3.

Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró

que no había procedimientos de seguridad documentados. El auditor de SI debe:

A. crear el documento de procedimientos.

B. dar por terminada la auditoría.
C. llevar a cabo pruebas de cumplimiento.
D. identificar y evaluar las prácticas existentes.

6. Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los

sistemas de información. El auditor de SI debe PRIMERO revisar:

A. los controles ya establecidos.

B. la eficacia de los controles establecidos.
C. el mecanismo para monitorear los riesgos relacionados con los activos.
D. las amenazas /vulnerabilidades que afectan a los activos.

7. Al planear una auditoría, el paso MÁS crítico es la identificación de:

A. las áreas de alto riesgo.

B. los conjuntos de habilidades del personal de auditoría.
C. los pasos de prueba en la auditoría.
D. el tiempo asignado para la auditoría.

8. ¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba?

A. Asegurar que la versión de programa probada es la misma que el programa de

producción.
B. Crear datos de prueba que cubran todas las condiciones posibles válidas y no
válidas
C. Minimizar el impacto de transacciones adicionales sobre la aplicación que está
siendo probada
D. Procesar los datos de prueba bajo la supervisión de un auditor

9. El riesgo general del negocio para una amenaza en particular se puede expresar
como:

A. un producto de la probabilidad y de la magnitud del impacto si una amenaza

explotara exitosamente una vulnerabilidad
B. la magnitud del impacto si una fuente de amenaza explotara exitosamente la
vulnerabilidad.
C. la probabilidad de que cierta fuente de amenaza explotara cierta vulnerabilidad.
D. la opinión colectiva del equipo de evaluación de riesgos.

10. ¿Cuál de las siguientes es una prueba sustantiva?

A. Verificar una lista de reportes de excepción

B. Asegurar la aprobación para cambios de parámetros
C. Usar una muestra estadística para inventariar la biblioteca de cintas
D. Revisar los reportes históricos de contraseña
13. ¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría
basado en el riesgo?

A. El cronograma de auditoría puede realizarse con meses de anticipación

B. Es más probable que los presupuestos de auditoría sean cumplidos por el personal
de auditoría de SI
C. El personal de auditoría estará expuesto a una variedad de tecnologías
D. Los recursos de auditoría son asignados a las áreas de mayor preocupación

14. Una acción correctiva ha sido tomada por un auditado inmediatamente después de
la identificación de un hallazgo que debería ser reportado. El auditor debe:

A. incluir el hallazgo en el reporte final porque el auditor de SI es responsable de un

reporte exacto de todos los hallazgos.
B. no incluir el hallazgo en el reporte final porque el reporte de auditoría debe incluir
solamente los hallazgos no resueltos.
C. no incluir el hallazgo en el reporte final porque la acción correctiva puede ser
verificada por el auditor de SI durante la auditoría.
D. incluir el hallazgo en la reunión de cierre para fines de discusión solamente.

15. El objetivo PRIMARIO de una función de auditoría de SI es:

A. determinar si todos usan los recursos de SI de acuerdo con su descripción del

trabajo
B. determinar si los sistemas de información salvaguardan activos, y mantienen la
integridad de datos
C. examinar libros de contabilidad y evidencia documentaria relacionada para el
sistema computarizado
D. determinar la capacidad de la organización para detectar fraude.

16. En el curso de la realización de un análisis de riesgo, un auditor de SI ha

identificado amenazas e impactos potenciales. Inmediatamente después, un auditor
de SI debe:

A. identificar y evaluar el proceso de análisis del riesgo usado por la gerencia.

B. identificar los activos de información y los sistemas subyacentes.
C. revelar las amenazas y los impactos a la gerencia.
D. identificar y evaluar los controles existentes.

17. ¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI?

A. No reportar un ataque exitoso en la red

B. No notificar a la policía sobre un intento de intrusión
C. La falta de examen periódico de derechos de acceso
D. La falta de notificación al público sobre un intruso

18. ¿Cuál de los siguientes es un objetivo de control de SI?

A. Los reportes de salida están bajo llave en un lugar seguro

B. No ocurren transacciones duplicadas
C. Los procedimientos de respaldo /recuperación del sistema son actualizados
periódicamente
D. El diseño y el desarrollo del sistema reúnen los requerimientos de los usuarios
19. Un elemento clave en un análisis de riesgo es /son:

A. la planeación de auditoría.
B. los controles.
C. las vulnerabilidades.
D. las responsabilidades.

20. Un Contrato de auditoría debería:

A. Ser dinámico y cambiar con frecuencia para coincidir con la naturaleza cambiante
de la Tecnología y la profesión de auditoría.
B. Establecer claramente los objetivos de la auditoría para la delegación de autoridad
para el mantenimiento y revisión de los controles internos.
C. Documentar los procedimientos de auditoría designados para lograr los objetivos
planeados de auditoría.
D. Descubrir la autoridad, alcance y responsabilidades generales de la función de
auditoría.

21. Durante una revisión de los controles sobre el proceso de definir los niveles de
servicios de TI, un auditor de SI entrevistaría MÁS probablemente al:

A. programador de sistemas.
B. personal del departamento legal.
C. gerente de la unidad de negocio.
D. programador.

22. En un enfoque de auditoría basado en el riesgo, un auditor de SI, además del

riesgo, estaría influenciado por la:

A. disponibilidad de los CAATs.

B. representación de la gerencia.
C. estructura de la organización y las responsabilidades del puesto de trabajo.
D. existencia de controles internos y operativos.

23. La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de
línea base para la gerencia de seguridad de información es que éste asegura que:

A. los activos de información estén sobreprotegidos.

B. se aplique nivel básico de protección independientemente del valor del activo.
C. se apliquen niveles apropiados de protección a los activos de información.
D. se dedique una proporción igual de recursos para proteger todos los activos de
información.

25. El propósito PRIMARIO de un contrato de auditoría es:

A. documentar el proceso de auditoría usado por la empresa.

B. documentar formalmente el plan de acción del departamento de auditoría.
C. documentar un código de conducta profesional para el auditor.
D. describir la autoridad y responsabilidades del departamento de auditoría.

26. ¿Cuál de las siguientes opciones sería normalmente la evidencia MÁS confiable
para un auditor?

A. Una carta de confirmación recibida de un tercero verificando un saldo de cuenta.

B. Garantía de la gerencia de línea de que una aplicación está funcionando como se la
diseño.
C. Los datos de tendencia obtenidos de fuentes de la Word Wide Web (internet)
D. Los análisis de ratio desarrollados por el auditor de SI a partir de los informes
suministrados por la gerencia de línea.

27. ¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de
correo electrónico se han convertido en una fuente útil de evidencia en litigios?

A. Permanecen disponibles archivos de respaldo de diferentes ciclos.

B. Los controles de acceso establecen la responsabilidad de dar cuenta de la
información de correo electrónico.
C. La clasificación de datos regula que información debería ser comunicada por
correo electrónico.
D. Dentro de la empresa, una política clara para usar el correo electrónico asegura
que la evidencia esta disponible.

29. El departamento de SI de una organización quiere asegurarse de que los archivos

de computadora usados en la instalación de procesamiento de información, estén
respaldados adecuadamente para permitir la recuperación apropiada. Este es un:

A. procedimiento de control.
B. objetivo de control.
C. control correctivo.
D. control operativo.

30. El grado hasta donde los datos serán recolectados durante una auditoría de SI
debería ser determinado basado en:

A. la disponibilidad de la información critica requerida.

B. la familiaridad del auditor con las circunstancias.
C. la capacidad del auditado para encontrar evidencia relevante.
D. el propósito y el alcance de la auditoría que se haga.

31. Se asigna a un auditor de sistemas para que realice una revisión de un sistema de
aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede
haber comprometido la independencia del auditor de sistemas? El auditor de
sistemas:

A. implementó un control específico durante el desarrollo del sistema de aplicación.

B. diseño un módulo integrado de auditoría exclusivamente para auditar el sistema de
aplicación.
C. participó como miembro del equipo del proyecto del sistema de aplicación, pero no
tuvo responsabilidades operativas.
D. suministró asesoramiento en relación con las mejores prácticas del sistema de
aplicación.

32. Cuando se evalúa el efecto colectivo de los controles preventivos de detección o

correctivos dentro de un proceso, un auditor de SI debería estar consciente:

A. del punto en que los controles son ejercidos como flujos de datos a través del
sistema.
B. de que solo los controles preventivos y de detección son relevantes.
C. de que los controles correctivos solo pueden ser considerados como
compensatorios.
D. de que la clasificación permite a un auditor de SI determinar que controles faltan.
33. La ventaja PRIMARIA de un enfoque continuo de auditoría es que:

A. no requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del

sistema mientras está teniendo lugar el procesamiento.
B. requiere que el auditor de SI revise y dé un seguimiento de inmediato a toda la
información recolectada.
C. puede mejorar la seguridad del sistema cuando se usa en entornos que comparten
el tiempo que procesan un gran número de transacciones.
D. no depende de la complejidad de los sistemas de computadora de una
organización.

34. Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del

usuario de un Gerente. El gerente había escrito la contraseña, asignada por el
administrador del sistema, dentro del cajón/ la gaveta de su escritorio. El auditor de SI
debería concluir que el:

A. asistente del gerente perpetró el fraude.

B. perpetrador no puede ser establecido mas allá de la duda.
C. fraude pudo haber sido perpetrado por el gerente.
D. administrador del sistema perpetró el fraude.

36. ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de

funciones en un departamento de SI?

A. Discusión con la gerencia

B. Revisión del organigrama
C. Observación y entrevistas
D. Prueba de derechos de acceso de usuario

37. Durante una revisión de un archivo maestro de clientes, un auditor de SI descubrió

numerosas duplicaciones de nombre de cliente que surgían de variaciones en los
primeros nombres del cliente. Para determinar la extensión de la duplicación, el
auditor de SI usaría:

A. datos de prueba para validar los datos ingresados.

B. datos de prueba para determinar las capacidades de selección del sistema.
C. software generalizado de auditoría para buscar duplicaciones de campo de
dirección.
D. software generalizado de auditoría para buscar duplicaciones de campos de
cuenta.

38. Durante una revisión de implementación de una aplicación distribuida

multiusuario, el auditor de SI encuentra debilidades menores en tres áreas-La
disposición inicial de parámetros está instalada incorrectamente, se están usando
contraseñas débiles y algunos reportes vitales no se están verificando debidamente.
Mientras se prepara el informe de auditoría, el auditor de SI debería:

A. registrar las observaciones por separado con el impacto de cada una de ellas
marcado contra cada hallazgo respectivo.
B. advertir al gerente sobre probables riesgos sin registrar las observaciones, ya que
las debilidades de control de menor importancia.
C. registrar las observaciones y el riesgo que surjan de las debilidades colectivas.
D. evaluar los jefes de departamento concernidos con cada observación y
documentarlo debidamente en el reporte.
42. El propósito PRIMARIO de las pistas de auditoría es:

A. mejorar el tiempo de respuesta para los usuarios.

B. establecer el deber de rendir cuenta y responsabilidad de las transacciones
procesadas.
C. mejorar la eficiencia operativa del sistema.
D. proveer información útil a los auditores que puedan desear rastrear transacciones.

44. Los diagramas de flujo de datos son usados por los Auditores de SI para:

A. ordenar los datos jerárquicamente.

B. resaltar las definiciones de datos de alto nivel.
C. resumir gráficamente las rutas y el almacenamiento de datos.
D. describir detalles paso por paso de la generación de datos.

46. Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software
descubre que numerosas PCs contienen software no autorizado. ¿Cuál de las
siguientes acciones debería emprender el auditor de SI?

A. Borrar personalmente todas las copia del software no autorizado

B. Informar al auditado sobre el software no autorizado y dar seguimiento para
confirmar la eliminación
C. Reportar el uso del software no autorizado a la gerencia del auditado y la necesidad
de prevenir que vuelva a ocurrir
D. No emprender ninguna acción, ya que es una práctica comúnmente aceptada y la
gerencia de operaciones es responsable de monitorear dicho uso

47. El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y

concluya que los errores materiales no existen cuando en realidad existen, es un
ejemplo de:

A. riesgo inherente.
B. riesgo de control.
C. riesgo de detección.
D. riesgo de auditoría.

50. En un enfoque de auditoría basado en el riesgo, un auditor de SI debería realizar

primero una:

A. evaluación del riesgo inherente.

B. evaluación del riesgo de control.
C. prueba de evaluación de control.
D. evaluación de prueba sustantiva.

52. ¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MÁS
confiable?

A. Una declaración verbal del auditado

B. Los resultados de una prueba realizada por una auditor de SI
C. Un reporte de contabilidad por computadora generado internamente
D. Una carta de confirmación recibida de una fuente externa
53. Los análisis de riesgos realizados por los auditores de SI son un factor crítico para
la planeación de la auditoría. Se debe hacer un análisis del riesgo para proveer:

A. garantía razonable de los puntos materiales de SI serán cubiertos durante el trabajo

de auditoría.
B. garantía suficiente de que los puntos materiales serán cubiertos durante el trabajo
de auditoría.
C. garantía razonable de que todos los puntos serán cubiertos durante el trabajo de
auditoría.
D. garantía suficiente de que todos los puntos serán cubiertos durante el trabajo de
auditoría.

54. La evaluación de riesgos es un proceso:

A. subjetivo.
B. objetivo.
C. matemático.
D. estadístico.