GUÍA PARA EL EXAMEN DE AUDITORÍA INFORMÁTICA EN LA UVM SOBRE EL MANUAL DE PREPARACIÓN DE CISA.
Question Excerpt From AUDITORÍA INFORMÁTICA - CAP. 1-2 MANUAL CISA ¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo?
Q.1)
A .
El cronograma de auditoría puede realizarse con meses de anticipación Es más probable que los presupuestos de auditoría sean cumplidos por el personal de auditoría de SI El personal de auditoría estará expuesto a una variedad de tecnologías Los recursos de auditoría son asignados a las áreas de mayor preocupación
B . C . D .
Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación de un hallazgo que debería ser reportado. El auditor debe:
Q.2)
A .
incluir el hallazgo en el reporte final porque el auditor de SI es responsable de un reporte exacto de todos los hallazgos. no incluir el hallazgo en el reporte final porque el reporte de auditoría debe incluir solamente los hallazgos no resueltos. no incluir el hallazgo en el reporte final porque la acción correctiva puede ser verificada por el auditor de SI durante la auditoría. incluir el hallazgo en la reunión de cierre para fines de discusión soalmente.
B . C . D .
El objetivo PRIMARIO de una función de auditoría de SI es:
Q.3)
A . B . C . D .
determinar si todos usan los recursos de SI de acue rdo con su descripción del trabajo determinar si los sistemas de información salvaguardan activos, y mantienen la integridad de datos examinar libros de contabilidad y evidencia documentaría relacionada para el sistema computarizado determinar la capacidad de la organización para detectar fraude
En el curso de la realización de un análisis de riesgo, un auditor de SI ha Q.4) identificado amenazas e impactos potenciales. Inmediatamente después un auditor de SI debe: A . B . C . D
identificar y evaluar el proceso de análisis del riesgo usado por la gerencia. identificar los activos de información y los sistemas subyacentes. revelar las amenazas y los impactos a la gerencia. identificar y evaluar los controles
.
existentes.
¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI?
Q.5)
A .
No reportar un ataque exitoso en la red No notificar a la policía sobre un intento de intrusión. La falta de examen periódico de derechos de acceso La falta de notificación al público sobre un intruso.
B . C . D .
¿Cuál de los siguientes es un objetivo de control de SI?
Q.6)
A .
Los reportes de salida están bajo llave en un lugar seguro No ocurren transacciones duplicadas Los procedimientos de respaldo/recuperación del sistema son actualizados periódicamente El diseño y el desarrollo del sistema reúnen los requerimientos de los usuarios
B . C . D .
Un elemento clave en un análisis de riesgo es / son:
Q.7)
A .
la planeación de auditoría los control es las vulnerabilidade s. las responsabilidad es
B . C . D .
Q.8) Un contrato de auditoría debería:
A .
Ser dinámico y cambiar con frecuencia para coincidir con la naturaleza cambiante de la Tecnología y la profesión de auditoría. Establecer claramente los objetivos de la auditoría para la delegación de autoridad para el mantenimiento y revisión de los controles internos. Documentar los procedimientos de auditoría designados para lograr los objetivos planeados de auditoría Descubrir la autoridad, alcance y responsabilidades generales d e la función de auditoría.
B . C . D .
Durante una revisión de los controles sobre el proceso de definir los niveles de servicios de TI, un auditor de SI entrevistaría MÁS probablemente al:
Q.9)
A . B . C . D . Q.10)
A . B . C . D . Q.11)
A . B . C . D . Q.12)
A . B . C . D . Q.13)
A . B . C .
programador de sistemas. personal del departamento legal. gerente de la unidad de negocio. program ador.
Es un enfoque de auditoría basado en el riesgo, un auditor de SI, además del riesgo, un auditor de SI, además del riesgo, esta´ria influenciado por la: disponibilidad de CAATs representación de la gerencia. estructura de la organización y las responsabilidades del puesto de trabajo existencia de controles internos y operativos
La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para la gerencia de seguridad de información es que éste asegura que: los activos de información estén sobreprotegidos. se aplique nivel básico de protección independientemente del valor del activo. se apliquen niveles apropiados de protección a los activos de información. se dedique una proporción igual de recursos para proteger todos los activos de información.
¿Cuál de los métodos de muestreo es el MÁS útil cuando se pone a prueba su cumplimento? Muestreo de atributos. Muestreo de variables. Media estratificada por unidad . Estimación de la diferencia.
El propósito PRIMARIO de un contrato de auditoría es: documentar el proceso de auditoría usado por la empresa. documentar formalmente el plan de acción del departamento de auditoría. documentar un código de conducta profesional para el
D . Q.14)
A . B . C . D . Q.15)
A . B . C . D . Q.16)
A . B . C . D .
auditor. describir la autoridad y responsabilidades del departamento de auditoría.
¿Cuál de las siguientes opciones sería normalmente la evidencia MÁS confiable para un auditor? Una carta de confirmación recibida de un tercero verificado un saldo de cuenta. Garantía de la gerencia de línea de que una aplicación está funcionado como se la diseño. Los datos de tendencia obtenidos de fuentes de la World Wide Web (internet) Los análisis de ratio desarrollados por el auditor de SI a partir de los informes suministrados por la gerencia de línea.
¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correo electrónico se han convertido en una fuente útil de evidencia en litigios? Permanecen disponibles archivos de respaldo de diferentes ciclos. Los controles de acceso establecen la responsabilidad de dar cuenta de la información de correo electrónico. La clasificación de datos regular que información debería ser comunicada por correo electrónico. Dentro de la empresa, una política clara para usar el correo electrónico asegura que la evidencia esta disponible.
¿Cuál de los siguientes describe MEJOR una prueba integrada (integrated test facility- ITF)? Una técnica que permite al auditor de SI probar una aplicación de computadora con el fin de verificar si hay un proceso correcto. La utilización de hardware y/o software para revisar y probar el funcionamiento de un sistema de computadora. Un método para usar opciones especiales de programación para permitir que se imprima la ruta a través de un programa tomado para procesar una transacción especifica. Un procedimiento para marcar y extender transacciones y registros maestros que son usados por un auditor de SI para pruebas.
El departamento de SI de una organización quiere asegurarse de que los archivos Q.17) de computadora usados en la instalación de procesamiento de información, estén respaldados adecuadamente para permitir la recuperación apropiada. Este es un: A . B . C . D .
procedimiento de control. objetivos de control. control correctivo. control operativo.
Q.18) El grado hasta donde los datos serán
recolectados durante una auditoría de SI
debería ser determinado basado en: A . B . C . D .
la disponibilidad de la información crítica requerida. la familiaridad del auditor con las circunstancias. la capacidad del auditado para encontrar evidencia relevante el propósito y el alcance de la auditoría que se haga.
Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones Q.19) puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas: A . B . C . D . Q.20)
A . B . C . D .
implementó un control específico durante el de sarrollo del sistema de aplicación. diseño un módulo integrado de auditoría exclusivamente para auditar el sistema de aplicación. participó como miembro del equipo del proyecto del sistema de aplicación, pero no tuvo responsabilidades operativas. suministró asesoramiento en relación con las mejores prácticas del sistema de aplicación.
Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentro de un proceso, un auditor de SI debería estar consciente: del punto en que los controles son ejercidos como flujos de datos a través del sistema. de que solo los controles preventivos y de detección son relevantes. de que los controles correctivos solo pueden ser considerados como compensatorios. de que la clasificación permite a un auditor de SI determinar que controles faltan.
Q.21) La ventaja PRIMARIA de un enfoque continuo de auditoría es que:
A . B . C . D .
no requiere que un auditor de SI recolecte evidencia sobre la confidencialidad del sistema mientras está teniendo lugar el procesamiento. requiere que el auditor de SI revise y dé un seguimiento de inmediato a toda la información recolectada puede mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran número de transacciones. no depende de la complejidad de los sistemas de computadora de una organización.
Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del usuario de un Gerente. el gerente habría escrito la contraseña, asignada por el Q.22) administrador del sistema, dentro del cajón/ la gaveta de su escritorio. El auditor de SI debería concluir que el: A .
asistente del gerente perpetró el
B . C . D .
fraude perpetrador no puede ser establecido más allá de la duda. fraude pudo haber sido perpetrado por el gerente administrador del sistema perpetró el fraude.
Q.23) El riesgo de detección se refiere a:
A . B . C . D . Q.24)
A . B . C . D .
concluir que no existen errores materiales, cuando de hecho los hay un control que deja de detectar un error. un control que detecta un errores de alto riesgo un control que detecta un error pero que deja de reportarlo
¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI? Discusión con la gerencia Revisión del organigrama Observación y entrevistas Prueba de derechos de acceso de usuario
Durante una revisión de un archivo maestro de clientes, un auditor de SI descubrió numerosas duplicaciones de nombre de cliente que surgían de Q.25) variaciones en los primeros nombres del cliente. Para determinar la extensión de la duplicación, el auditor de SI usaría: A . B . C . D .
datos de prueba para validar los datos ingresados. datos de prueba para determinar las capacidades de selección del sistema. software generalizado de auditoría para buscar duplicaciones de campo de dirección. software generalizado de auditoría para buscar duplicaciones de campos de cuenta.
un revisión de implementación de una aplicación distribuida multiusuario, el auditor de SI encuentra debilidades menores en tres áreas -La disposición inicial Q.26) de parámetros está instalada incorrectamente, se están usando contraseñas débiles y algunos reportes vitales no se están verificando debidamente. Mientras se prepara el informe de auditoría, el auditor de SI debería: A . B
registrar las observaciones por separado con el impacto de cada una de ellas marcado contra cada hallazgo respectivo. advertir al gerentes sobre probables riesgos sin registrar las observaciones ya que las
. C . D . Q.27)
A . B . C . D .
debilidades de control de menor importancia registrar las observaciones y el riesgo que surjan de las debilidades colectivas. evaluar los jefes de departamento concernidos con cada observación y documentario debidamente en el reporte
¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa en prueba cambia? Listados de la biblioteca de prueba Listados de programas fuente Solicitudes de cambio de programas Listados de la biblioteca de producción.
¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es Q.28) seleccionada una muestra de programas para determinar si las versiones fuentes y las versiones objeto son las mismas? A . B . C . D . Q.29)
A . B . C . D .
Una prueba sustantiva de los controles de la biblioteca de programas Una prueba de cumplimiento de controles de la biblioteca de programas Una prueba de cumplimiento de los controles del compilador de programas Una prueba sustantiva de los controles de compilador de programas
Una prueba integrada (integrated test facility -ITF) se considera una herramienta útil de auditoría porque: es un enfoque eficiente en costos de los controles de aplicación de auditoría permite a la gerencia financiera y al auditor de SI integrar sus pruebas de auditoría compara el resultado (output) del procesamiento con datos calculados de manera independiente. provee al auditor de SI una herramienta para analizar una amplia gama de información.
Q.30) El propósito PRIMARIO de las pistas de
A . B . C . D .
auditoría es:
mejorar el tiempo de respuesta para los usuarios. establecer el deber de rendir cuenta y responsabilidad de las transacciones procesadas. mejorar la eficiencia operativa del sistema. proveer la información útil a los auditores que puedan desear rastrear transacciones
Q.31)
A . B . C . D . Q.32)
A . B . C . D . Q.33)
A . B . C . D .
Para identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho semanas, lo MÁS probable es que un auditor de SI utilice: datos de prueba muestreo estadístico una facilidad de prueba integrada software generalizado de auditoría
Los diagramas de flujo de datos son usados por los Auditores de SI para: ordenar los datos jerárquicamente resaltar las definiciones de datos de alto nivel resumir gráficamente las rutas y el almacenamiento de datos. describir detalles paso por paso de la generación de datos.
¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)? Concentración en las áreas de alto riesgo El reemplazo de las responsabilidades de auditoría La realización de cuestionarios de control Los talleres de facilitación colaborativa
Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de Q.34) software descubre que numerosas PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debería emprender el auditor de SI? A . B . C . D .
Borrar personalmente todas las copia del software no autorizado Informar al auditado sobre el software no autorizado y dar seguimiento para confirmar la eliminación. Reportar el uso del software no autorizado a la gerencia del auditado y la necesidad de prevenir que vuelva a ocurrir. No emprender ninguna acción, ya que es una práctica comúnmente aceptada y la gerencia de operaciones es responsable del monitorear dicho uso.
El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y Q.35) concluya que los errores materiales no existen cuando en realidad existen, es un ejemplo de: A .
riesgo
B . C . D . Q.36)
A . B . C . D . Q.37)
A . B . C . D . Q.38)
A . B . C . D . Q.39)
A . B . C .
inherente riesgo de control riesgo de detección riesgo de auditoría
Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles (control self-assessment -CSA), es que ella: puede identificar las áreas de alto riesgo que pudieran necesitar una revisión de tallada mas tarde. permite al auditor de SI que evalúe el riesgo de manera independiente. se puede usar como reemplazo de las auditorías tradicionales permite que la gerencia delegue la responsabilidad de control.
Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar: los umbrales razonables objetivo las áreas de alto riesgo dentro de la organización la ubicación y el formato de los archivos de output las aplicaciones que proveen la más alta retribución (pay back) potencial.
En un enfoque de auditoria basado en el riesgo, un auditor de SI debería realizar primero una: evaluación del riesgo inherente evaluación del riesgo de control prueba de evaluación de control. evaluación de prueba sustantiva
Respecto al muestreo, se puede decir que: El muestreo es generalmente aplicable cuando la población se refiere a un control intangible o no documentado. Si un auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede bajar. El muestreo de atributos ayudaría a prevenir el muestreo excesivo de un atributo deteniendo una prueba de auditoría lo antes posible.
D . Q.40)
A . B . C . D .
El muestreo variable es una técnica para estimar la velocidad de ocurrencia de un control dado o conjunto de controles relacionados.
¿Cuál de las siguientes formas de evidencia para el auditor se consideraría MÁS confiable? Una declaración verbal del auditado Los resultados de una prueba realizada por un auditor de SI Un reporte de contabilidad por computadora generado internamente Una carta de confirmación recibida de una fuente externa
Los análisis de riesgos realizados por los auditores de SI son un factor crítico Q.41) para la planeación de la auditoría. Se debe hacer un análisis del riesgo para proveer: A . B . C . D .
garantía razonable de los puntos materiales de SI serán cubiertos durante el trabajo de auditoría. garantía suficiente de que los puntos materiales serán cubiertos durante el trabajo de auditoría garantía razonable de que todos los puntos serán cubiertos durante el trabajo de auditoría. garantía suficiente de que todos los puntos serán cubiertos durante el trabajo de auditoría.
Q.42) La evaluación de riesgos es
A . B . C . D .
un proceso:
subj etiv o obj eti vo matem ático estad ístico
La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de Q.43) auditoría de los sistemas de información están debidamente documentadas en una carta o contrato de auditoría (Audit Charter) y DEBEN ser: A . B . C . D .
aprobadas por el más nivel de la gerencia aprobadas por la gerencia del departamento de auditoría aprobadas por la gerencia del departamento de los usuarios cambiadas cada año antes del inicio de las auditorías de SI.