BANCO DE PREGUNTAS

1. Qué es auditoría

Conjuntos de técnicas que se aplican a los procesos, recursos y estructura de la

organización para verificar y examinar como se esta llevando a cabo en la vida práctica.

2. Qué es auditoría informática

se aplican a los procesos, recursos y estructuras de la sección de informática, para

verificar y examinar como se están llevando a cabo en la vida práctica del día a día en la
empresa.

3. Cuál es el objetivo de la auditoria informática

Entregar un informe final con el estado encontrado de los procesos informáticos

auditados.

4. Qué es el informe de una auditoría informática y que debe contener

Contiene en forma detallada y crítica, recomendaciones a cerca de la manera en que se

cumple la eficiencia y eficacia del proceso informático auditado dentro de la organización.

5. Qué es el procedimiento en una auditoría informática

Descripción del conjunto de pasos que se siguen para realizar cada fase de un proceso

6. Qué es el instructivo dentro de una auditoría

Es un manual paso a paso de un conjunto de normas precisas, formales y detalladas a

cerca de las actividades puntuales de un procedimiento

7. Qué funciones tendría un auditor informático

a) Controlar y verificar el cumplimiento de los estándares informáticos que aplica la
organización
b) Verificar y examinar la eficiencia y eficacia de los Sistemas de Información en
cualquier etapa de estos.
c) Examinar el uso adecuado de los recursos informáticos de la organización
8. Qué conocimientos básicos tendría un auditor informático
 Gestión Empresarial
 Gestión de Proyectos
 Gestión Tecnológica
 Tecnología Informática
 Tecnología ofimática y Telemática
 Bases de Datos
 Ingeniería de Software
 Seguridad Informática
 Sistemas de Información
9. Qué cualidades tendría un auditor informático
1. Pericia en los diferentes procesos informáticos
2. Astucia para identificar fácilmente aspectos que son claves para encontrar
inconsistencias en los procesos auditados.
3. Creatividad para realizar sus funciones
4. Inteligencia para la adecuada toma de decisiones
5. Organización para controlar paso a paso el proceso a ser auditado
6. Confidencialidad para no dar a conocer a quien no se debe, sus hallazgos
7. Honestidad para desempeñar a cabalidad sus funciones
10. Escriba algunos estándares de auditoría informática
 ISO 27001
 ISO 15504 (Spice)
 ISO 12207
 ISO/IEC
11. Escriba algunos estándares de auditoría informática
 ISO 27001
 ISO 15504 (Spice)
 ISO 12207
 ISO/IEC
12. Qué es una metodología de Auditoría

Es aquella que ayuda a una organización a lograr sus objetivos al brindar un enfoque
sistemático y disciplinado para evaluar y mejorar la efectividad de la gestión de riesgos.

13. En auditoría que son las metodologías cuantitativas

La metodología cuantitativa se considera una metodología objetiva, ya que se basa en

términos estadísticos, no influye ningún tipo de opinión. Basadas en un modelo
matemático numérico que ayuda a la realización del trabajo, están diseñadas para
producir una lista de riesgos que pueden compararse entre sí con facilidad por tener
asignados unos valores numérico. Estos valores son datos de probabilidad de ocurrencia
de un evento que se debe extraer de un riesgo de incidencias donde el número de
incidencias tiende al infinito.

14. En auditoría que son las metodologías cualitativas

La metodología cualitativa se basa en el raciocinio humano para calcular las pérdidas

potenciales estimadas sin necesidad de utilizar métodos probabilísticos. Es la
metodología utilizada con más frecuencia para el análisis de riesgos.

15. Que es la metodología Octave

Es una metodología de análisis de riesgos desarrollada por la Universidad Carnegie

Mellon en el año 2001, estudia los riesgos en base a tres principios Confidencialidad,
Integridad y Disponibilidad, esta metodología se emplea por distintas agencias
gubernamentales tales como el Departamento de defensa de Estados Unidos.

16. Qué es la metodología Magerit

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el antiguo

Consejo Superior de Administración Electrónica (actualmente Comisión de Estrategia
TIC), como respuesta a la percepción de que la Administración, y, en general, toda la
sociedad, dependen de forma creciente de las tecnologías de la información para el
cumplimiento de su misión.
17. Qué es la metodología Cobit

Es la metodología que nace con la misión de investigar, desarrollar, publicar y promover

un conjunto de objetivos de control de tecnología de información, guías, actualizados,
internacionales y aceptados para ser utilizados diariamente por gerentes de negocio y
auditores.

18. Que es una norma ISO

Son un conjunto de normas orientadas a ordenar la gestión de una empresa en sus
distintos ámbitos.
19. Para que sirven La Normas ISO 27000

Es un conjunto de estándares internacionales sobre la Seguridad de la Información. Sirve

para el establecimiento, implementación, mantenimiento y mejora de Sistemas de
Gestión de la Seguridad de la Información.

20. Para que sirve la norma ISO 27005

Sirve para proporcionar directrices para la gestión de riesgos de seguridad de la

información, de la misma manera proporciona una guía detallada de riesgos para ayudar
a cumplir los requisitos relacionados especificados en ISO 27001.

21. Qué es la auditoría Informática de Sistemas

Es una modalidad de auditoria que concierne a la evaluación en profundidad de los

recursos informáticos y tecnológicos de una organización. El principal objetivo de la
auditoria informática reside en la valoración de los sistemas informáticos de una
organización en particular.

22. Qué es el control Interno

El Control Interno es el plan mediante el cual una organización establece principios,

métodos, procedimientos que coordinados y unidos entre sí, buscan proteger los
recursos de la entidad, prevenir, detectar fraudes y errores dentro de los diferentes
procesos desarrollados en la empresa.
23. Escriba la clasificación de los controles
 Controles preventivos, detectivos, correctivos.
 Controles discrecionales y no discrecionales.
 Controles voluntarios y obligatorios.
 Controles manuelas y automatizados.
 Controles generales a los sistemas de información y a las aplicaciones.
24. Qué es un control preventivo

Es aquel que actúa para eliminar las causas del riesgo para prevenir su ocurrencia o
materialización. Los controles preventivos están orientados a mitigar la posibilidad de
ocurrencia del riesgo, es decir la probabilidad.

25. Qué es un control detectivo

Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone
que la amenaza ya se ha materializado, pero por sí mismo no la corrige.

26. Qué es un control correctivo

Aquellos que permiten el restablecimiento de la actividad, después de ser detectado un

evento no deseable; también la modificación de las acciones que propiciaron su
ocurrencia. Los controles correctivos están orientados a mitigar las consecuencias que
puede ocasionar la materialización del riesgo, es decir el impacto.

27. Qué es el marco de referencial COSO

Se dedica a desarrollar marcos y orientaciones generales sobre el control interno, la

gestión del riesgo empresarial y la prevención del fraude, diseñados para mejorar el
desempeño organizacional, la supervisión, y reducir el riesgo de fraude en las
organizaciones.

28. La estructura del modelo COSO tiene 5 componentes interrelacionados,

cuáles son

Ambiente de control, evaluación de riesgo, actividad de control, información y

comunicación y actividad de supervisión (monitoreo)
29. Qué son las perspectivas de COSO

El control interno significa cosas distintas para diferente gente. Ello origina confusión
entre personas de negocios, legisladores, reguladores y otros. Dando como resultado
malas comunicaciones y distintas perspectivas, lo cual origina problemas. Tales
problemas se entremezclan cuando el término, si no es definido claramente, se escribe
en leyes, regulaciones o reglas.

Administración:

• Su responsabilidad es desarrollar los objetivos y las estrategias de la entidad, para

dirigir sus recursos a fin de conseguir los objetivos.

• Cumple un amplio espectro, incluyendo políticas, procedimientos y acciones para

ayudar a asegurar que una entidad cumpla sus objetivos.

• Los controles internos le permiten realizar las acciones oportunas cuando cambian las
condiciones.

• El control interno ayuda a asegurar que cumple con sus responsabilidades ambientales,
sociales y legales.

Auditores Internos:

• The Institute Of Internal Auditors (IIA) define el control interno como cualquier acción
realizada por la administración para aumentar la probabilidad de que los objetivos y las
metas establecidas serán conseguidas, como resultado de una adecuada planeación,
organización y dirección.

Auditores Independientes:

• Han centrado su perspectiva del control interno en aquellos aspectos que soportan o
afectan la información financiera externa de la entidad.

Legisladores y Reguladores:

• Han desarrollado distintas definiciones de control interno de acuerdo con sus

responsabilidades.
• Esas definiciones se relacionan con los tipos de actividades monitoreadas, y pueden
abarcar la consecución de las metas y objetivos de la entidad, requerimientos de
información, uso de recursos en cumplimiento de leyes y regulaciones, y la salvaguarda
de recursos contra desperdicios, pérdidas y malversación.

Profesional:

Uno de los primeros estudios que se conocieron sobre Control Interno fue publicado en
estados Unidos en 1949, bajo el título “Control Interno. Elementos del sistema coordinado
y su importancia para la administración y para el contador público independiente”.

30. Cuáles son las normas ISO 27000

ISO 27000: contiene el vocabulario en el que se apoyan el resto de las normas. Es similar
a una guía/diccionario que describe los términos de todas las normas de la familia.

ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única norma

certificable de las que se incluyen en la lista y consta de una parte principal basada en el
ciclo de mejora continua y un Anexo A, en el que se detallan las líneas generales de los
controles propuestos por el estándar.

ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de la

Información que describe los controles y objetivos de control. Actualmente cuentan con
14 dominios, 35 objetivos de control y 114 controles.

ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo
a la norma 27001, indicando las directivas generales necesarias para la correcta
implementación de un SGSI. Incluye instrucciones sobre cómo lograr la implementación
de un SGSI con éxito.

ISO 27004: describe una serie de recomendaciones sobre cómo realizar mediciones
para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas,
qué medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.

ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de riesgos
de seguridad de la información que puedan comprometer a las organizaciones. No
especifica ninguna metodología de análisis y gestión de riesgos concreta, pero incluye
ejemplos de posibles amenazas, vulnerabilidades e impactos.

ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones

certificadoras.

ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuándo, cómo
asignar los auditores adecuados, la planificación y ejecución de la auditoría, las
actividades claves, etc.

31. Qué es Cobit y para que sirve

COBIT es un marco de gestión de TI desarrollado por ISACA para ayudar a las empresas
a desarrollar, organizar e implementar estrategias en torno a la gestión de la información
y la gobernanza.

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de beneficios, la utilización de recursos y
los niveles de riesgo asumidos.

32. Quién usa Cobit

COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria
los procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la
información confiable, y los que proveen calidad, confiabilidad y control de TI.

33. Cuáles son los 5 principios de Cobit 5

 Satisfacer las necesidades de los interesados.
 Cubrir la empresa de extremo a extremo.
 Aplicar un solo marco integrado.
 Habilitar un enfoque holístico.
 Separar gobierno de administración.
34. Que hace la norma ISO 17799

El objetivo de la norma NTP-ISO/IEC 17799 es dirigir y dar soporte a la gestión de la

seguridad de la información en concordancia con los requisitos de la organización, la
legislación y las regulaciones. Proporciona una base común para desarrollar normas de
seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la
seguridad.

35. Qué es la Gestión de Riesgos

La gestión de riesgos es el proceso de identificar, analizar y responder a factores de

riesgos a lo largo de la vida de un proyecto y en beneficio de sus objetivos.

36. Qué es la Gestión de Negocios

Es parte del sistema general de gestión que se encarga de planificar, mantener y mejorar
de forma continua la continuidad del negocio.

Esta gestión desarrolla y administra una capacidad para responder ante incidentes
destructivos y perjudiciales relacionados con la seguridad de la información que impidan
continuar con las funciones y operaciones críticas del negocio, además debe tender por
la recuperación de estos escenarios tan rápida y eficazmente como se requiera. Esta
gestión debe permitir reducir el riesgo operacional de la organización.

37. Qué es la Gestión de Riesgo Operacional

La gestión del riesgo operacional es un proceso que tiene por objeto garantizar la
integridad y la calidad de las operaciones y las actividades de una entidad mediante el
uso de diversas herramientas, como auditorías, políticas de contratación, sistemas de
control y planes de continuidad de las operaciones.

38. Qué es Fraude

En el sentido más amplio, el fraude puede abarcar cualquier delito para ganancia que
utiliza el engaño como su principal modus operandi. Más específicamente, el fraude se
define por el Black´s Law Dictionary como:

“Una declaración falsa a sabiendas de la verdad o la ocultación de un hecho material

para inducir a otro a actuar a en su detrimento”.

En consecuencia, el fraude incluye cualquier acto intencional o deliberado de privar a

otro de una propiedad o dinero por la astucia, el engaño, u otros actos desleales.
39. Qué es fraude Interno

Es el uso de la ocupación o empleo de uno para el enriquecimiento personal a través del

mal uso deliberado o mala aplicación de los recursos o activos de la organización.

40. Qué es fraude Externo

Es una acción que resulta contraria a la verdad y a la rectitud. Entre esas acciones
encontramos la piratería, el robo de información confidencial, el fraude fiscal, quiebra
fraudulenta, fraude a seguros, fraude de atención médica, y el fraude de préstamo.

41. Qué son las políticas de seguridad

Son un conjunto de reglas, normas y protocolos de actuación que se encargan de velar

por la seguridad informática de la empresa. Se trata de una especie de plan realizado
para combatir todos los riesgos a lo que está expuesta la empresa en el mundo digital.
De esta forma mantendremos nuestra organización alejada de cualquier ataque externo
peligroso.

42. Qué son normativas de seguridad

Son un conjunto de reglas que resulta necesaria promulgar y difundir con la anticipación
adecuada, estas se deben seguir ordenadamente para evitar los daños que puedan
derivarse de la ejecución de un trabajo.

43. Qué es un plan de contingencia

Un plan de contingencia es un conjunto de procedimientos alternativos a la operatividad

normal de cada institución.

44. Qué es un plan de recuperación de desastres

Es un proceso de recuperación que cubre los datos, el hardware y el software crítico,

para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre
natural o causado por humanos, se compone de las precauciones tomadas para que los
efectos de un desastre se reduzcan al mínimo y la organización sea capaz de mantener
o reanudar rápidamente funciones de misión crítica. Por lo general, la planificación de
recuperación de desastres implica un análisis de los procesos de negocio y las
necesidades de continuidad; también puede incluir un enfoque significativo en la
prevención de desastres.

45. Qué es un plan de continuidad de negocio

Un plan de continuidad de negocio (o BCP por sus siglas en inglés) es un plan de

emergencia con el objetivo de mantener la funcionalidad de la organización a un nivel
mínimo aceptable durante una contingencia, como es el caso de la emergencia sanitaria
provocada por la influenza A (H1N1) y su rebrote.