Falso o verdadero ( F o V)

a. La confiabilidad tiene que ver con la información sea relevante y

pertinente a los procesos del negocio, y se proporcione de una manera
oportuna, correcta consistente y utilizable F
b. La disponibilidad consiste en que la información sea generada con el
óptimo (más productivo y económico) uso de los recursos F
c. La confidenciabilidad está relacionada con la precisión y completitud de
la información, así como su validez de acuerdo a los valores y
expectativas del negocio F
d. La efectividad se refiere a proporcionar la información apropiada para
que la gerencia administre la entidad y ejerza sus responsabilidades
fiduciarias y de gobierno F
e. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y
acuerdos contractuales a los cuales está sujeto el proceso, es decir,
criterios de negocios impuestos externamente, así como políticas
internas V
f. La eficiencia se refiere a la protección de información sensitiva contra
revelación no autorizada F
g. La integridad se refiere a que la información esté disponible cuando sea
requerida por los procesos del negocio en cualquier momento. También
concierne a la protección de los recursos y las capacidades necesarias
asociadas F
h. Aunque a simple vista se puede entender que un riesgo y una
vulnerabilidad se podrían englobar en un mismo concepto, de modo que
la vulnerabilidad está ligada a una amenaza y el riesgo a un impacto V

1. Los siguientes ítems mencionados son elementos generales del control,

ambiente de control, evaluación de riesgos, actividades de control,
información y comunicación, supervisión o monitoreo, estos
componentes están interrelacionados y sirven como criterios para
determinar si el sistema es eficaz, ayudando así a que la empresa dirija
de mejor forma sus objetivos y ayuden a integrar a todo el personal en
un proceso. Con respecto a las actividades de control se puede afirmar
lo siguiente:

a. Deben ser específicas, así como adecuadas, completas, razonables

e integradas a las actividades globales de la institución
b. Deben ser específicas, así como adecuadas, completas, razonables
e integradas a las actividades globales de la institución
c. Las actividades de control se ejecutan en todos los niveles de la
organización y en cada una de las etapas de la gestión, partiendo de
la elaboración de un mapa de riesgos.
d. Están constituidas por los procedimientos específicos establecidos
para reafirmar el cumplimiento de los objetivos, orientados
primordialmente hacia la prevención y neutralización de los riesgos.
2. TESIS: para los auditores, definir si existen debilidades en el control
interno les resulta fundamental, dado que les interesa, al practicar la
auditoria, determinar la confiabilidad de las operaciones, a través de las
evidencias primarias que deben corroborar en la práctica.
POSTULADO I: para arribar a conclusiones fundamentales en una
seguridad razonable el auditor requiere de evidencias suficientes; estas
se presentan como evidencias primarias y evidencias corroboradas.
POSTULADO II: no se logra una confiabilidad razonable considerando
solo uno tipo de evidencias. No obstante, en los extremos de confiar en
una o en otra, existe una variedad de posiciones: mientras más
consistentes sea la evidencia primaria, se requiere menos evidencia
corroborativa o viceversa
a. Marque A si de la tesis se deducen los postulados I y II
b. Marque B si de la tesis se deduce el postulado I
c. Marque C si de la tesis solo se deduce el postulado II
d. Marque D si ninguno de los postulados se deduce de la tesis

3. El modelo de análisis y gestión de riesgo comprende tres submodelos

a. Elementos, datos y procesos
b. Elementos procesos y eventos
c. Elementos, métodos y procesos
d. Elementos, eventos y métodos

4. La vulnerabilidad es una propiedad de la relación entre…

a. Un activo y un impacto
b. Un activo y una agresión
c. Un activo y una amenaza
d. Un activo y un riesgo

5. La función o servicio de salvaguarda es una acción o flujo de tipo…

a. Evento
b. Amenaza
c. Decisión
d. Actuación

6. Análisis de riesgo es:

a. Selección e implantación de salvaguardas para conocer, prevenir,
impedir, reducir o controlar los riesgos identificados.
b. El proceso sistemático para estimar la magnitud de los riesgos a que
está expuesta una organización
c. Estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios a la
organización
7. Cuál de los siguientes elementos no se considera un activo de una
organización
a. Recursos físicos: equipos, sistemas, cableado
b. Utilización de recursos: uso de CPU, de ancho de banda, de disco
duro etc...
c. Imagen, reputación publica y profesional de la empresa y sus
empleados
d. Todos los anteriores son activos de una organización

8. ¿Cuál de los siguientes No es una función básica de auditoria

informática?
a. Buscar la mejor relación costo-beneficio de los sistemas automáticos
computarizados.
b. Incrementar la satisfacción de los usuarios de los sistemas
computarizados
c. El control del funcionamiento del departamento de informática con el
exterior
d. Minimizar existencias de riesgos en el uso de la tecnología de
información

9. ¿Cuál de las siguientes No es una de las características de la eficacia de

un sistema informático?
a. Información valida
b. Información oportuna
c. Información completa
d. Información económica

10. En auditoria informática, la aportación de un SI de una información

valida, exacta, completa, actualizada y oportuna se conoce como:
a. Operatividad
b. Eficacia
c. Seguridad
d. Rentabilidad

11. La optimización del uso de los recursos de un SI afecta a la

a. Operatividad
b. Eficacia
c. Seguridad
d. Rentabilidad

12. Si una auditoria se centra en la disponibilidad del SI, se está auditando:

a. La operatividad
b. La eficacia
c. La seguridad
d. Ninguna de ellas
13. ¿De quién depende el área de AI?
a. Responsable de informática
b. Administrador de seguridad
c. Director administrativo
d. Ninguno de ellos

14. ¿Cuál de las siguientes causas puede originar la realización de una AI

a. Insatisfacción de los usuarios
b. Inseguridad de los SI
c. Debilidades económico-financieras
d. Todas las anteriores
e. Ninguna de las anteriores

15. ¿cuál de los siguientes es un riesgo en la auditoria?

a. Riesgo en la seguridad
b. Riesgo inherente
c. Perdidas de datos
d. Riesgos de hardware

16. ¿Cuál de las siguientes es un área general en la que pueda centrarse la

auditoria?
a. Dirección informática
b. Comunicaciones
c. Usuarios
d. Hardware

17. Seleccione las propuestas que consideres falsas

a. Impacto: consecuencia de la materialización de una amenaza
b. Activo: recurso del sistema de información o relacionado con este
necesario para que la organización función correctamente y alcance
los objetivos propuestos
c. Vulnerabilidad: posibilidad de ocurrencia de la materialización de una
amenaza sobre un activo
d. Amenaza: posibilidad de que se produzca un impcto determinado en
un activo
e. Riesgo: es un evento que puede desencadenar un incidente en la
organización, productos dañados, materiales o perdidas inmateriales
en sus activos
f. Ataque: evento, exitoso o no, que atente sobre el buen
funcionamiento del sistema
18. Seleccione las respuestas que consideres correctas:
a. La revisión de la eficaz gestión de los recursos informáticos
b. Desempeño del auditor
c. Tener muestreos estadísticos
d. El análisis de la eficiencia de los sistemas informáticos
e. La verificación del cumplimiento de la normatividad

19. En las fases de la amenaza: se denomina si al periodo de tiempo

necesario para que el grupo agresor alcance su objetivo
a. Fuga
b. Intervención
c. Intrusión
d. Intercepción
e. Ejecución

20. Si una auditora se centra en la disponibilidad del SI, se está auditando:

a. La operatividad
b. La eficacia
c. La seguridad
d. Ninguna de ella

21.