Escolar Documentos
Profissional Documentos
Cultura Documentos
C. Los controles que ayudan a mitigar las reas de alto riesgo son generalmente controles
crticos y su efectividad proporciona seguridad en la mitigacin del riesgo. Sin embargo,
esto no puede hacerse a menos que se clasifiquen los tipos de riesgo.
D. El enfoque de las pruebas se basa en la clasificacin de los riesgos
Compartir el riesgo es un factor clave en cul de los siguientes mtodos de
gestin de riesgo?
A. Transferencia de riesgo
B. Tolerar el riesgo
C. Terminacin del riesgo
D. Tratamiento del riesgo
La respuesta es A.
Transferir el riesgo (por ejemplo, mediante una pliza de seguro) es una manera de
compartir el riesgo. Tolerar el riesgo significa que el riesgo es aceptado, pero no
compartido. Es improbable que termine el riesgo de compartir el riesgo porque se
mantendr algn riesgo. Tratar o controlar el riesgo puede implicar compartir el riesgo, pero
no es una caracterstica clave.
Una prueba sustantiva para verificar que los registros de inventario de la
biblioteca de cintas son exactas es:
A. Determinar si los lectores de cdigo de barras estn instalados.
B. determinar si el movimiento de las cintas est autorizado.
C. realizar un recuento fsico del inventario de la cinta.
D. Comprobar si los recibos y las emisiones de cintas se registran con exactitud
La respuesta correcta es c.
Una prueba sustantiva incluye la recopilacin de pruebas para evaluar la integridad (es
decir, la integridad, exactitud o validez) de transacciones individuales, datos u otra
informacin. La realizacin de un conteo fsico del inventario de cintas es una prueba
sustantiva. Las opciones A, B y D son pruebas de cumplimiento.
Cul de las siguientes tcnicas de auditora BEST ayudara a un auditor de SI a
determinar si ha habido cambios no autorizados en el programa desde la ltima
actualizacin del programa autorizado?
A. Ejecucin de los datos de prueba
B. Revisin del cdigo
C. Comparacin automatizada de cdigos
D. Revisin de los procedimientos de migracin de cdigo
La respuesta correcta es c.
Una comparacin de cdigo automatizada es el proceso de comparar dos versiones del
mismo programa para determinar si las dos corresponden. Es una tcnica eficiente porque
es un procedimiento automatizado. Las ejecuciones de datos de prueba permiten al auditor
verificar el procesamiento de las transacciones preseleccionadas, pero no proporcionan
evidencia sobre porciones no ejercidas de un programa. La revisin de cdigo es el proceso
de lectura de listas de cdigo fuente del programa para determinar si el cdigo contiene
errores potenciales o declaraciones ineficientes. Una revisin de cdigo se puede utilizar
como un medio de comparacin de cdigo, pero es ineficiente. La revisin de los
procedimientos de migracin de cdigo no detectara cambios en el programa
Despus de la investigacin inicial, un auditor de SI tiene razones para creer que
el fraude puede estar presente. El auditor de SI debe
A. Extender las actividades para determinar si se justifica una investigacin.
B. reportar el asunto al comit de auditora.
C. informar de la posibilidad de fraude a la alta direccin y preguntar cmo les gustara
proceder.
D. consultar con un asesor legal externo para determinar el curso de accin que se debe
tomar.
La respuesta es A.
Las responsabilidades de un auditor de SI para detectar el fraude incluyen la evaluacin de
los indicadores de fraude y la decisin de si cualquier accin adicional es necesaria o si se
debe recomendar una investigacin. El auditor de SI debe notificar a las autoridades
apropiadas dentro de la organizacin solamente si ha determinado que los indicadores de
fraude son suficientes para recomendar una investigacin. Normalmente, el auditor de SI
no tiene autoridad para consultar con un asesor legal externo.
Se asigna un auditor de SI para realizar una revisin postimplementacin de un
sistema de aplicacin. Cul de las siguientes situaciones puede haber alterado
la independencia del auditor de SI? El auditor de SI:
A. implement una funcionalidad especfica durante el desarrollo del sistema de aplicacin.
B. dise un mdulo de auditora integrado exclusivamente para la auditora del sistema
de aplicacin.
C. particip como miembro del equipo de proyecto del sistema de solicitud, pero no tena
responsabilidades operacionales.
D. prest asesoramiento sobre las mejores prcticas del sistema de aplicacin.
La respuesta es A.
La independencia puede verse afectada si un auditor de SI est o ha estado involucrado
activamente en el desarrollo, adquisicin e implementacin del sistema de solicitud. Las
opciones B y C son situaciones que no afectan la independencia del auditor de SI. La opcin
D es incorrecta debido a que la independencia del auditor de SI no se ve afectada al
proporcionar asesoramiento sobre las mejores prcticas conocidas.
Cul de las siguientes opciones identificar con ms xito los controles clave
superpuestos en los sistemas de aplicaciones empresariales?
A. Revisar las funcionalidades del sistema que se adjuntan a procesos empresariales
complejos
B. Presentacin de transacciones de prueba a travs de un centro de pruebas integrado
(ITF)
C. Sustitucin de la supervisin manual por una solucin de auditora automatizada
D. Controles de prueba para validar que son efectivos
La respuesta correcta es c.
Como parte del esfuerzo por realizar una gestin de auditora continua (CAM), hay casos
para la introduccin de una solucin automatizada de monitoreo y auditora. Todos los
controles clave deben estar claramente alineados para la implementacin sistemtica; Por
lo tanto, los analistas tienen la oportunidad de encontrar innecesarios o superpuestos
controles clave en los sistemas existentes. En general, los procesos empresariales
altamente complejos pueden tener ms controles clave que las reas de negocios con
menos complejidad; Sin embargo, encontrar con seguridad controles innecesarios en reas
complejas no siempre es posible. Si una estructura de control clave bien pensada se ha
establecido desde el principio, no ser posible encontrar ninguna superposicin en el
control. Un ITF es una tcnica de auditora para probar la exactitud de los procesos en el
sistema de aplicacin. Puede encontrar fallas de control en el sistema de aplicacin, pero
sera difcil encontrar la superposicin en los controles clave. Al probar controles para
validar si son efectivos, el auditor de SI puede identificar si hay controles superpuestos; Sin
embargo, el proceso de implementacin de una solucin de auditora automatizada
identificara mejor los controles superpuestos.
Un beneficio PRIMARIO derivado de una organizacin que emplea tcnicas de
autoevaluacin de control (CSA) es que
A. puede identificar reas de alto riesgo que podran necesitar una revisin detallada ms
adelante.
B. permite que los auditores de SI evalen de forma independiente el riesgo.
C. puede utilizarse como sustituto de las auditoras tradicionales.
D. permite a la gerencia renunciar a la responsabilidad del control.
La respuesta correcta es la A.
CSA se basa en la revisin de reas de alto riesgo que necesitan atencin inmediata o una
revisin ms profunda en una fecha posterior. La opcin B es incorrecta, ya que la CSA
requiere la participacin de los auditores de SI y la administracin de lnea. Lo que ocurre
es que la funcin de auditora interna transfiere algunas de las responsabilidades de control
de monitoreo a las reas funcionales. La opcin C es incorrecta porque CSA no es un
reemplazo para las auditoras tradicionales. CSA no pretende reemplazar las
responsabilidades de la auditora, sino mejorarlas. La opcin D es incorrecta, ya que CSA no
permite a la administracin renunciar a su responsabilidad de control.
La ventaja PRIMARIA de un enfoque de auditora continua es que:
A. no requiere que un auditor de SI recopile evidencia sobre la confiabilidad del sistema
mientras se procesa.
B. requiere que el auditor de SI revise y haga un seguimiento inmediato de toda la
informacin recopilada.
C. puede mejorar la seguridad del sistema cuando se utiliza en entornos de
tiempo compartido que procesan un gran nmero de transacciones.
D. no depende de la complejidad de los sistemas informticos de una organizacin.
La respuesta correcta es c.
El uso de tcnicas de auditora continua puede mejorar la seguridad del sistema cuando se
utiliza en entornos de tiempo compartido que procesan un gran nmero de transacciones,
pero dejan un rastro de papel escaso. La opcin A es incorrecta, ya que el enfoque de
auditora continua requiere a menudo que un auditor de SI recoja evidencia sobre la
confiabilidad del sistema mientras se procesa. La opcin B es incorrecta ya que un auditor
de SI normalmente revisara y dara seguimiento slo a las deficiencias materiales o los
errores detectados. La eleccin D es incorrecta ya que el uso de tcnicas de auditora
continua depende de la complejidad de los sistemas informticos de una organizacin.
El MEJOR mtodo para confirmar la exactitud de un clculo del impuesto del
sistema es:
A. revisin visual detallada y anlisis del cdigo fuente de los programas de clculo.
B. recrear la lgica del programa utilizando un software de auditora generalizado para
calcular los totales mensuales.
C. preparar transacciones simuladas para procesar y comparar los resultados con
resultados predeterminados.
D. diagrama de flujo automtico y anlisis del cdigo fuente de los programas de clculo.
La respuesta correcta es c.
Preparar transacciones simuladas para procesar y comparar los resultados con resultados
predeterminados es el mejor mtodo para confirmar la exactitud de un clculo de
impuestos. La revisin visual detallada, el diagrama de flujo y el anlisis del cdigo fuente
no son mtodos eficaces y los totales mensuales no abordaran la exactitud de los clculos
de impuestos individuales.
Un auditor de SI est probando el acceso de los empleados a un sistema
financiero grande. El auditor de SI seleccion una muestra de la lista de
empleados actual proporcionada por el auditado. Cul de las siguientes pruebas
es la ms fiable para apoyar la prueba?
A. Una hoja de clculo proporcionada por el administrador del sistema
B. Documentos de Recursos Humanos (HR) firmados por los gerentes de los empleados
C. Una lista de cuentas con niveles de acceso generados por el sistema
D. Observaciones realizadas en el lugar en presencia de un administrador del sistema
La respuesta correcta es c.
La lista de acceso generada por el sistema es la ms fiable porque es la evidencia ms
objetiva para realizar una comparacin con las muestras seleccionadas. La evidencia es
objetiva porque fue generada por el sistema y no por un individuo. Una declaracin verbal
en s misma no es una prueba adecuada para las pruebas sustantivas. En la mayora de los
casos, las pruebas documentales deben recopilarse para apoyar las declaraciones verbales
del auditado. Los documentos de HR firmados por los gerentes son una buena evidencia;
Sin embargo, no son tan objetivos como la lista de acceso generada por el sistema. Las
observaciones son una buena evidencia para entender la estructura de control interno; Sin
embargo, las observaciones no son eficientes para un gran nmero de usuarios. Las
observaciones no son suficientemente objetivas para las pruebas sustantivas.
Al seleccionar los procedimientos de auditora, un auditor de SI debe usar juicio
profesional para asegurar que:
A. se recogern pruebas suficientes.
B. todas las deficiencias significativas identificadas sern corregidas dentro de un perodo
razonable.
C. se identificarn todas las debilidades materiales.
D. los costos de auditora se mantendrn en un nivel mnimo.
La respuesta correcta es la A.
Los procedimientos son procesos que un auditor de SI puede seguir en un trabajo de
auditora. Al determinar la conveniencia de cualquier procedimiento especfico, un auditor
de SI debe usar juicio profesional adecuado a las circunstancias especficas. El juicio
profesional implica una evaluacin subjetiva ya menudo cualitativa de las condiciones que
surgen en el transcurso de una auditora. El juicio se dirige a un rea gris donde las
decisiones binarias (s / no) no son apropiadas y la experiencia pasada del auditor de SI
desempea un papel clave en la toma de un juicio. El auditor de SI debe usar el juicio para
evaluar la suficiencia de la evidencia a ser recolectada. Las directrices de ISACA
proporcionan informacin sobre cmo cumplir con los estndares al realizar el trabajo de
auditora de SI. La identificacin de las debilidades materiales es el resultado de la
competencia, experiencia y minuciosidad apropiadas en la planificacin y ejecucin de la
auditora y no en el juicio profesional. El juicio profesional no es un aporte primario a los
aspectos financieros de la auditora. Los procedimientos de auditora y el uso del juicio
profesional no pueden asegurar que todas las deficiencias / debilidades sern identificadas
y corregidas. El juicio profesional no puede utilizarse para optimizar los costos de auditora
Un auditor de SI est evaluando el software de minera de datos y auditora que
se utilizar en futuras auditoras de SI. Cul es el requisito PRIMARIO que debe
cumplir la herramienta de software? La herramienta de software debe:
A. Interfaz con diversos tipos de software y bases de datos de planificacin de recursos
empresariales (ERP).
B. preservar la integridad de los datos y no modificar los datos de origen de
ninguna manera.
C. introducir enganches de auditora en los sistemas financieros de la empresa para apoyar
la auditora continua.
D. ser personalizable y apoyar la inclusin de la programacin personalizada para ayudar
en el anlisis investigativo.
La respuesta correcta es b.
Si bien todas las opciones anteriores son deseables en una herramienta de software
evaluada para fines de auditora y minera de datos, el requisito ms crtico es que la
herramienta no comprometa la integridad de los datos ni realice cambios en los sistemas
que se estn auditando
El vicepresidente de recursos humanos ha solicitado una auditora para
identificar los pagos excesivos de nmina del ao anterior. Cul sera la MEJOR
tcnica de auditora para usar en esta situacin?
A. Datos de prueba
B. Software de auditora generalizado
C. Instalacin de prueba integrada
D. Mdulo de auditora incorporado
La respuesta correcta es b.
Las caractersticas generalizadas del software de auditora incluyen clculos matemticos,
estratificacin, anlisis estadstico, comprobacin de secuencias, comprobacin de
duplicados y recomputaciones. Un auditor de SI, que utiliza un software de auditora
generalizado, podra disear pruebas apropiadas para recalcular la nmina, determinando
as si haba pagos en exceso y para quin se hicieron. Los datos de prueba pondran a
prueba la existencia de controles que podran evitar pagos en exceso, pero no detectar
errores de clculo especficos anteriores. Ni una instalacin de prueba integrada ni un
mdulo de auditora incorporado detectara errores en un perodo anterior.
Cul de los siguientes debe ser la PRIMERA accin de un auditor de SI durante
una disputa con un gerente de departamento sobre los hallazgos de la auditora?
A. Repite el control para validar el hallazgo.
B. Involucrar a un tercero para validar el hallazgo.
C. Incluya el hallazgo en el informe con los comentarios del gerente del departamento.
D. Revalidar las pruebas de apoyo para el hallazgo.
La respuesta correcta es d.
Las conclusiones elaboradas por un auditor de SI deben estar adecuadamente respaldadas
por evidencia y deben tomarse en consideracin cualquier control compensatorio o
correccin sealado por un gerente de departamento. Por lo tanto, el primer paso sera
revalidar la evidencia para el hallazgo. El reexamen del control ocurrira normalmente
despus de que la evidencia haya sido revalidada. Aunque hay casos en que un tercero
puede ser necesario para llevar a cabo procedimientos de auditora especializados, un
auditor de SI debe primero revalidar las pruebas de apoyo para determinar si es necesario
contratar a un tercero. Si despus de revalidar y volver a probar, hay desacuerdos no
resueltos, esas cuestiones deberan incluirse en el informe.
La carta de auditora de SI de una organizacin debe especificar lo siguiente:
A. planes a corto y largo plazo para los compromisos de auditora de SI.
B. objetivos y alcance de los compromisos de auditora de SI.
C. Plan detallado de capacitacin para el personal de auditora de SI.
D. funcin de la funcin de auditora de SI.
La respuesta correcta es d.
Una carta de auditora de SI establece el papel de la funcin de auditora de los sistemas de
informacin. La carta debe describir la autoridad general, el alcance y las responsabilidades
de la funcin de auditora. Debe ser aprobado por el ms alto nivel de gestin y, si est
disponible, por el comit de auditora. La planificacin a corto y largo plazo es
responsabilidad de la direccin de auditora. Los objetivos y el alcance de cada auditora de
SI deben ser acordados en una carta de compromiso. Un plan de capacitacin, basado en el
plan de auditora, debe ser desarrollado por la gerencia de la auditora.
Un auditor de SI ha identificado un proceso de negocio para ser auditado. El
auditor de SI debe identificar NEXT:
A. los activos de informacin ms valiosos.
B. Los recursos de auditora de SI sern desplegados.
C. personal de auditee a ser entrevistado.
D. controlar los objetivos y actividades.
La respuesta correcta es d.
A. Para determinar los activos de informacin clave que se deben auditar, el auditor de SI
debe primero determinar qu objetivos de control y actividades de control clave deben ser
validados. Slo los activos de informacin relacionados con los objetivos de control y las
actividades de control clave son relevantes para el escopo de la auditora.
B. Slo despus de determinar cules son los controles y los activos de informacin
relevantes relacionados deben ser validados, el auditor de SI puede decidir sobre los
recursos de auditora de SI clave (con los conjuntos de habilidades relevantes) que deben
desplegarse para la auditora.
C. Slo despus de determinar las actividades de control clave que se van a validar, el
auditor de SI puede identificar al personal de proceso relevante que debe ser entrevistado.
D. Una vez identificado el proceso de negocio, el auditor de SI debe identificar primero los
objetivos y actividades de control que deben ser validados en la auditora.
Un auditor de SI est llevando a cabo una prueba de cumplimiento para
determinar si los controles apoyan las polticas y procedimientos de
administracin. La prueba ayudar al auditor de SI a:
A. obtener una comprensin del objetivo de control.
B. confirmar que el control est funcionando segn lo diseado.
C. determinar la integridad de los controles de datos.
D. determinar la razonabilidad de los controles de informacin financiera.
La respuesta correcta es b.
Las pruebas de cumplimiento pueden usarse para probar la existencia y efectividad de un
proceso definido. Es importante comprender el objetivo de una prueba de cumplimiento.
Los auditores de SI desean una seguridad razonable de que los controles de los que
dependen son efectivos. La comprensin de los objetivos de control es clave, pero no es la
razn para realizar una prueba de cumplimiento. Las pruebas sustantivas, no las pruebas
de cumplimiento, estn asociadas con la integridad de los datos y la informacin financiera.
Un auditor de SI externo emite un informe de auditora que seala la falta de
caractersticas de proteccin de firewall en la puerta de enlace de red perimetral
y recomienda un producto de proveedor especfico para solucionar esta
vulnerabilidad. El auditor de SI no ha podido ejercer
A. independencia profesional
B. independencia organizativa.
C. competencia tcnica.
D. competencia profesional.
La respuesta correcta es la A.
Cuando un auditor de SI recomienda a un proveedor especfico, esto compromete la
independencia profesional del auditor. La independencia de la organizacin no tiene
relevancia para el contenido de un informe de auditora y debe considerarse en el momento
de aceptar el compromiso. La competencia tcnica y profesional no es relevante para el
requisito de independencia.
Al realizar una auditora de los controles internos de integridad de datos de una
aplicacin de contabilidad, un auditor de SI identifica una deficiencia de control
importante en el software de administracin de cambios que soporta la
aplicacin de contabilidad. La accin ms apropiada para el auditor de SI es:
A. continuar probando los controles de la aplicacin de contabilidad, informar verbalmente
al administrador de TI acerca de la deficiencia de control de software de gestin de cambios
y ofrecer consultas sobre posibles soluciones.
B. completar la auditora de controles de aplicacin, pero no informar la deficiencia de
control en el software de administracin de cambios porque no es parte del mbito de
auditora.
C. continuar probando los controles de la aplicacin contable e incluir mencin
de la deficiencia de control del software de gestin de cambios en el informe
final.
D. Cese toda actividad de auditora hasta que se resuelva la deficiencia de control en el
software de gestin de cambios.
La respuesta correcta es c.
Es responsabilidad del auditor de SI informar sobre los hallazgos que podran tener un
impacto material en la efectividad de los controles, estn o no dentro del alcance de la
auditora. El auditor de SI no debe asumir que el administrador de TI seguir a travs de
resolver la deficiencia de control de gestin de cambio, y es inadecuado para ofrecer
servicios de consultora sobre los problemas descubiertos durante una auditora. Aunque
tcnicamente no est dentro del alcance de la auditora, es responsabilidad del auditor de
SI reportar los descubrimientos descubiertos durante una auditora que podran tener un
impacto material en la efectividad de los controles. No es la funcin del auditor de SI exigir
que el trabajo de TI se complete antes de realizar o completar una auditora
Durante una auditora de control de cambios de un sistema de produccin, un
auditor de SI encuentra que el proceso de gestin de cambios no est
formalmente documentado y que algunos procedimientos de migracin han
fallado. Qu debe hacer el auditor de SI a continuacin?
A. Recomendar redisear el proceso de gestin del cambio.
B. Obtener mayor seguridad sobre los hallazgos a travs del anlisis de la causa
raz.
C. Recomendar que se detenga la migracin de programas hasta que se documente el
proceso de cambio.
D. Documentar el hallazgo y presentarlo a la direccin
La respuesta correcta es b.
Un proceso de gestin del cambio es fundamental para los sistemas de produccin de TI.
Antes de recomendar que la organizacin tome cualquier otra medida (por ejemplo,
detener las migraciones, redisear el proceso de gestin del cambio), el auditor de SI debe
asegurarse de que los incidentes reportados estn relacionados con deficiencias en el
proceso de cambio y no causados por algn proceso distinto al cambio administracin.
Al preparar un informe de auditora, el auditor de SI debe asegurarse de que los
resultados estn respaldados por:
A. declaraciones de la direccin de SI.
B. documentos de trabajo de otros auditores.
C. una autoevaluacin del control organizacional.
D. pruebas de auditora suficientes y apropiadas.
La respuesta correcta es d.
La norma de auditora y aseguramiento de TI de ISACA sobre la presentacin de informes
requiere que el auditor de SI tenga evidencia de auditora suficiente y apropiada para
apoyar los resultados reportados. Las declaraciones de la administracin de SI proporcionan
una base para obtener la concurrencia en asuntos que no pueden ser verificados con
evidencia emprica. El informe debe basarse en la evidencia recolectada durante el curso
de la revisin aunque el auditor de SI pueda tener acceso a los documentos de trabajo de
otros auditores. Los resultados de una autoevaluacin del control organizacional (CSA)
podran complementar los hallazgos de la auditora. Las opciones A, B y C pueden referirse
durante una auditora pero, por s mismas, no se considerarn una base suficiente para
emitir un informe
La decisin final de incluir un hallazgo material en un informe de auditora debe
ser hecha por:
A. Comit de auditora.
B. Gerente de auditee.
C. El auditor de SI.
D. director general (CEO) de la organizacin
La respuesta correcta es c.
El auditor de SI debe tomar la decisin final sobre qu incluir o excluir del informe de
auditora. Las otras opciones limitaran la independencia del auditor de SI.
Cul de los siguientes sera normalmente la evidencia ms confiable para un
auditor de SI?
A. Una carta de confirmacin recibida de un tercero que verifica el saldo de la
cuenta
B. Aseguramiento de la administracin de lnea de que una aplicacin est funcionando
segn lo diseado
C. Datos de tendencias obtenidos de fuentes de la World Wide Web (Internet)
D. Anlisis de proporcin desarrollado por el auditor de SI a partir de los informes
suministrados por la gerencia de lnea
La respuesta correcta es la A.
Las pruebas obtenidas de terceros independientes casi siempre se consideran las ms
fiables. Las opciones B, C y D no se considerarn tan confiables como la opcin A.
Al desarrollar una estrategia de auditora basada en el riesgo, un auditor de SI
debe llevar a cabo una evaluacin de riesgos para asegurar que:
A. los controles necesarios para mitigar el riesgo estn en su lugar.
B. se identifican vulnerabilidades y amenazas.
C. Se considera riesgo de auditora.
D. un anlisis de la brecha es apropiado.
La respuesta correcta es b.
Al desarrollar una estrategia de auditora basada en el riesgo, es fundamental entender el
riesgo y las vulnerabilidades. Esto determinar las reas a ser auditadas y el alcance de la
cobertura. Entender si los controles apropiados requeridos para mitigar el riesgo estn en
su lugar es un efecto resultante de una auditora. El riesgo de auditora es un aspecto
inherente a la auditora, est directamente relacionado con el proceso de auditora y no es
relevante para el anlisis de riesgo del entorno a auditar. Un anlisis de la brecha se hara
normalmente para comparar el estado real con un estado esperado o deseable.
Cul de los siguientes sera un auditor de SI para determinar si se hicieron
modificaciones no autorizadas a los programas de produccin?
A. Anlisis del registro del sistema
B. Pruebas de cumplimiento
C. Anlisis forense
D. Revisin analtica
La respuesta correcta es b.
Determinar que slo se hacen modificaciones autorizadas a los programas de produccin
requerira que el proceso de gestin del cambio sea revisado para evaluar la existencia de
un rastro de evidencia documental. Las pruebas de cumplimiento ayudaran a verificar que
el proceso de gestin del cambio se ha aplicado de forma coherente. Es poco probable que
el anlisis del registro del sistema proporcione informacin sobre la modificacin de los
programas. El anlisis forense es una tcnica especializada para la investigacin criminal.
Una revisin analtica evala el ambiente de control general de una organizacin.
Al evaluar los controles programados sobre la administracin de contraseas,
cul de los siguientes es el auditor IS ms probable que dependa?
A. Un control de tamao
B. Un total de hash
C. Una comprobacin de validez
D. Un chequeo de campo
La respuesta correcta es c.
La respuesta correcta es d.
La respuesta correcta es b.
La opcin B describe mejor una auditora forense. Las pruebas reunidas podran entonces
ser utilizadas en procedimientos judiciales. Las auditoras forenses no se limitan al fraude
corporativo. Evaluar la correccin de los estados financieros de una organizacin no es el
propsito de una auditora forense. Llegar a una conclusin sobre la actividad delictiva sera
parte de un proceso legal y no el objetivo de una auditora forense.
Cul de los siguientes efectos debera tener prioridad en la planificacin del
alcance y los objetivos de una auditora de SI?
A. Requisitos legales aplicables
La respuesta correcta es la A.
A. El efecto de los requisitos legales aplicables debe tenerse en cuenta al planificar una
auditora de SI-el auditor de SI no tiene opciones a este respecto porque no puede haber
limitacin de alcance con respecto a los requisitos legales.
B. Los requisitos legales siempre tienen prioridad sobre las normas corporativas.
C. Las mejores prcticas de la industria ayudan a planificar una auditora; Sin embargo, las
mejores prcticas no son obligatorias y pueden desviarse para cumplir con los objetivos de
la organizacin.
D. Las polticas y los procedimientos de la organizacin son importantes, pero los requisitos
legales siempre tienen prioridad.
Un auditor de SI revisa un organigrama PRIMERO para:
A. una comprensin de los flujos de trabajo.
La respuesta correcta es c.
B. Un informe diario resumido con los nmeros totales y los montos en dlares de cada
transaccin
La respuesta correcta es d.
Los registros informticos registrarn las actividades de las personas durante su acceso a
un sistema informtico o archivo de datos y registrarn cualquier actividad anormal, como
la modificacin o supresin de datos financieros. Una pista de auditora de slo la fecha y
hora de la transaccin no sera suficiente para compensar el riesgo de mltiples funciones
que est siendo realizado por el mismo individuo. El examen de los informes financieros
resumidos no compensara la cuestin de la separacin de derechos. La revisin del
supervisor de la administracin de la cuenta de usuario sera un buen control; Sin embargo,
puede no detectar actividades inapropiadas.
Un auditor de SI desea determinar el nmero de rdenes de compra no
aprobadas apropiadamente. Cul de las siguientes tcnicas de muestreo debe
utilizar un auditor de SI para sacar tales conclusiones?
A. Atributo
B. Variable
C. Stop-or-go
D. Sentencia
La respuesta correcta es la A.
La respuesta correcta es c.
Antes de comunicar los resultados de una auditora a la alta direccin, el auditor de SI debe
discutir los hallazgos con el auditado. El objetivo de esta discusin es confirmar la exactitud
de los hallazgos y desarrollar un curso de accin correctiva. Sobre la base de esta
discusin, el auditor de SI finalizar el informe y presentar el informe a los niveles
relevantes de la alta direccin. Sobre la base de discusiones con la alta gerencia / el comit
de auditora, el auditor de SI puede acordar desarrollar un plan de implementacin para las
recomendaciones sugeridas, junto con los plazos. En la fase preliminar del informe, la
discusin con el auditado rara vez se utilizara para identificar controles compensatorios
Cul de las siguientes tcnicas de auditora es la ms adecuada para un negocio
minorista con un gran volumen de transacciones para abordar el riesgo
emergente de forma proactiva?
A. Uso de Tcnicas de Auditora Asistida por Ordenador (CAAT)
D. Auditora continua
La respuesta correcta es d.
D. optimizacin de la aplicacin.
La respuesta correcta es b.
La respuesta correcta es c.
La respuesta correcta es c.
La supervisin del tiempo (opcin A) y los programas de auditora (opcin D), as como la
capacitacin adecuada (opcin B), mejorarn la productividad del personal de auditora de
SI (eficiencia y desempeo), pero lo que aporta valor a la organizacin son los recursos y
Dedicado a las reas de mayor riesgo.
Se le ha pedido a un auditor de SI que revise los controles de seguridad de un
sistema crtico de pedido basado en la Web poco antes de la fecha de inicio de la
ejecucin programada. El auditor de SI lleva a cabo una prueba de penetracin
que produce resultados no concluyentes y las pruebas adicionales no pueden
concluirse antes de la fecha de finalizacin acordada para la auditora. Cul de
las siguientes es la mejor opcin para el auditor de SI?
A. Publicar un informe basado en la informacin disponible, destacando las debilidades de
seguridad potenciales y el requisito de las pruebas de auditora de seguimiento.
B. Publicar un informe omitiendo las reas donde la evidencia obtenida de la prueba no fue
concluyente.
Si el auditor de SI no puede obtener garantas suficientes para un sistema crtico dentro del
plazo acordado, este hecho debe resaltarse en el informe de auditora y las pruebas de
seguimiento deben programarse para una fecha posterior. La gerencia podra entonces
determinar si alguna de las debilidades potenciales identificadas era suficientemente
significativa para retrasar la fecha de inicio del sistema. No es aceptable que el auditor de
SI ignore las reas de debilidad potencial porque no se pudo obtener evidencia concluyente
dentro del marco de tiempo de auditora acordado. Las normas de auditora y
aseguramiento de TI de ISACA se violaran si estas reas se omitieran del informe de
auditora. Extender el marco de tiempo para la auditora y retrasar la fecha de puesta en
marcha es poco probable que sea aceptable en este escenario donde el sistema
involucrado es crtico para la empresa. En cualquier caso, un retraso a la fecha de inicio de
sesin debe ser la decisin de la direccin de la empresa, no el auditor de SI. En este
escenario, el auditor de SI debe presentar a la direccin de la empresa toda la informacin
disponible en la fecha acordada. El no obtener evidencia suficiente en una parte de un
trabajo de auditora no justifica la cancelacin o el aplazamiento de la auditora; Esto
violara las directrices de auditora relativas a la diligencia debida y la atencin profesional.
Un auditor de SI sospecha que un incidente (ataque) est ocurriendo mientras se
est realizando una auditora en un sistema financiero. Qu debe hacer el
auditor de SI primero?
A. Solicitar que se cierre el sistema para preservar la evidencia.
La respuesta correcta es b.
B. pruebas sustantivas.
D. Distribucin de un cuestionario.
La respuesta correcta es b.
A. Las pruebas de diseo de control evalan si el control est estructurado para cumplir con
un objetivo de control especfico. No ayuda a determinar si el control funciona de manera
efectiva.
B. Entre otros mtodos, como la revisin de documentos o los ensayos de control, los
procedimientos ms eficaces para evaluar si los controles apoyan con exactitud la eficacia
operativa.
C. Los documentos de control pueden no siempre describir el estado real de una manera
precisa. Por lo tanto, los auditores que dependen de la revisin de documentos tienen
garantas limitadas de que el control est funcionando como estaba previsto.
D. Puede utilizarse un cuestionario en la fase inicial del anlisis de control para dar a los
auditores una amplia comprensin del entorno general de control
Cuando se descubren problemas de rendimiento durante una evaluacin de la
red de la organizacin, la manera MS eficiente para que el auditor de SI proceda
es examinar lo siguiente:
A. los controles antivirus que se han puesto en su lugar.
C. topologa de red.
La respuesta correcta es c.
B. Fiabilidad
C. Pertinencia
D. Adecuacin
La respuesta correcta es b.
B. Debido a que los datos son recopilados directamente por el auditor de SI, los resultados
de la auditora pueden ser reportados con nfasis en la confiabilidad de los registros que se
producen y se mantienen en el sistema. La fiabilidad de la fuente de informacin utilizada
proporciona seguridad sobre los resultados generados.
C. La relevancia de las pruebas de auditora obtenidas por las CAATs est determinada por
el objetivo de la auditora y el uso de las CAAT no tiene como directa un impacto sobre la
relevancia como lo hace la fiabilidad.
D. La idoneidad de la evidencia de auditora obtenida por las CAATs est determinada por
los procesos y el personal que autorizan los datos, y el uso de CAATs no tiene ningn
impacto en la competencia.
Un auditor de SI que entrevista a un empleado de la nmina de pago encuentra
que las respuestas no apoyan descripciones de trabajo y procedimientos
documentados. En estas circunstancias, el auditor de SI debe:
A. concluyen que los controles son inadecuados.
D. suspender la auditora.
La respuesta correcta es b.
C. No incluya la conclusin en el informe final, ya que las medidas correctivas pueden ser
verificadas por el auditor de SI durante la auditora.
La respuesta correcta es la A.
La respuesta correcta es b.
El alcance de una auditora de SI se define por sus objetivos. Esto implica identificar
deficiencias de control relevantes para el alcance de la auditora. La obtencin de pruebas
suficientes y apropiadas ayuda al auditor no slo a identificar las debilidades de control,
sino tambin a documentarlas y validarlas. Cumplir con los requisitos reglamentarios,
asegurar la cobertura y la ejecucin de la auditora son todos relevantes para una auditora,
pero no son la razn por la cual se requiere evidencia suficiente y relevante.
Al planificar una auditora, el paso ms importante es la identificacin de:
A. reas de alto riesgo.
La respuesta correcta es la A.
Al disear un plan de auditora, es importante identificar las reas de mayor riesgo para
determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora
deberan haber sido considerados antes de decidir y seleccionar la auditora. Los pasos de
prueba para la auditora no son tan crticos como identificar las reas de riesgo, y el tiempo
asignado para una auditora es determinado por las reas a ser auditadas, que se
seleccionan principalmente sobre la base de la identificacin del riesgo.
Un auditor de SI descubre que los dispositivos conectados a la red no han sido
incluidos en un diagrama de red que se haba utilizado para desarrollar el
alcance de la auditora. El director de informacin (CIO) explica que el diagrama
se est actualizando y esperando su aprobacin final. El auditor de SI debe
FIRST:
A. Expanda el alcance de la auditora de SI para incluir los dispositivos que no estn en el
diagrama de red.
La respuesta correcta es b.
En un enfoque basado en el riesgo de una auditora de SI, el alcance est determinado por
el impacto que los dispositivos tendrn en la auditora. Si los dispositivos indocumentados
no afectan el alcance de la auditora, pueden ser excluidos de la auditora actual. La
informacin proporcionada en un diagrama de red puede variar dependiendo de lo que se
est ilustrando -por ejemplo, la capa de red, conexiones cruzadas, etc. Es importante que el
auditor de SI no asuma inmediatamente que todo en el diagrama de red proporciona
informacin sobre el riesgo Afectando a una red / sistema. Existe un proceso para
documentar y actualizar el diagrama de red. En este caso, simplemente hay un desajuste
en el tiempo transcurrido entre la finalizacin del proceso de aprobacin y cuando se inici
la auditora de SI. No hay deficiencia de control a ser reportada. La planificacin de las
auditoras de seguimiento de los dispositivos indocumentados depende del riesgo que
tienen los dispositivos indocumentados sobre la capacidad de la entidad para cumplir con
el alcance de la auditora.
Al evaluar el efecto colectivo de los controles preventivos, detectives y
correctivos dentro de un proceso, un auditor de SI debe ser consciente de cul de
los siguientes?
A. El punto en el cual los controles se ejercen como flujo de datos a travs del sistema
La respuesta correcta es la A.
Un auditor de SI debe centrarse en cuando los controles se ejercen como flujo de datos a
travs de un sistema informtico. La opcin B es incorrecta ya que los controles correctivos
tambin pueden ser relevantes. La opcin C es incorrecta porque los controles correctivos
eliminan o reducen los efectos de errores o irregularidades y no se consideran
exclusivamente como controles compensatorios. La eleccin D es incorrecta e irrelevante,
porque la existencia y la funcin de los controles es importante, no la clasificacin.
En el curso de realizar un anlisis de riesgo, un auditor de SI ha identificado
amenazas e impactos potenciales. A continuacin, el auditor de SI debe:
A. Identificar y evaluar el proceso de evaluacin de riesgos utilizado por la administracin.
La respuesta correcta es d.
La respuesta correcta es c.
Los diagramas de flujo de datos se usan como ayudas para graficar o trazar el flujo y el
almacenamiento de datos. Trazan los datos desde su origen hasta el destino, destacando
los caminos y el almacenamiento de datos. No ordenan datos en ninguna jerarqua. El flujo
de los datos no necesariamente coincide con ninguna jerarqua o orden de generacin de
datos
Cul de las siguientes sera la tcnica de auditora ms eficaz para identificar las
violaciones de segregacin de funciones en una nueva implementacin de
planificacin de recursos empresariales (ERP)?
A. Examen de un informe sobre las garantas reales en el sistema
La respuesta correcta es c.
La respuesta correcta es d.
A. Los resultados de la evaluacin de riesgos se usan para los aportes al programa de
auditora.
C. Se debe realizar una evaluacin del riesgo antes de identificar a los principales
propietarios de la informacin. Los propietarios de informacin clave generalmente no
participan directamente durante el proceso de planificacin de una auditora.
D. Debera realizarse una evaluacin del riesgo para determinar cmo se asignarn los
recursos de auditora interna para asegurar que se abordarn todos los temas materiales.
El departamento de auditora interna de una organizacin ha desarrollado y
mantenido un lenguaje de scripting para propsitos de auditora continua. Estos
guiones se proporcionaron a la administracin de TI para fines de monitoreo
continuo. Esta situacin dio lugar a un posible conflicto relacionado con la
independencia y la objetividad del auditor. Cul de las siguientes acciones BEST
resolvera este problema?
R. El equipo de auditora interna debera dejar de compartir los scripts para que la
administracin de TI desarrolle sus propios scripts.
D. El equipo de auditora interna debe revisar las reas donde se usan estos guiones y
reducir el alcance y la frecuencia de auditora para esas reas.
La respuesta correcta es c.
La respuesta correcta es d.
De todos los pasos enumerados, realizar una evaluacin del riesgo es el ms crtico. La
evaluacin de riesgos es requerida por ISACA IT Auditora y Estndar de Aseguramiento S11
(Uso de la Evaluacin de Riesgo en Planificacin de Auditora). Adems de los requisitos de
las normas, si no se realiza una evaluacin del riesgo, es posible que las reas de alto
riesgo de los sistemas o operaciones de la entidad auditada no estn identificadas para su
evaluacin. El riesgo de deteccin (el riesgo de que el auditor de SI no detecte un error
material) se incrementa para el auditor de SI si no se realiza una evaluacin de riesgo. La
revisin de los resultados de las auditoras previas es una parte necesaria del compromiso,
pero este paso no es tan crtico como la realizacin de una evaluacin del riesgo. Una
revisin de seguridad fsica de la instalacin del centro de datos es importante, pero no tan
importante como realizar una evaluacin de riesgo. La revisin de las polticas y
procedimientos de seguridad de IS se llevara a cabo normalmente durante el trabajo de
campo, no la planificacin.
Un auditor de SI que lleva a cabo una revisin del uso y licencia del software
descubre que numerosas PC contienen software no autorizado. Cul de las
siguientes acciones debe tomar el auditor de SI?
A. Elimine todas las copias del software no autorizado.
La respuesta correcta es c.
El uso de software no autorizado o ilegal debe ser prohibido por una organizacin. La
piratera de software resulta en la exposicin y puede resultar en multas severas. Un
auditor de SI debe convencer al usuario y usuario de la gestin del riesgo y la necesidad de
eliminar el riesgo. Un auditor de SI no debe asumir el papel de oficial de cumplimiento y
asumir cualquier participacin personal en la eliminacin o eliminacin del software no
autorizado
El equipo de auditora interna est auditando los controles sobre las ventas y
est preocupado por el fraude. Cul de los siguientes mtodos de muestreo
BEST ayudara a los auditores?
A. Stop-or-go
B. Variable clsica
C. Descubrimiento
D. Probabilidad-proporcional-a-tamao
La respuesta correcta es c.
D. aceptar la posicin del auditado, ya que son los propietarios del proceso.
La respuesta correcta es b.
B. Deteccin
C. Control
D. Negocios
La respuesta correcta es b.
B. Evaluacin.
C. preservacin.
D. divulgacin.
La respuesta correcta es c.
La respuesta correcta es la A.
Una SOA se basa en los principios de un entorno distribuido en el que los servicios
encapsulan la lgica empresarial como una caja negra y pueden combinarse
deliberadamente para representar los procesos empresariales del mundo real. Antes de
revisar los servicios en detalle, es esencial que el auditor de SI comprenda el mapeo de los
procesos de negocio a los servicios. Las opciones B y C no son correctas, ya que el
muestreo del uso de los estndares de seguridad de servicio, tal como lo representa el
SAML y la revisin de los SLAs, son pasos esenciales de seguimiento para entender los
servicios y su asignacin a las empresas. La opcin D no es correcta porque la auditora de
cualquier servicio nico y sus dependencias con otros sera muy lenta y no es la forma
estndar de iniciar una auditora SOA.
Al auditar los procedimientos de aprovisionamiento del sistema de
administracin de identidad (IDM) de una organizacin grande, un auditor de SI
encuentra inmediatamente un nmero pequeo de solicitudes de acceso que no
haban sido autorizadas por los administradores a travs de los pasos de flujo de
trabajo predefinidos normales y las reglas de escalamiento. El auditor de SI
debe:
A. Realizar un anlisis adicional.
D. Recomiendo que el propietario del sistema IDM corrija los problemas de flujo de trabajo.
La respuesta correcta es la A.
B. Informes de excepcin generados por el sistema para el perodo de revisin con la firma
del revisor
La respuesta correcta es c.
La opcin C representa la mejor evidencia posible del funcionamiento efectivo del control
porque el revisor ha documentado las acciones que deben tomarse basndose en la
revisin del informe de excepcin. Un paseo a travs de resaltar cmo un control est
diseado para trabajar, pero rara vez resalta excepciones o restricciones en el proceso. La
aprobacin del revisor no demuestra necesariamente la efectividad del control si el revisor
no toma nota de las acciones de seguimiento de las excepciones identificadas. La
confirmacin de la administracin de la efectividad del control sufre de falta de
independencia-el manejo podra estar sesgado hacia la efectividad de los controles puestos
en marcha
Durante la recoleccin de pruebas forenses, cul de las siguientes acciones
probablemente resultara en la destruccin o corrupcin de evidencia en un
sistema comprometido?
A. Volcar el contenido de la memoria a un archivo
La respuesta correcta es c.
La respuesta correcta es la A.
La respuesta correcta es d.
Uno de los factores clave a considerar al evaluar el riesgo relacionado con el uso de varios
sistemas de informacin son las amenazas y vulnerabilidades que afectan a los activos. El
riesgo relacionado con el uso de los activos de informacin debe evaluarse
independientemente de los controles instalados. Del mismo modo, la efectividad de los
controles debe ser considerada durante la etapa de mitigacin del riesgo y no durante la
fase de evaluacin del riesgo. Debe establecerse un mecanismo para monitorear
continuamente el riesgo relacionado con los activos durante la funcin de monitoreo de
riesgos que sigue a la fase de evaluacin del riesgo.
Cul de las siguientes es la consideracin MS importante antes de emitir un
informe de auditora?
A. Suficiencia de las pruebas para apoyar las conclusiones sobre los controles
La respuesta correcta es la A.
B. El auditor debe discutir el borrador del informe con la gerencia de la entidad auditada.
Durante las discusiones, el auditor puede necesitar proporcionar detalles de la evidencia
sobre las conclusiones.
C. El auditor debe distribuir el informe a las partes interesadas de acuerdo con la carta de
auditora en lugar de basarse en el inters de las partes interesadas.
B. solicitar una revisin detallada de los registros de auditora para los identificadores en
cuestin.
La respuesta correcta es c.
La respuesta correcta es d.
La respuesta correcta es d.
La respuesta correcta es la A.
Participar en el diseo del marco de gestin de riesgos implica disear controles que
comprometern la independencia del auditor de SI para auditar el proceso de gestin de
riesgos. Asesorar en diferentes tcnicas de implementacin no comprometer la
independencia del auditor porque el auditor de SI no estar involucrado en el proceso de
toma de decisiones. Facilitar la formacin de sensibilizacin no obstaculizar la
independencia del auditor de SI porque el auditor no participar en el proceso de toma de
decisiones. Las revisiones de diligencia debida son un tipo de auditora.
Se ha asignado un auditor de SI para realizar una prueba que compara los
registros de ejecucin de trabajos con los horarios de trabajo de la computadora.
Cul de las siguientes observaciones sera de la mayor preocupacin para el
auditor de SI?
R. Hay un nmero creciente de cambios de emergencia.
C. Hubo casos en que algunos operadores fueron anulados por los operadores de
computadoras.
La respuesta correcta es c.
La respuesta correcta es c.
Se ha pedido al auditor de SI que realice una investigacin para capturar pruebas que
puedan ser utilizadas con fines legales y por lo tanto, mantener la integridad de la
evidencia debe ser el objetivo principal. Las pruebas informticas mal manejadas estn
sujetas a ser declaradas inadmisibles en un tribunal de justicia. Aunque es importante que
un auditor de SI sea imparcial y mantenga la independencia, en este caso es ms crtico
que la evidencia sea preservada. Si bien tambin es importante reunir todas las pruebas
pertinentes, es ms importante mantener la cadena de custodia que garantice la integridad
de las pruebas.
Al realizar una auditora, un auditor de SI detecta la presencia de un virus. Cul
debe ser el prximo paso del auditor de SI?
A. Observe el mecanismo de respuesta.
La respuesta correcta es c.
La respuesta correcta es c.
C. Muestreo de atributos
La respuesta correcta es c.
B. pruebas sustantivas.
C. pruebas de cumplimiento.
D. muestreo de stop-or-go.
La respuesta correcta es c.
D. Asegrese de que todos los cambios realizados en la copia fuente actual se detectan.
La respuesta correcta es la A.
Cuando un auditor de SI utiliza una comparacin de cdigo fuente para examinar los
cambios del programa de origen sin informacin del personal de IS, el auditor de SI tiene
una garanta objetiva, independiente y relativamente completa de los cambios de programa
porque la comparacin del cdigo fuente identificar los cambios. La opcin B es incorrecta,
ya que los cambios realizados desde la adquisicin de la copia no estn incluidos en la
copia del software. La opcin C es incorrecta, ya que un auditor de SI tendr que obtener
esta garanta por separado. La opcin D es incorrecta, ya que no se detectarn los cambios
realizados entre el momento en que se adquiri la copia de control y la comparacin del
cdigo fuente.
Qu tcnica de auditora ofrece la MEJOR evidencia de la separacin de
funciones en un departamento de SI?
A. Discusin con la gerencia
C. Observacin y entrevistas
La respuesta correcta es c.
La respuesta correcta es c.
Los requisitos legales y reglamentarios definirn los criterios de auditora y, por lo tanto,
deben ser revisados en primer lugar. Las otras opciones apoyan el enfoque de la
organizacin para cumplir con los requisitos
Al examinar las solicitudes de cambio de programa, un auditor de SI considera
que la poblacin de cambios era demasiado pequea para proporcionar un nivel
de seguridad razonable. Cul es la accin ms apropiada para el auditor de SI?
A. Desarrolle un procedimiento de prueba alternativo.
La respuesta correcta es la A.
Si un objetivo del tamao de la muestra no puede ser satisfecho con los datos dados, el
auditor del SI no podra proporcionar la seguridad con respecto al objetivo de la prueba. En
este caso, el auditor de SI debe desarrollar (con la aprobacin de la administracin de
auditora) un procedimiento de prueba alternativo. No hay suficiente evidencia para
reportar el hallazgo como una deficiencia. No debera iniciarse un paseo hasta que se
realice un anlisis para confirmar que esto podra proporcionar la garanta requerida. No
sera apropiado que un auditor de SI creara datos de muestra para el propsito de la
auditora.
Al evaluar el diseo de los controles de monitoreo de la red, un auditor de SI
debe revisar primero la red:
A. diagramas de topologa.
La respuesta correcta es la A.
El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la
idoneidad de la documentacin de la red, especficamente los diagramas de topologa. Si
esta informacin no est actualizada, los procesos de monitoreo y la capacidad de
diagnosticar problemas no sern efectivos.
Cul de los siguientes es el MEJOR factor para determinar el alcance de la
recoleccin de datos durante la fase de planificacin de una auditora de
cumplimiento de SI?
A. Complejidad del funcionamiento de la organizacin
La respuesta correcta es c.
La medida en que los datos se recogern durante una auditora de SI est directamente
relacionada con el propsito, el objetivo y el alcance de la auditora. Una auditora con un
objetivo limitado y un objetivo y alcance limitados es ms probable que resulte en menos
recopilacin de datos que una auditora con un propsito y alcance ms amplio. La
complejidad del funcionamiento de la organizacin, las cuestiones anteriores y la
familiaridad de un auditor con la organizacin son factores en la planificacin de una
auditora, pero no afectan directamente a la determinacin de la cantidad de datos a
recopilar.
Al planificar una auditora, se debe hacer una evaluacin del riesgo para
proporcionar:
A. Garanta razonable de que la auditora abarcar temas materiales.
B. Garanta definitiva de que los temas materiales sern cubiertos durante el trabajo de
auditora.
C. Una garanta razonable de que todos los temas sern cubiertos por la auditora.
D. suficiente garanta de que todos los temas sern cubiertos durante el trabajo de
auditora
La respuesta correcta es la A.
C. Datos de prueba
La respuesta correcta es b.
Las CAAT permitiran al auditor de SI revisar todo el archivo de facturacin para buscar
aquellos elementos que cumplan los criterios de seleccin. El muestreo de atributos
ayudara a identificar registros que cumplieran con condiciones especficas, pero no
comparara un registro con otro para identificar duplicados. Para detectar registros de
factura duplicados, el auditor de SI debe comprobar todos los elementos que cumplen los
criterios y no slo una muestra de los elementos. Los datos de prueba se utilizan para
verificar el procesamiento del programa, pero no identifican registros duplicados. Un ITF
permite al auditor de SI probar las transacciones a travs del sistema de produccin, pero
no comparara los registros para identificar duplicados.
Los datos del libro mayor (GL) son necesarios para una auditora. En lugar de
pedirle a la TI que extraiga los datos, el auditor de SI tiene acceso directo a los
datos. Cul es la principal ventaja de este enfoque?
A. Reduccin de las horas-persona de TI para apoyar la auditora
La respuesta correcta es d.
C. Esta tarea requiere una coordinacin precisa con la base de datos y los departamentos
de operaciones para evitar la interferencia con las operaciones y garantizar la coherencia
de los datos y la integridad.
B. Terminar la auditora.
La respuesta correcta es d.
Uno de los objetivos principales de una auditora es identificar el riesgo potencial; Por lo
tanto, el enfoque ms proactivo sera identificar y evaluar las prcticas de seguridad
existentes que estn siendo seguidas por la organizacin. Los auditores de SI no deben
preparar la documentacin, ya que esto podra poner en peligro su independencia. Terminar
la auditora puede impedir el logro de uno de los objetivos bsicos de la auditora, es decir,
la identificacin del riesgo potencial. Dado que no existen procedimientos documentados,
no hay ninguna base para evaluar el cumplimiento.
Cul de los siguientes mtodos de muestreo es MS til cuando se prueba el
cumplimiento?
A. Muestreo de atributos
B. Muestreo variable
La respuesta correcta es la A.
La respuesta correcta es b.
Un ITF crea un archivo ficticio en la base de datos, permitiendo que las transacciones de
prueba sean procesadas simultneamente con datos vivos. Si bien esto garantiza que las
pruebas peridicas no requieren un proceso de prueba independiente, es necesario aislar
los datos de prueba de los datos de produccin. No se requiere que un auditor de SI use
datos de produccin o un generador de datos de prueba. Los archivos maestros de
produccin no deben actualizarse con los datos de prueba.
Un auditor de SI est llevando a cabo una revisin de la configuracin del
sistema. Cul de las siguientes sera la MEJOR evidencia en apoyo de los ajustes
actuales de la configuracin del sistema?
A. Valores de configuracin del sistema importados a una hoja de clculo por el
administrador del sistema
B. Informe estndar con valores de configuracin en spool desde el sistema por el auditor
de SI
D. Revisin anual de los valores de configuracin del sistema aprobados por el propietario
de la empresa
La respuesta correcta es b.
La respuesta correcta es b.
Una prueba independiente realizada por un auditor de SI siempre debe considerarse una
fuente de evidencia ms confiable que una carta de confirmacin de un tercero, ya que una
carta no se ajusta a las normas de auditora y es subjetiva. Una auditora debe consistir en
una combinacin de inspeccin, observacin e investigacin por un auditor de SI, segn lo
determinado por el riesgo. Esto proporciona una metodologa estndar y una garanta
"razonable" de que los controles y los resultados de las pruebas son precisos. Las opciones
A y C son evidencia de auditora, pero no tan confiable como la opcin B.
Cul de las siguientes es una ventaja de una instalacin de prueba integrada
(ITF)?
R. Utiliza archivos maestros o variables dummy y el auditor de SI no tiene que revisar el
origen de la transaccin.
La respuesta correcta es b.
Un ITF crea una entidad ficticia en la base de datos para procesar transacciones de prueba
simultneamente con entrada en vivo. Su ventaja es que las pruebas peridicas no
requieren procesos de prueba separados. Sin embargo, es necesaria una planificacin
cuidadosa y los datos de prueba deben aislarse de los datos de produccin.
Un auditor de SI est planeando evaluar la eficacia del diseo de control
relacionada con un proceso automatizado de facturacin. Cul de los siguientes
es el enfoque MS eficaz para que el auditor adopte?
A. Proceso narrativo
B. Investigacin
C. Reperformance
D. Recorrido
La respuesta correcta es d.
A. Las narrativas de los procesos pueden no ser actuales o completas y pueden no reflejar
el proceso real en funcionamiento.
C. Reperformance se utiliza para evaluar la eficacia operativa del control en lugar del
diseo del control.
La respuesta correcta es la A.
B. pruebas de cumplimiento.
C. Anlisis cualitativo.
D. muestreo de juicios.
La respuesta correcta es la A.
A. Las pruebas sustantivas consisten en obtener pruebas de auditora sobre la integridad,
exactitud o existencia de datos a nivel de transaccin individual. Esto se puede lograr
comparando los datos de la aplicacin con el documento base. En este caso, la
comparacin se hace con las facturas del proveedor.
B. Las pruebas de cumplimiento consisten en ensayar los controles diseados para obtener
evidencia de auditora sobre la efectividad de los controles y su operacin durante el
perodo de auditora.