comparacin de cdigo fuente para:

    Un auditor de SI tiene un objetivo, aseguramiento independiente y relativamente completo de cambios de

    programa porque la comparacin de cdigos fuente identificar los cambios. La opcin B es incorrecta porque

    los cambios hechos desde la adquisicin de la copia no estn incluidos en la copia del software. La opcin C es

    incorrecta ya que un auditor de SI tendr que obtener este aseguramiento separadamente. La opcin

    D es incorrecta porque cualquier cambio hecho entre el tiempo en que se adquiri la copia de control y se

    hace la comparacin del cdigo fuente no ser detectado.

    I

    Cul de las opciones siguientes debera utilizar un auditor de SI para detectar registros duplicados

    de facturas dentro de un archivo maestro de facturas?

    El Software genrico de auditora (GAS) permite al auditor revisar todo el archivo de facturas para

    buscar los elementos que cumplan con los criterios de seleccin. El muestreo de atributos ayuda a

    identificar los registros que cumplen con condiciones especficas, pero no compara un registro con

    otro para identificar duplicados. Para detectar registros duplicados de facturas, el auditor de SI debera

    verificar todos los elementos que cumplan con los criterios y no simplemente una muestra de los

    elementos. Los datos de prueba se utilizan para verificar el procesamiento de programas, pero

    no identifican registros duplicados. Una facilidad de prueba integrada (ITF) permite al auditor de SI

    probar las transacciones de prueba a travs del sistema de produccin, pero no compara los registros para

    identificar duplicados.

    I

    Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas

    de informacin. El auditor de SI debe PRIMERO

    revisar:

    Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de

    diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos.

    Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente

    de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante

    la etapa de mitigacin del riesgo y no durante la etapa de evaluacin del riesgo. Se debe establecer un

    mecanismo para monitorear constantemente los riesgos relacionados con los activos durante la

  • I

    En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha

    identificado amenazas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:

    Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que las

    amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI

    debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.

    I

    Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO

    revisar:

    El primer paso para evaluar los controles de monitoreo de red debe ser la revisin de la

    adecuacin de la documentacin de red, especficamente los diagramas de topologa. Si esta informacin

    no estuviera actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar problemas no

    ser efectiva.

    I

    Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las

    investigaciones?

    El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las reglas de

    evidencia. La opcin B, los ahorros en tiempo y en costos, y la eficiencia y la eficacia, opcin C,

    eficiencia y eficacia, son preocupaciones legtimas y diferencian a los paquetes buenos de los

    paquetes deficientes de software forense. La opcin D, la capacidad de investigar las violaciones de los

    derechos de propiedad intelectual, es un ejemplo de un uso de software forense.

    I

    Se asigna a un auditor de sistemas para que realice una revisin de un sistema de

    aplicacin posterior a la implementacin. Cul de las siguientes situaciones puede haber

    comprometido la independencia del auditor de sistemas? El auditor de SI:

    Se puede comprometer la independencia si el auditor de sistemas est o ha estado involucrado

    activamente en el desarrollo, adquisicin, e implementacin del sistema de aplicacin. Las opciones B y

    C son situaciones que no comprometen la independencia del auditor de sistemas. La opcin D es

    incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesora sobre las

    mejores prcticas conocidas.

    I

    Cul de las opciones siguientes utilizara un auditor de SI para determinar si se realizaron

    modificaciones no autorizadas a los programas de produccin?

    Para determinar que slo se han realizado modificaciones autorizadas a los programas de

    produccin, sera necesario revisar el proceso de gestin de cambios para evaluar la existencia de

    un rastro de evidencia documental. Las pruebas de cumplimiento ayudaran a verificar que el

    proceso de gestin de cambios ha sido aplicado consistentemente. Es poco probable que el anlisis del log

    de sistema provea informacin sobre la modificacin de programas. El anlisis forense es una tcnica

    especializada para investigacin criminal. Una revisin analtica evala el ambiente general de control de una

    organizacin.

    I

    La razn MS importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de

    auditora es:

    El alcance de una auditora de SI est definido por sus objetivos. Esto implica identificar las debilidades de

    control relevantes para el alcance de la auditora. Obtener evidencias suficientes y apropiadas ayuda al auditor

    a identificar las debilidades de control pero tambin a documentarlas y validarlas. Cumplir con los

    requisitos regulatorios, asegurar la cobertura y la ejecucin de la auditora son todos relevantes para

    una auditora pero no son la razn por la que se requiera evidencia suficiente y relevante.

    I

    El propsito PRIMARIO de las pistas de auditora es:

    Habilitar pistas de auditora ayuda a establecer la obligacin de rendir cuentas y la responsabilidad de las

    transacciones procesadas, rastreando transacciones a travs del sistema. El objetivo de habilitar software para

    proveer pistas de auditora no es mejorar la eficiencia del sistema, ya que esto implica a menudo un

    procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Habilitar

    pistas de auditora si implica almacenamiento y de eso modo ocupa espacio de disco. La opcin D es tambin

    una razn valida; sin embargo, no es la razn primaria.

    I

    Cuando desarrolla una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo

    una evaluacin del riesgo para asegurar que:

    Al desarrollar una estrategia de auditora basada en el riesgo, es crtico que los riesgos y las vulnerabilidades

    sean entendidos. Esto determinar las reas a ser auditadas y el grado de cobertura. Entender si estn

    establecidos los controles apropiados requeridos para mitigar los riesgos es un efecto resultante de una

    auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente

    relacionados con el proceso de auditora y no son relevantes para el anlisis del riesgo del entorno a

    ser auditado. Un anlisis de brechas normalmente se hara para comparar el estado real con un

    estado esperado o deseable.

    I

    Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son

    correctos es:

    Una prueba sustantiva incluye recolectar evidencia para evaluar la integridad de las transacciones individuales,

    los datos y otra informacin. Llevar a cabo un conteo fsico del inventario de cintas es una prueba sustantiva.

    Las opciones A, B y D son pruebas de cumplimiento.

  • I

    Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER

    paso sera:

    Monitorear el tiempo (la opcin A) y auditar los programas (opcin D), as como tambin un entrenamiento

    adecuado (opcin B) mejorarn la productividad del personal de auditora de SI (eficiencia y

    desempeo), pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se dedican a,

    y que estn enfocados sobre, las reas de mayor riesgo.

    I

    El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin es:

    El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin

    es llegar a un acuerdo sobre los hallazgos. Las otras opciones, a pesar de estar relacionadas con el cierre

    formal de una auditora, son de importancia secundaria.

    I

    El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado

    basado en:

    El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse

    directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un

    alcance estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos,

    que una auditora que tuviera un propsito y un alcance ms amplios. El alcance de una auditora

    de SI no debera ser restringido por la facilidad de obtener la informacin o por la familiaridad del

    auditor con el rea que est siendo auditada. Recolectar toda la evidencia requerida es un elemento

    requerido de un auditora de SI y el alcance de la auditora no debe estar limitado por la capacidad del auditado

    de encontrar evidencia relevante.

    I

    El riesgo general del negocio para una amenaza en particular se puede expresar como:

    La opcin A toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la

    mejor medida del riesgo para un activo. La opcin B provee nicamente la probabilidad de que una

    amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo.

    De manera similar, la opcin C considera solamente la magnitud del dao y no la posibilidad de

    que una amenaza explote una vulnerabilidad. La opcin D define el riesgo sobre una base arbitraria y no es

    adecuado para un proceso cientfico de administracin del riesgo.

    I

    Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de software

    descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes

    acciones debera emprender el auditor de SI?

    El uso de software no autorizado o ilegal debe estar prohibido en una organizacin. La piratera de software

    tiene como consecuencia la exposicin inherente y puede resultar en severas multas. El auditor de SI debe

    convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un

    auditor de SI no debe asumir la funcin del oficial de cumplimiento ni asumir participacin

    personal alguna para retirar o eliminar el software no autorizado.

    I

    Cul de las siguientes es la razn MS probable de por qu los sistemas de correo

    electrnico se han convertido en una fuente til de evidencia en litigios?

    Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser

    recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar

    cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las

    normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por correo

    electrnico, pero la creacin de la poltica no provee informacin requerida para fines de litigacin.

    I

    Cul de las siguientes es una prueba sustantiva?

    Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva

    determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una prueba

    de cumplimiento determina si se estn aplicando los controles de una forma consistente con las

    polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la

    autorizacin para cambiar parmetros y revisar los reportes histricos de contrasea son todas pruebas de

    cumplimiento.

    I

    Una prueba integrada (integrated test facility-ITF) se considera una herramienta til de auditora

    porque:

    Una facilidad de prueba integrada se considera una herramienta til de auditora porque usa los mismos

    programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica

    establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la

    entidad como un medio de verificar el procesamiento adecuado.

    I

    Cuando se realiza una investigacin forense de computadora, con respecto a la evidencia

    recolectada, la MAYOR preocupacin de un auditor de SI debe ser:

    La preservacin y documentacin de evidencia para revisin por el organismo de cumplimiento y las

    autoridades judiciales son la preocupacin primaria cuando se lleva a cabo una investigacin. No preservar

    debidamente la evidencia podra poner en peligro la aceptacin de la evidencia en el proceso legal. El anlisis,

    la evaluacin y la divulgacin son importantes pero no son la preocupacin primaria en una investigacin

    forense.

  • I

    Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri

    numerosas duplicaciones de nombre de cliente que surgan de variaciones en los primeros

    nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara:

    Como el nombre no es el mismo (debido a variaciones de los primeros nombres), un mtodo

    para detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones

    Y podra entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los

    clientes en estas direcciones. Buscar los nmeros de cuenta duplicados probablemente no hallara

    duplicaciones de nombres ya que lo ms probable es que los clientes tengan nmeros de cuenta diferentes

    para cada combinacin. Los datos de prueba no seran tiles para detectar la extensin de cualquier

    caracterstica de dato, sino simplemente para determinar como fueron procesados los datos.

    I

    Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul

    de las siguientes es una funcin de usuario que el auditor de SI debe revisar?

    Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de

    documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de

    anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la

    red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario.

    Las opciones B, C y D son ejemplos de funciones de sistemas operativos de red.

    I

    El MEJOR mtodo de probar la exactitud de un sistema de clculo de impuestos es:

    Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es

    el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la

    creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales

    no resolveran la exactitud de clculos individuales de impuestos.

    I

    Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro

    de un proceso, un auditor de SI debera estar consciente:

    Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de

    datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos

    pueden ser tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen

    los efectos de los errores o irregularidades y son considerados exclusivamente como controles

    compensatorios. La opcin D es incorrecta e irrelevante ya que la existencia y funcin de los controles es

    importante, no la clasificacin.

    I

    Cul de las siguientes tcnicas de auditora ayudara MS a un auditor a determinar si ha habido

    cambios no autorizados de programa desde la ltima actualizacin autorizada de programa?

    Una comparacin automtica de cdigos es el proceso de comparar dos versiones del ejemplo de programa

    para determinar si las dos corresponden. Es una tcnica eficiente porque es un procedimiento automtico.

    Las corridas de prueba de datos permiten al auditor verificar el procesamiento de transacciones

    preseleccionadas, pero no proveen evidencias sobre porciones no ejercitadas de un programa. La revisin

    de cdigos es el proceso de leer listados de cdigo fuente de programa para determinar si el cdigo

    contiene errores potenciales o declaraciones ineficientes. Una revisin de cdigos puede usarse como

    un medio de comparacin de cdigos pero es ineficiente. La revisin de los procedimientos de migracin de

    cdigos no detectara cambios de programa.

    I

    Un auditor de SI que evala los controles de acceso lgico debe PRIMERO:

    Cuando evala los controles de acceso lgico, un auditor de SI debe primero obtener un entendimiento del riesgo

    de seguridad que enfrenta el procesamiento

    de informacin revisando la documentacin relevante, mediante averiguaciones, y llevando a cabo

    una evaluacin del riesgo. La documentacin y la evaluacin es el segundo paso para determinar la

    adecuacin, la eficiencia y la eficacia identificando as las deficiencias o la redundancia en los controles. El

    tercer paso es probar las vas de acceso-para determinar si los controles estn funcionando. Finalmente, el

    auditor de SI evala el entorno de seguridad para determinar si es adecuado revisando las polticas escritas,

    observando las prcticas y comparndolas con las mejores prcticas apropiadas de seguridad.

    I

    Un Auditor de sistemas que trate de determinar si el acceso a la documentacin de programas

    est restringido a las personas autorizadas, lo

    MS probable es que:

    Preguntar a los programadores sobre los procedimientos que se estn siguiendo actualmente es

    til para determinar si el acceso a la documentacin de programas est restringido a las personas

    autorizadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las

    instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la

    documentacin de programas. Probar los registros de utilizacin no resolver la seguridad de acceso a

    la documentacin de programas. Probar la seguridad de acceso a archivos de datos no resuelve la

    seguridad de la documentacin de programas.

    I

    Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba

    procedimientos de seguridad documentados. El auditor de SI debe:

    Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto,

    el mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la

    organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su

    independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los

    objetivos de la auditora, es decir, la identificacin de los riesgos potenciales. Como no hay

    procedimientos documentados, no hay base contra la cual probar el cumplimiento.

    I

    Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?

    No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo

    cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta

    de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan

    una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un

    requisito y depende del deseo de la organizacin o de la falta del mismo de hacer saber sobre la intrusin.

  • I

    Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?

    No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa,

    lo cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la

    falta de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no

    representan una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no

    es un requisito y depende del deseo de la organizacin o de la falta del mismo de hacer saber sobre la

    intrusin.

    I

    Cul de las siguientes es la razn MS probable de por qu los sistemas de correo

    electrnico se han convertido en una fuente til de evidencia en litigios?

    Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser

    recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar

    cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las

    normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por

    correo electrnico, pero la creacin de la poltica no provee informacin requerida para fines de litigacin.

    I

    Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las

    investigaciones?

    El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las

    reglas de evidencia. Los ahorros en tiempo y en costos, opcin B, y la eficiencia y la eficacia, opcin

    C, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de

    software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opcin D,

    es un ejemplo de un uso de software forense.

    I

    Cul de las siguientes es una prueba sustantiva?

    Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva

    determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una

    prueba de cumplimiento determina si se estn aplicando los controles de una forma consistente

    con las polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin,

    revisar la autorizacin para cambiar parmetros y revisar los reportes histricos de contrasea son todas

    pruebas de cumplimiento.

    I

    Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?

    La evidencia obtenida de fuentes externas es por lo general ms confiable que la obtenida

    desde dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por

    ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables.

    La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del rea

    tcnica bajo revisin.

    I

    Cul de las siguientes herramientas de auditora es la MS importante para un auditor de SI cuando

    se requiere una pista de auditora?

    Una herramienta de instantnea (snapshot) es ms til cuando se requiere una pista de auditora. ITF puede

    usarse para incorporar transacciones de prueba en una corrida normal de produccin. CIS es til cuando las

    transacciones que renen ciertos criterios necesitan ser examinadas. Los ganchos de auditora son tiles

    cuando slo se necesita examinar transacciones o procesos escogidos.

    I

    Cul de las siguientes opciones sera normalmente la evidencia MS confiable para un auditor?

    La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas

    B, C y D no serian consideradas confiables.

    I

    Cul de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada

    una muestra de programas para determinar si las versiones fuentes y las versiones objeto son

    las mismas?

    Una prueba de cumplimiento determina si los controles estn operando como se disearon y si

    estn siendo aplicados en tal forma que cumplan con las polticas y procedimientos de gerencia.

    Por ejemplo, si al auditor de SI le preocupa si los controles de biblioteca de programas

    estn funcionando correctamente, el auditor de SI podra seleccionar una muestra de programas para

    determinar si las versiones fuente y las versiones objeto son las mismas. En otras palabras, el principal objetivo

    de cualquier prueba de cumplimiento es proveer a los auditores una garanta razonable de que un control en

    particular en el que el auditor planea basarse est operando como el auditor lo percibi en la evaluacin

    preliminar.

    I

    Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa

    en pruebas cambia?

    La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es

    el sistema automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y

    autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el

    tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay

    ninguna garanta de que hayan sido elaboradas las solicitudes para todos los cambios. Los listados de biblioteca

  • I

    Cul de las siguientes tcnicas en lnea es ms efectiva para la deteccin temprana de errores o

    irregularidades?

    La tcnica del gancho de auditora implica integrar cdigo en los sistemas de aplicacin para el examen de

    transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se

    sale de control. Un modulo integrado de auditora implica integrar software escrito especialmente en el

    sistema anfitrin de aplicacin de la organizacin para que los sistemas de aplicacin sean

    monitoreados de manera selectiva. Una facilidad integrada de prueba se usa cuando no es prctico usar datos

    de prueba, y las instantneas o snapshots se usan cuando se requiere una pista de auditora.

    I

    Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?

    El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El

    muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una

    calidad especifica (atributo) en una poblacin y se usa en la comprobacin de cumplimiento

    para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que

    involucran la comprobacin de detalles o cantidad.

    I

    Cul de los siguientes describe MEJOR una prueba integrada (integrated test facility-ITF)?

    La respuesta A describe mejor una prueba integrada (integrated test facility-ITF), que es un proceso de

    auditora especializado asistido por computadora que permite que auditor de SI pruebe una aplicacin

    de manera continua. La respuesta B es un ejemplo de un archivo de revisin de control de

    sistemas; las respuestas C y D son ejemplos de instantneas.

    I

    Cul de los siguientes es el MAYOR desafo al utilizar datos de prueba?

    La eficacia de los datos de prueba est determinada por la extensin de la cobertura de todos los controles

    clave a ser probados. Si los datos de prueba no cubren todas las condiciones vlidas y no vlidas, hay

    un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el

    programa, por el perodo cubierto por la auditora, pueden haberse efectuado para depurar o para funcionalidades

    adicionales. Sin embargo, como el mtodo de datos de prueba involucra la prueba de datos para el

    perodo de auditora, los cambios en el programa probado pueden tener un impacto mnimo. Las

    aplicaciones con la tecnologa actual por lo general no son afectadas por las transacciones adicionales. Los

    datos de prueba son desarrollados por el auditor, sin embargo, no es necesario que el procesamiento sea bajo la

    supervisin de un auditor, ya que los datos de entrada sern verificados por los datos de salida

    (outputs).

    I

    Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?

    El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea

    empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido

    por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de

    anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa con

    que el personal de auditora cumpla con los cronogramas en una auditora en particular, ni quiere decir

    necesariamente que una variedad ms amplia de auditoras se llevar a cabo en un ao dado.

    I

    Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)?

    Los objetivos de los programas CSA incluyen la educacin para la gerencia de lnea en responsabilidad del

    control, seguimiento y concentracin de todos en las reas de alto riesgo. Los objetivos de los

    programas de CSA incluyen el aumento de las responsabilidades de auditora, no el reemplazo

    de las responsabilidades de auditora. Las opciones C y D son herramientas de CSA y no objetivos.

    I

    Cul de los siguientes es una ventaja de una prueba integrada (ITF)?

    Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba

    simultneamente con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos

    separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser

    aislados de los datos de produccin.

    I

    Cul de los siguientes pasos realizara PRIMERO un auditor de SI normalmente en una revisin de

    seguridad del centro de datos?

    Durante la planeacin, el auditor de SI debera obtener una visin general de las funciones que estn siendo

    auditadas y evaluar los riesgos de auditora y de negocios. Las opciones A y D son parte del proceso de trabajo

    de campo de la auditora que ocurre posterior a esta planeacin y preparacin. La opcin C no es parte de una

    revisin de seguridad.

    I

    Cul de los siguientes podra ser usado por un auditor de SI para validar la efectividad de las rutinas

    de edicin y de validacin?

    La prueba de integridad de dominio est dirigida a verificar que los datos se ajusten a las

    definiciones, i.e., los elementos de datos estn todos en los dominios correctos. El objetivo principal

    de este ejercicio es verificar que las rutinas de edicin y de validacin estn funcionando de manera

    satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican

    calcular y verificar diversos campos computados , tales como los totales de control. Las verificaciones de

  • I

    Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos

    siguientes?

    Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y

    tcnicas de auditora. Los riesgos inherentes por lo general no estn afectados por el auditor de SI.

    Un riesgo de control es controlado por las acciones de la gerencia de la compaa. Los riesgos

    financieros no estn afectados por el auditor de SI.

    I

    Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un

    departamento de SI?

    Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando

    operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las

    tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de

    funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el

    departamento de SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada respecto a la

    segregacin de funciones. Un organigrama no proveera detalles de las funciones de los empleados y la

    prueba de los derechos de usuario proveera informacin sobre los derechos que ellos tienen dentro

    de los sistemas de SI, pero no

    proveera informacin completa sobre las funciones que ellos desempean.

    I

    A travs de todas las fases de un trabajo de auditora, el Auditor de SI debe concentrarse en:

    A travs de todas las fases de la auditora de SI, el auditor debe asegurarse que haya documentacin adecuada. La

    recoleccin de evidencias, el muestreo y las pruebas sustantivas no ocurren en todas las fases de una auditora;

    por ejemplo, la fase de reporte no requiere la recoleccin de evidencias, sino que utilizara las evidencias

    recolectadas en una fase anterior del proceso de auditora.

    I

    Al llevar a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el

    siguiente paso del auditor de SI?

    Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar sobre su presencia a la

    organizacin, luego esperar la respuesta de sta. La opcin A se debe emprender despus de la opcin C.

    Esto permitir al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El auditor

    de SI no debe hacer cambios al sistema que est siendo auditado, y asegurar la eliminacin del virus es una

    responsabilidad de la gerencia.

    I

    Al planear una auditora, el paso MS crtico es la identificacin de:

    Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para

    determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan

    haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no

    son tan crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est

    determinado por las reas a ser auditadas. Las cuales son primariamente seleccionadas con base en la

    identificacin de los riesgos.

    I

    Cuando comunican los resultados de auditora, los auditores de SI deben recordar que en ltima

    instancia ellos son los responsables ante:

    El auditor de SI es en ltima instancia responsable ante la alta gerencia y ante el comit de auditora de

    la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la

    entidad auditada (opcin B), ello se hace nicamente para obtener acuerdo sobre los hallazgos y para

    desarrollar un curso de accin correctiva. La opcin C es incorrecta porque el director de auditora de SI debe

    revisar el reporte que el auditor de SI prepar, pero no es la persona que tomar las decisiones respecto a los

    hallazgos y sus consecuencias potenciales. La opcin D es incorrecta porque la responsabilidad de reportar a las

    autoridades judiciales descansara en la junta directiva y sus asesores legales.

    I

    Cuando se est desarrollando una estrategia de auditora basada en el riesgo, un auditor de

    SI debe llevar a cabo una evaluacin del riesgo para asegurar que:

    Para desarrollar una estrategia de auditora basada en el riesgo, es crtico que se entiendan los

    riesgos y vulnerabilidades. Esto determinar las reas a ser auditadas y la extensin de la cobertura. Entender

    si los controles apropiados requeridos para mitigar los riesgos estn instalados es un efecto resultante de

    una auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente

    relacionados con el proceso de auditora y no son relevantes para el anlisis de riesgo del

    entorno a ser auditado. El anlisis de brecha por lo general se hara para comparar el estado

    real de un estado esperado o deseable.

    I

    Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO

    revisar:

    El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la

    adecuacin de documentacin de red, especficamente los diagramas de topologa. Si esta informacin no

    est actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no sern

    efectivos.

    I

    Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro

    de un proceso, un auditor de SI debera estar consciente:

    Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de

    datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos

    pueden ser tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen

    los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios.

    La opcin D es incorrecta e irrelevante ya que la existencia y funcin de los controles es importante, no la

  • I

    Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es

    identificar:

    El primer paso y el ms crtico en el proceso es identificar las reas de alto riesgo dentro de la

    organizacin. Los gerentes del departamento de negocios y altos ejecutivos estn en las mejores posiciones

    para ofrecer una opinin respecto a estas reas. Una vez que las reas potenciales de implementacin hayan

    sido identificadas, se debera realizar una evaluacin del impacto potencial para identificar las

    aplicaciones que proveen el mayor payback potencial a la organizacin. En este punto las pruebas y

    los umbrales razonables objetivo deberan determinarse antes de la programacin. Durante el

    desarrollo de sistemas, se debe definir la ubicacin y el formato de los archivos de salida (output) generados por

    los programas de monitoreo.

    I

    Cuando se realiza una investigacin forense de computadora, respecto a las evidencias recolectadas,

    un auditor de SI debe preocuparse MS

    de:

    La preservacin y la documentacin de evidencias a ser revisadas por las autoridades policiales y judiciales

    es una preocupacin primaria cuando se lleva a cabo una investigacin. No preservar las evidencias

    debidamente, podra poner en peligro la aceptacin de las evidencias en los procesos legales. El anlisis, la

    evaluacin y la revelacin son importantes pero no son de importancia primaria en una investigacin forense.

    I

    Cuando se seleccionan procedimientos de auditora, el Auditor de SI debe usar su juicio profesional

    para asegurar que:

    Los procedimientos son procesos posibles que un auditor de SI puede seguir en un trabajo de auditora. Para

    determinar si algn procedimiento especfico es apropiado, el Auditor de SI debe usar su juicio profesional

    apropiado para las circunstancias especficas. Juicio profesional implica una evaluacin subjetiva y a menudo

    cualitativa de las condiciones que surgen en el curso de una auditora. El juicio se ocupa de un rea gris donde

    las decisiones binarias (s/no) no son apropiadas y la experiencia pasada del auditor tiene una funcin

    clave para emitir un juicio. Los lineamientos de ISACA proveen informacin sobre cmo satisfacer los

    estndares cuando se lleva a cabo un trabajo de auditora de SI. La identificacin de las debilidades

    importantes es el resultado de la competencia, la experiencia, y la minuciosidad apropiada para planear y

    ejecutar la auditora y no el resultado de un juicio profesional. Juicio profesional no es un insumo primario para

    los aspectos financieros de la auditora.

    I

    Durante la etapa de planeacin de una auditora de SI, la meta PRIMARIA del auditor es:

    Las normas de auditora de ISACA requieren que un auditor de SI planee el trabajo de auditora

    para alcanzar los objetivos de auditora. La opcin B es incorrecta porque el auditor no recoge

    evidencias en la etapa de planeacin de una auditora. Las opciones C y D son incorrectas porque

    ellas no son las metas primarias de planeacin de una auditora. Las actividades descritas en las opciones B, C y

    D son todas emprendidas para resolver objetivos de auditora y son por ello secundarias frente a la opcin A.

    I

    Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba

    procedimientos de seguridad documentados. El auditor de SI debe:

    Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto, el

    mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la organizacin

    est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su independencia

    estara en peligro. Dar por terminada la auditora puede impedir que se logren los objetivos de

    la auditora, es decir, la identificacin de los riesgos potenciales. Como no hay procedimientos

    documentados, no hay base contra la cual probar el cumplimiento.

    I

    Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el

    auditor de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetros

    est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se

    estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera:

    Las debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial

    de debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de

    parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al

    gerente local sin reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas.

    I

    Durante una revisin de los controles sobre el proceso de definir los niveles de

    servicios de TI, un auditor de SI entrevistara MS

    probablemente al:

    Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que

    cada una de las otras entidades enumeradas puede suministrar alguna definicin la mejor eleccin aqu es

    el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los

    requerimientos relacionados con la organizacin.

    I

    Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri

    numerosas duplicaciones de nombre de cliente que surgan de variaciones en los primeros

    nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara:

    Como el nombre no es el mismo ( debido a variaciones de los primeros nombres ), un mtodo

    para detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones Y

    podra entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los

    clientes en estas direcciones. Buscar los nmeros de cuenta duplicados probablemente no hallara

    duplicaciones de nombres ya que lo mas probable es que los clientes tengan nmeros de cuenta diferentes

    para cada combinacin. Los datos de prueba no serian tiles para detectar la extensin de cualquier

    caracterstica de dato, sino simplemente para determinar como fueron procesados los datos.

    I

    El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora

    usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para

    permitir la recuperacin apropiada. Este es un:

    Los objetivos de control de SI especifican el conjunto mnimo de controles para asegurar la eficiencia y

    efectividad en las operaciones y funciones dentro de una organizacin. Los procedimientos de control se

    desarrollan para proveer una garanta razonable de que se lograran los objetivos especficos. Un control

    correctivo es una categora de controles, que est dirigida a minimizar la amenaza y/o a remediar los

    problemas que no fueron impedidos o que no fueron inicialmente detectados. Los controles operativos

  • I

    El xito de la autoevaluacin de control (CSA) depende en gran medida de:

    El objetivo primario de un programa de CSA es repaldar la funcin de auditora interna pasando algunas de las

    responsabilidades de monitoreo de control a los gerentes de lnea del rea funcional. El xito de un

    programa de autoevaluacin de control (CSA) depende del grado en el que los gerentes de lnea

    asumen la responsabilidad de los controles. Las opciones B, C y D son caractersticas de un mtodo tradicional de

    auditora, no de un mtodo de CSA.

    I

    El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado

    basado en:

    El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse

    directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un

    alcance estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos,

    que una auditora que tuviera un propsito y un alcance mas amplios. El alcance de una auditora de

    SI no debera ser restringidos por la facilidad de obtener la informacin o por la familiaridad del

    auditor con el rea que esta siendo auditada. Recolectar toda la evidencia requerida es un elemento

    requerido de un auditor de SI y el alcance de la auditora no debe estar limitado por la capacidad del auditado de

    encontrar evidencia relevante.

    I

    El MEJOR mtodo de prob