Você está na página 1de 43

Cul de las siguientes tcnicas de auditora BEST ayudara a un auditor de SI a

determinar si ha habido cambios no autorizados en el programa desde la ltima


actualizacin del programa autorizado?
A. Ejecucin de los datos de prueba
B. Revisin del cdigo
C. Comparacin automatizada de cdigos
D. Revisin de los procedimientos de migracin de cdigo
La respuesta correcta es c.
Una comparacin de cdigo automatizada es el proceso de comparar dos versiones del
mismo programa para determinar si las dos corresponden. Es una tcnica eficiente porque
es un procedimiento automatizado. Las ejecuciones de datos de prueba permiten al auditor
verificar el procesamiento de las transacciones preseleccionadas, pero no proporcionan
evidencia sobre porciones no ejercidas de un programa. La revisin de cdigo es el proceso
de lectura de listas de cdigo fuente del programa para determinar si el cdigo contiene
errores potenciales o declaraciones ineficientes. Una revisin de cdigo se puede utilizar
como un medio de comparacin de cdigo, pero es ineficiente. La revisin de los
procedimientos de migracin de cdigo no detectara cambios en el programa
La medida en que se recopilarn los datos durante una auditora de SI deber
determinarse
A. disponibilidad de informacin crtica y requerida.
B. familiaridad del auditor con las circunstancias.
C. habilidad del auditado para encontrar evidencia relevante.
D. propsito y alcance de la auditora realizada.
La respuesta correcta es d.
La medida en que los datos se recogern durante una auditora de SI debe estar
directamente relacionada con el alcance y el propsito de la auditora. Una auditora de SI
con un propsito y alcance estrechos resultara ms probable en menos recopilacin de
datos, que una auditora con un propsito y alcance ms amplio. El alcance de una
auditora de SI no debe verse limitado por la facilidad de obtener la informacin o por la
familiaridad del auditor de SI con el rea auditada. La recopilacin de toda la evidencia
requerida es un elemento requerido de una auditora de SI y el alcance de la auditora no
debe estar limitado por la habilidad del auditado de encontrar evidencia relevante.
Un auditor de SI est desarrollando un plan de auditora para un cliente repetido.
El auditor de SI revisa el plan de auditora del ao anterior y encuentra que el
plan anterior fue diseado para revisar los sistemas de red y correo electrnico
de la compaa, que se implementaron recientemente el ao pasado, pero el plan
no incluy la revisin del servidor de comercio electrnico. El gerente de TI de la
compaa indica que este ao la organizacin prefiere centrar la auditora en una
aplicacin de planificacin de recursos empresariales (ERP) recin implementada.
Cmo debe responder el auditor de SI?
A. Auditar la nueva aplicacin de ERP solicitada por el administrador de TI.
B. Auditar el servidor de comercio electrnico ya que no fue auditado el ao pasado.
C. Determinar los sistemas de mayor riesgo y planificar la auditora en base a los
resultados.
D. Revise tanto el servidor de comercio electrnico como la aplicacin ERP.
La respuesta correcta es c.
El mejor curso de accin es llevar a cabo una evaluacin de riesgos y disear el plan de
auditora para cubrir las reas de mayor riesgo. ISACA IT Auditora y Aseguramiento
Estndar S11 (Uso de la Evaluacin de Riesgo en la Planificacin de Auditora), Substandard
S03, establece que "El auditor de SI debe utilizar una tcnica apropiada de evaluacin de
riesgo en el desarrollo del plan de auditora general de SI y en la determinacin de
prioridades para la asignacin efectiva De los recursos de auditora de SI ". El auditor de SI
no debe confiar en el plan de auditora del ao anterior, ya que puede no haber sido
diseado para reflejar un enfoque basado en el riesgo (los sistemas ms nuevos no son
necesariamente los sistemas con mayor riesgo). La auditora de la nueva aplicacin ERP no
refleja un enfoque basado en el riesgo y, por lo tanto, no es la respuesta correcta. Aunque
los sistemas ERP normalmente contienen datos confidenciales y pueden presentar riesgo
de prdida o divulgacin de datos a la organizacin, sin una evaluacin de riesgos, la
decisin de auditar el sistema ERP no es una decisin basada en el riesgo. La auditora del
servidor de comercio electrnico porque no fue auditada el ao pasado no refleja un
enfoque basado en el riesgo y, por lo tanto, no es la respuesta correcta. Adems, el
administrador de TI puede saber acerca de los problemas con el servidor de comercio
electrnico y puede estar tratando intencionalmente de alejar la auditora de esa zona
vulnerable. Aunque a primera vista el comercio electrnico puede parecer el rea ms
arriesgada, se debe realizar una evaluacin en lugar de confiar en el juicio del auditor de SI
o del gerente de TI. La auditora tanto del servidor de comercio electrnico como de la
aplicacin ERP no refleja un enfoque basado en el riesgo y, por lo tanto, no es la respuesta
correcta
Una empresa est desarrollando una estrategia para actualizar a una versin
ms reciente de su software de base de datos. Cul de las siguientes tareas
puede realizar un auditor de SI sin comprometer la objetividad de la funcin de
auditora de SI?
A. Asesorar sobre la adopcin de controles de aplicaciones para el nuevo software de base
de datos.
B. Proporcionar estimaciones futuras de los gastos de licencias al equipo del proyecto.
C. Recomendar en la reunin de planificacin del proyecto cmo mejorar la eficiencia de la
migracin.
D. Revisar la documentacin del caso de prueba de aceptacin antes de realizar las
pruebas.
La respuesta correcta es d.
De las opciones presentadas, slo la revisin de los casos de prueba facilitar el objetivo.
La independencia podra verse comprometida si el auditor de SI aconseja la adopcin de
controles de aplicacin especficos. La independencia podra verse comprometida si el
auditor de SI auditara la estimacin de los gastos futuros utilizados para respaldar un caso
de negocio para la aprobacin de la gestin del proyecto. Asesorar al director del proyecto
sobre cmo aumentar la eficiencia de la migracin puede comprometer la independencia
del auditor de SI
Un auditor de SI que evala los controles de acceso lgico debe FIRST:
A. documentar los controles aplicados a las rutas de acceso potencial al sistema.
B. controles de prueba sobre las vas de acceso para determinar si son funcionales.
C. evaluar el entorno de seguridad en relacin con polticas y prcticas escritas.
D. obtener una comprensin del riesgo de seguridad para el procesamiento de la
informacin
La respuesta correcta es d.
Al evaluar los controles de acceso lgico, el auditor de SI debe obtener primero una
comprensin del riesgo de seguridad que enfrenta el procesamiento de la informacin
revisando la documentacin pertinente, investigando y realizando una evaluacin del
riesgo. La documentacin y la evaluacin son el segundo paso para evaluar la adecuacin,
la eficiencia y la eficacia, identificando as las deficiencias o la redundancia en los controles.
El tercer paso es probar las rutas de acceso, para determinar si los controles estn
funcionando. Por ltimo, el auditor de SI evala el entorno de seguridad para evaluar su
adecuacin revisando las polticas escritas, observando las prcticas y comparndolas con
las mejores prcticas de seguridad apropiadas.
Cul de los siguientes es el PRIMER paso realizado antes de crear una
clasificacin de riesgo para el plan de auditora interno anual de SI?
A. Priorizar el riesgo identificado.
B. Defina el universo de auditora.
C. Identificar los controles crticos.
D. Determinar el mtodo de prueba
La respuesta correcta es b.
A. Una vez que se define el universo de auditora, el auditor puede priorizar el riesgo
basndose en su impacto global en las diferentes reas operativas de la organizacin
cubierta bajo el universo de auditora.

B. En un enfoque de auditora basada en el riesgo, el auditor identifica el riesgo para la


organizacin en base a la naturaleza del negocio. Para planificar un ciclo de auditora anual,
los tipos de riesgo deben ser clasificados. Para clasificar los tipos de riesgo, el auditor
primero debe definir el universo de auditora considerando el plan estratgico de TI, la
estructura organizativa y la matriz de autorizacin.

C. Los controles que ayudan a mitigar las reas de alto riesgo son generalmente controles
crticos y su efectividad proporciona seguridad en la mitigacin del riesgo. Sin embargo,
esto no puede hacerse a menos que se clasifiquen los tipos de riesgo.
D. El enfoque de las pruebas se basa en la clasificacin de los riesgos
Compartir el riesgo es un factor clave en cul de los siguientes mtodos de
gestin de riesgo?
A. Transferencia de riesgo
B. Tolerar el riesgo
C. Terminacin del riesgo
D. Tratamiento del riesgo
La respuesta es A.
Transferir el riesgo (por ejemplo, mediante una pliza de seguro) es una manera de
compartir el riesgo. Tolerar el riesgo significa que el riesgo es aceptado, pero no
compartido. Es improbable que termine el riesgo de compartir el riesgo porque se
mantendr algn riesgo. Tratar o controlar el riesgo puede implicar compartir el riesgo, pero
no es una caracterstica clave.
Una prueba sustantiva para verificar que los registros de inventario de la
biblioteca de cintas son exactas es:
A. Determinar si los lectores de cdigo de barras estn instalados.
B. determinar si el movimiento de las cintas est autorizado.
C. realizar un recuento fsico del inventario de la cinta.
D. Comprobar si los recibos y las emisiones de cintas se registran con exactitud
La respuesta correcta es c.
Una prueba sustantiva incluye la recopilacin de pruebas para evaluar la integridad (es
decir, la integridad, exactitud o validez) de transacciones individuales, datos u otra
informacin. La realizacin de un conteo fsico del inventario de cintas es una prueba
sustantiva. Las opciones A, B y D son pruebas de cumplimiento.
Cul de las siguientes tcnicas de auditora BEST ayudara a un auditor de SI a
determinar si ha habido cambios no autorizados en el programa desde la ltima
actualizacin del programa autorizado?
A. Ejecucin de los datos de prueba
B. Revisin del cdigo
C. Comparacin automatizada de cdigos
D. Revisin de los procedimientos de migracin de cdigo
La respuesta correcta es c.
Una comparacin de cdigo automatizada es el proceso de comparar dos versiones del
mismo programa para determinar si las dos corresponden. Es una tcnica eficiente porque
es un procedimiento automatizado. Las ejecuciones de datos de prueba permiten al auditor
verificar el procesamiento de las transacciones preseleccionadas, pero no proporcionan
evidencia sobre porciones no ejercidas de un programa. La revisin de cdigo es el proceso
de lectura de listas de cdigo fuente del programa para determinar si el cdigo contiene
errores potenciales o declaraciones ineficientes. Una revisin de cdigo se puede utilizar
como un medio de comparacin de cdigo, pero es ineficiente. La revisin de los
procedimientos de migracin de cdigo no detectara cambios en el programa
Despus de la investigacin inicial, un auditor de SI tiene razones para creer que
el fraude puede estar presente. El auditor de SI debe
A. Extender las actividades para determinar si se justifica una investigacin.
B. reportar el asunto al comit de auditora.
C. informar de la posibilidad de fraude a la alta direccin y preguntar cmo les gustara
proceder.
D. consultar con un asesor legal externo para determinar el curso de accin que se debe
tomar.
La respuesta es A.
Las responsabilidades de un auditor de SI para detectar el fraude incluyen la evaluacin de
los indicadores de fraude y la decisin de si cualquier accin adicional es necesaria o si se
debe recomendar una investigacin. El auditor de SI debe notificar a las autoridades
apropiadas dentro de la organizacin solamente si ha determinado que los indicadores de
fraude son suficientes para recomendar una investigacin. Normalmente, el auditor de SI
no tiene autoridad para consultar con un asesor legal externo.
Se asigna un auditor de SI para realizar una revisin postimplementacin de un
sistema de aplicacin. Cul de las siguientes situaciones puede haber alterado
la independencia del auditor de SI? El auditor de SI:
A. implement una funcionalidad especfica durante el desarrollo del sistema de aplicacin.
B. dise un mdulo de auditora integrado exclusivamente para la auditora del sistema
de aplicacin.
C. particip como miembro del equipo de proyecto del sistema de solicitud, pero no tena
responsabilidades operacionales.
D. prest asesoramiento sobre las mejores prcticas del sistema de aplicacin.
La respuesta es A.
La independencia puede verse afectada si un auditor de SI est o ha estado involucrado
activamente en el desarrollo, adquisicin e implementacin del sistema de solicitud. Las
opciones B y C son situaciones que no afectan la independencia del auditor de SI. La opcin
D es incorrecta debido a que la independencia del auditor de SI no se ve afectada al
proporcionar asesoramiento sobre las mejores prcticas conocidas.
Cul de las siguientes opciones identificar con ms xito los controles clave
superpuestos en los sistemas de aplicaciones empresariales?
A. Revisar las funcionalidades del sistema que se adjuntan a procesos empresariales
complejos
B. Presentacin de transacciones de prueba a travs de un centro de pruebas integrado
(ITF)
C. Sustitucin de la supervisin manual por una solucin de auditora automatizada
D. Controles de prueba para validar que son efectivos
La respuesta correcta es c.
Como parte del esfuerzo por realizar una gestin de auditora continua (CAM), hay casos
para la introduccin de una solucin automatizada de monitoreo y auditora. Todos los
controles clave deben estar claramente alineados para la implementacin sistemtica; Por
lo tanto, los analistas tienen la oportunidad de encontrar innecesarios o superpuestos
controles clave en los sistemas existentes. En general, los procesos empresariales
altamente complejos pueden tener ms controles clave que las reas de negocios con
menos complejidad; Sin embargo, encontrar con seguridad controles innecesarios en reas
complejas no siempre es posible. Si una estructura de control clave bien pensada se ha
establecido desde el principio, no ser posible encontrar ninguna superposicin en el
control. Un ITF es una tcnica de auditora para probar la exactitud de los procesos en el
sistema de aplicacin. Puede encontrar fallas de control en el sistema de aplicacin, pero
sera difcil encontrar la superposicin en los controles clave. Al probar controles para
validar si son efectivos, el auditor de SI puede identificar si hay controles superpuestos; Sin
embargo, el proceso de implementacin de una solucin de auditora automatizada
identificara mejor los controles superpuestos.
Un beneficio PRIMARIO derivado de una organizacin que emplea tcnicas de
autoevaluacin de control (CSA) es que
A. puede identificar reas de alto riesgo que podran necesitar una revisin detallada ms
adelante.
B. permite que los auditores de SI evalen de forma independiente el riesgo.
C. puede utilizarse como sustituto de las auditoras tradicionales.
D. permite a la gerencia renunciar a la responsabilidad del control.
La respuesta correcta es la A.
CSA se basa en la revisin de reas de alto riesgo que necesitan atencin inmediata o una
revisin ms profunda en una fecha posterior. La opcin B es incorrecta, ya que la CSA
requiere la participacin de los auditores de SI y la administracin de lnea. Lo que ocurre
es que la funcin de auditora interna transfiere algunas de las responsabilidades de control
de monitoreo a las reas funcionales. La opcin C es incorrecta porque CSA no es un
reemplazo para las auditoras tradicionales. CSA no pretende reemplazar las
responsabilidades de la auditora, sino mejorarlas. La opcin D es incorrecta, ya que CSA no
permite a la administracin renunciar a su responsabilidad de control.
La ventaja PRIMARIA de un enfoque de auditora continua es que:
A. no requiere que un auditor de SI recopile evidencia sobre la confiabilidad del sistema
mientras se procesa.
B. requiere que el auditor de SI revise y haga un seguimiento inmediato de toda la
informacin recopilada.
C. puede mejorar la seguridad del sistema cuando se utiliza en entornos de
tiempo compartido que procesan un gran nmero de transacciones.
D. no depende de la complejidad de los sistemas informticos de una organizacin.
La respuesta correcta es c.
El uso de tcnicas de auditora continua puede mejorar la seguridad del sistema cuando se
utiliza en entornos de tiempo compartido que procesan un gran nmero de transacciones,
pero dejan un rastro de papel escaso. La opcin A es incorrecta, ya que el enfoque de
auditora continua requiere a menudo que un auditor de SI recoja evidencia sobre la
confiabilidad del sistema mientras se procesa. La opcin B es incorrecta ya que un auditor
de SI normalmente revisara y dara seguimiento slo a las deficiencias materiales o los
errores detectados. La eleccin D es incorrecta ya que el uso de tcnicas de auditora
continua depende de la complejidad de los sistemas informticos de una organizacin.
El MEJOR mtodo para confirmar la exactitud de un clculo del impuesto del
sistema es:
A. revisin visual detallada y anlisis del cdigo fuente de los programas de clculo.
B. recrear la lgica del programa utilizando un software de auditora generalizado para
calcular los totales mensuales.
C. preparar transacciones simuladas para procesar y comparar los resultados con
resultados predeterminados.
D. diagrama de flujo automtico y anlisis del cdigo fuente de los programas de clculo.
La respuesta correcta es c.
Preparar transacciones simuladas para procesar y comparar los resultados con resultados
predeterminados es el mejor mtodo para confirmar la exactitud de un clculo de
impuestos. La revisin visual detallada, el diagrama de flujo y el anlisis del cdigo fuente
no son mtodos eficaces y los totales mensuales no abordaran la exactitud de los clculos
de impuestos individuales.
Un auditor de SI est probando el acceso de los empleados a un sistema
financiero grande. El auditor de SI seleccion una muestra de la lista de
empleados actual proporcionada por el auditado. Cul de las siguientes pruebas
es la ms fiable para apoyar la prueba?
A. Una hoja de clculo proporcionada por el administrador del sistema
B. Documentos de Recursos Humanos (HR) firmados por los gerentes de los empleados
C. Una lista de cuentas con niveles de acceso generados por el sistema
D. Observaciones realizadas en el lugar en presencia de un administrador del sistema
La respuesta correcta es c.
La lista de acceso generada por el sistema es la ms fiable porque es la evidencia ms
objetiva para realizar una comparacin con las muestras seleccionadas. La evidencia es
objetiva porque fue generada por el sistema y no por un individuo. Una declaracin verbal
en s misma no es una prueba adecuada para las pruebas sustantivas. En la mayora de los
casos, las pruebas documentales deben recopilarse para apoyar las declaraciones verbales
del auditado. Los documentos de HR firmados por los gerentes son una buena evidencia;
Sin embargo, no son tan objetivos como la lista de acceso generada por el sistema. Las
observaciones son una buena evidencia para entender la estructura de control interno; Sin
embargo, las observaciones no son eficientes para un gran nmero de usuarios. Las
observaciones no son suficientemente objetivas para las pruebas sustantivas.
Al seleccionar los procedimientos de auditora, un auditor de SI debe usar juicio
profesional para asegurar que:
A. se recogern pruebas suficientes.
B. todas las deficiencias significativas identificadas sern corregidas dentro de un perodo
razonable.
C. se identificarn todas las debilidades materiales.
D. los costos de auditora se mantendrn en un nivel mnimo.
La respuesta correcta es la A.
Los procedimientos son procesos que un auditor de SI puede seguir en un trabajo de
auditora. Al determinar la conveniencia de cualquier procedimiento especfico, un auditor
de SI debe usar juicio profesional adecuado a las circunstancias especficas. El juicio
profesional implica una evaluacin subjetiva ya menudo cualitativa de las condiciones que
surgen en el transcurso de una auditora. El juicio se dirige a un rea gris donde las
decisiones binarias (s / no) no son apropiadas y la experiencia pasada del auditor de SI
desempea un papel clave en la toma de un juicio. El auditor de SI debe usar el juicio para
evaluar la suficiencia de la evidencia a ser recolectada. Las directrices de ISACA
proporcionan informacin sobre cmo cumplir con los estndares al realizar el trabajo de
auditora de SI. La identificacin de las debilidades materiales es el resultado de la
competencia, experiencia y minuciosidad apropiadas en la planificacin y ejecucin de la
auditora y no en el juicio profesional. El juicio profesional no es un aporte primario a los
aspectos financieros de la auditora. Los procedimientos de auditora y el uso del juicio
profesional no pueden asegurar que todas las deficiencias / debilidades sern identificadas
y corregidas. El juicio profesional no puede utilizarse para optimizar los costos de auditora
Un auditor de SI est evaluando el software de minera de datos y auditora que
se utilizar en futuras auditoras de SI. Cul es el requisito PRIMARIO que debe
cumplir la herramienta de software? La herramienta de software debe:
A. Interfaz con diversos tipos de software y bases de datos de planificacin de recursos
empresariales (ERP).
B. preservar la integridad de los datos y no modificar los datos de origen de
ninguna manera.
C. introducir enganches de auditora en los sistemas financieros de la empresa para apoyar
la auditora continua.
D. ser personalizable y apoyar la inclusin de la programacin personalizada para ayudar
en el anlisis investigativo.
La respuesta correcta es b.
Si bien todas las opciones anteriores son deseables en una herramienta de software
evaluada para fines de auditora y minera de datos, el requisito ms crtico es que la
herramienta no comprometa la integridad de los datos ni realice cambios en los sistemas
que se estn auditando
El vicepresidente de recursos humanos ha solicitado una auditora para
identificar los pagos excesivos de nmina del ao anterior. Cul sera la MEJOR
tcnica de auditora para usar en esta situacin?
A. Datos de prueba
B. Software de auditora generalizado
C. Instalacin de prueba integrada
D. Mdulo de auditora incorporado
La respuesta correcta es b.
Las caractersticas generalizadas del software de auditora incluyen clculos matemticos,
estratificacin, anlisis estadstico, comprobacin de secuencias, comprobacin de
duplicados y recomputaciones. Un auditor de SI, que utiliza un software de auditora
generalizado, podra disear pruebas apropiadas para recalcular la nmina, determinando
as si haba pagos en exceso y para quin se hicieron. Los datos de prueba pondran a
prueba la existencia de controles que podran evitar pagos en exceso, pero no detectar
errores de clculo especficos anteriores. Ni una instalacin de prueba integrada ni un
mdulo de auditora incorporado detectara errores en un perodo anterior.
Cul de los siguientes debe ser la PRIMERA accin de un auditor de SI durante
una disputa con un gerente de departamento sobre los hallazgos de la auditora?
A. Repite el control para validar el hallazgo.
B. Involucrar a un tercero para validar el hallazgo.
C. Incluya el hallazgo en el informe con los comentarios del gerente del departamento.
D. Revalidar las pruebas de apoyo para el hallazgo.
La respuesta correcta es d.
Las conclusiones elaboradas por un auditor de SI deben estar adecuadamente respaldadas
por evidencia y deben tomarse en consideracin cualquier control compensatorio o
correccin sealado por un gerente de departamento. Por lo tanto, el primer paso sera
revalidar la evidencia para el hallazgo. El reexamen del control ocurrira normalmente
despus de que la evidencia haya sido revalidada. Aunque hay casos en que un tercero
puede ser necesario para llevar a cabo procedimientos de auditora especializados, un
auditor de SI debe primero revalidar las pruebas de apoyo para determinar si es necesario
contratar a un tercero. Si despus de revalidar y volver a probar, hay desacuerdos no
resueltos, esas cuestiones deberan incluirse en el informe.
La carta de auditora de SI de una organizacin debe especificar lo siguiente:
A. planes a corto y largo plazo para los compromisos de auditora de SI.
B. objetivos y alcance de los compromisos de auditora de SI.
C. Plan detallado de capacitacin para el personal de auditora de SI.
D. funcin de la funcin de auditora de SI.

La respuesta correcta es d.
Una carta de auditora de SI establece el papel de la funcin de auditora de los sistemas de
informacin. La carta debe describir la autoridad general, el alcance y las responsabilidades
de la funcin de auditora. Debe ser aprobado por el ms alto nivel de gestin y, si est
disponible, por el comit de auditora. La planificacin a corto y largo plazo es
responsabilidad de la direccin de auditora. Los objetivos y el alcance de cada auditora de
SI deben ser acordados en una carta de compromiso. Un plan de capacitacin, basado en el
plan de auditora, debe ser desarrollado por la gerencia de la auditora.
Un auditor de SI ha identificado un proceso de negocio para ser auditado. El
auditor de SI debe identificar NEXT:
A. los activos de informacin ms valiosos.
B. Los recursos de auditora de SI sern desplegados.
C. personal de auditee a ser entrevistado.
D. controlar los objetivos y actividades.
La respuesta correcta es d.
A. Para determinar los activos de informacin clave que se deben auditar, el auditor de SI
debe primero determinar qu objetivos de control y actividades de control clave deben ser
validados. Slo los activos de informacin relacionados con los objetivos de control y las
actividades de control clave son relevantes para el escopo de la auditora.
B. Slo despus de determinar cules son los controles y los activos de informacin
relevantes relacionados deben ser validados, el auditor de SI puede decidir sobre los
recursos de auditora de SI clave (con los conjuntos de habilidades relevantes) que deben
desplegarse para la auditora.
C. Slo despus de determinar las actividades de control clave que se van a validar, el
auditor de SI puede identificar al personal de proceso relevante que debe ser entrevistado.
D. Una vez identificado el proceso de negocio, el auditor de SI debe identificar primero los
objetivos y actividades de control que deben ser validados en la auditora.
Un auditor de SI est llevando a cabo una prueba de cumplimiento para
determinar si los controles apoyan las polticas y procedimientos de
administracin. La prueba ayudar al auditor de SI a:
A. obtener una comprensin del objetivo de control.
B. confirmar que el control est funcionando segn lo diseado.
C. determinar la integridad de los controles de datos.
D. determinar la razonabilidad de los controles de informacin financiera.
La respuesta correcta es b.
Las pruebas de cumplimiento pueden usarse para probar la existencia y efectividad de un
proceso definido. Es importante comprender el objetivo de una prueba de cumplimiento.
Los auditores de SI desean una seguridad razonable de que los controles de los que
dependen son efectivos. La comprensin de los objetivos de control es clave, pero no es la
razn para realizar una prueba de cumplimiento. Las pruebas sustantivas, no las pruebas
de cumplimiento, estn asociadas con la integridad de los datos y la informacin financiera.
Un auditor de SI externo emite un informe de auditora que seala la falta de
caractersticas de proteccin de firewall en la puerta de enlace de red perimetral
y recomienda un producto de proveedor especfico para solucionar esta
vulnerabilidad. El auditor de SI no ha podido ejercer
A. independencia profesional
B. independencia organizativa.
C. competencia tcnica.
D. competencia profesional.
La respuesta correcta es la A.
Cuando un auditor de SI recomienda a un proveedor especfico, esto compromete la
independencia profesional del auditor. La independencia de la organizacin no tiene
relevancia para el contenido de un informe de auditora y debe considerarse en el momento
de aceptar el compromiso. La competencia tcnica y profesional no es relevante para el
requisito de independencia.
Al realizar una auditora de los controles internos de integridad de datos de una
aplicacin de contabilidad, un auditor de SI identifica una deficiencia de control
importante en el software de administracin de cambios que soporta la
aplicacin de contabilidad. La accin ms apropiada para el auditor de SI es:
A. continuar probando los controles de la aplicacin de contabilidad, informar verbalmente
al administrador de TI acerca de la deficiencia de control de software de gestin de cambios
y ofrecer consultas sobre posibles soluciones.
B. completar la auditora de controles de aplicacin, pero no informar la deficiencia de
control en el software de administracin de cambios porque no es parte del mbito de
auditora.
C. continuar probando los controles de la aplicacin contable e incluir mencin
de la deficiencia de control del software de gestin de cambios en el informe
final.
D. Cese toda actividad de auditora hasta que se resuelva la deficiencia de control en el
software de gestin de cambios.
La respuesta correcta es c.
Es responsabilidad del auditor de SI informar sobre los hallazgos que podran tener un
impacto material en la efectividad de los controles, estn o no dentro del alcance de la
auditora. El auditor de SI no debe asumir que el administrador de TI seguir a travs de
resolver la deficiencia de control de gestin de cambio, y es inadecuado para ofrecer
servicios de consultora sobre los problemas descubiertos durante una auditora. Aunque
tcnicamente no est dentro del alcance de la auditora, es responsabilidad del auditor de
SI reportar los descubrimientos descubiertos durante una auditora que podran tener un
impacto material en la efectividad de los controles. No es la funcin del auditor de SI exigir
que el trabajo de TI se complete antes de realizar o completar una auditora
Durante una auditora de control de cambios de un sistema de produccin, un
auditor de SI encuentra que el proceso de gestin de cambios no est
formalmente documentado y que algunos procedimientos de migracin han
fallado. Qu debe hacer el auditor de SI a continuacin?
A. Recomendar redisear el proceso de gestin del cambio.
B. Obtener mayor seguridad sobre los hallazgos a travs del anlisis de la causa
raz.
C. Recomendar que se detenga la migracin de programas hasta que se documente el
proceso de cambio.
D. Documentar el hallazgo y presentarlo a la direccin
La respuesta correcta es b.
Un proceso de gestin del cambio es fundamental para los sistemas de produccin de TI.
Antes de recomendar que la organizacin tome cualquier otra medida (por ejemplo,
detener las migraciones, redisear el proceso de gestin del cambio), el auditor de SI debe
asegurarse de que los incidentes reportados estn relacionados con deficiencias en el
proceso de cambio y no causados por algn proceso distinto al cambio administracin.
Al preparar un informe de auditora, el auditor de SI debe asegurarse de que los
resultados estn respaldados por:
A. declaraciones de la direccin de SI.
B. documentos de trabajo de otros auditores.
C. una autoevaluacin del control organizacional.
D. pruebas de auditora suficientes y apropiadas.
La respuesta correcta es d.
La norma de auditora y aseguramiento de TI de ISACA sobre la presentacin de informes
requiere que el auditor de SI tenga evidencia de auditora suficiente y apropiada para
apoyar los resultados reportados. Las declaraciones de la administracin de SI proporcionan
una base para obtener la concurrencia en asuntos que no pueden ser verificados con
evidencia emprica. El informe debe basarse en la evidencia recolectada durante el curso
de la revisin aunque el auditor de SI pueda tener acceso a los documentos de trabajo de
otros auditores. Los resultados de una autoevaluacin del control organizacional (CSA)
podran complementar los hallazgos de la auditora. Las opciones A, B y C pueden referirse
durante una auditora pero, por s mismas, no se considerarn una base suficiente para
emitir un informe
La decisin final de incluir un hallazgo material en un informe de auditora debe
ser hecha por:
A. Comit de auditora.

B. Gerente de auditee.
C. El auditor de SI.
D. director general (CEO) de la organizacin
La respuesta correcta es c.
El auditor de SI debe tomar la decisin final sobre qu incluir o excluir del informe de
auditora. Las otras opciones limitaran la independencia del auditor de SI.
Cul de los siguientes sera normalmente la evidencia ms confiable para un
auditor de SI?
A. Una carta de confirmacin recibida de un tercero que verifica el saldo de la
cuenta
B. Aseguramiento de la administracin de lnea de que una aplicacin est funcionando
segn lo diseado
C. Datos de tendencias obtenidos de fuentes de la World Wide Web (Internet)
D. Anlisis de proporcin desarrollado por el auditor de SI a partir de los informes
suministrados por la gerencia de lnea
La respuesta correcta es la A.
Las pruebas obtenidas de terceros independientes casi siempre se consideran las ms
fiables. Las opciones B, C y D no se considerarn tan confiables como la opcin A.
Al desarrollar una estrategia de auditora basada en el riesgo, un auditor de SI
debe llevar a cabo una evaluacin de riesgos para asegurar que:
A. los controles necesarios para mitigar el riesgo estn en su lugar.
B. se identifican vulnerabilidades y amenazas.
C. Se considera riesgo de auditora.
D. un anlisis de la brecha es apropiado.
La respuesta correcta es b.
Al desarrollar una estrategia de auditora basada en el riesgo, es fundamental entender el
riesgo y las vulnerabilidades. Esto determinar las reas a ser auditadas y el alcance de la
cobertura. Entender si los controles apropiados requeridos para mitigar el riesgo estn en
su lugar es un efecto resultante de una auditora. El riesgo de auditora es un aspecto
inherente a la auditora, est directamente relacionado con el proceso de auditora y no es
relevante para el anlisis de riesgo del entorno a auditar. Un anlisis de la brecha se hara
normalmente para comparar el estado real con un estado esperado o deseable.
Cul de los siguientes sera un auditor de SI para determinar si se hicieron
modificaciones no autorizadas a los programas de produccin?
A. Anlisis del registro del sistema
B. Pruebas de cumplimiento
C. Anlisis forense
D. Revisin analtica
La respuesta correcta es b.
Determinar que slo se hacen modificaciones autorizadas a los programas de produccin
requerira que el proceso de gestin del cambio sea revisado para evaluar la existencia de
un rastro de evidencia documental. Las pruebas de cumplimiento ayudaran a verificar que
el proceso de gestin del cambio se ha aplicado de forma coherente. Es poco probable que
el anlisis del registro del sistema proporcione informacin sobre la modificacin de los
programas. El anlisis forense es una tcnica especializada para la investigacin criminal.
Una revisin analtica evala el ambiente de control general de una organizacin.
Al evaluar los controles programados sobre la administracin de contraseas,
cul de los siguientes es el auditor IS ms probable que dependa?
A. Un control de tamao
B. Un total de hash
C. Una comprobacin de validez
D. Un chequeo de campo
La respuesta correcta es c.

Una comprobacin de validez sera la ms til para la verificacin de contraseas, ya que


verificar que se ha utilizado el formato requerido, por ejemplo, no se utiliza una palabra
del diccionario, incluidos caracteres no alfabticos, etc. Una contrasea eficaz debe tener
varios tipos diferentes De caracteres: alfabtico, numrico y especial. La implementacin
de una comprobacin de campo eliminara este requisito importante y sera el control
menos til para las contraseas. Las contraseas pueden y deben ser de la misma longitud.
Esta comprobacin es til porque las contraseas deben tener una longitud mnima, pero
no es tan fuerte como un control de validez. Las contraseas no suelen introducirse en un
modo por lotes, por lo que un total de hash no sera efectivo. Ms importante an, un
sistema no debe aceptar valores incorrectos de una contrasea, por lo que un total de hash
como un control no encontrar errores u omisiones.
Cul de las siguientes es la habilidad MS importante que un auditor de SI debe
desarrollar para entender las limitaciones de realizar una auditora?
A. Planificacin para imprevistos
B. Asignacin de recursos de gestin de SI
C. Gestin de proyectos
D. Conocimiento de los controles internos
La respuesta correcta es c.

A. La planificacin de contingencias a menudo se asocia con las operaciones de la


organizacin. Los auditores de SI deben tener conocimiento de tcnicas de planificacin de
contingencia.
B. Los gerentes de SI son responsables de la administracin de recursos de sus
departamentos. Los auditores de SI no gestionan los recursos de SI.
C. Las auditoras a menudo implican la gestin de recursos y plazos similares a las mejores
prcticas de gestin de proyectos.
D. El conocimiento de los controles internos es fundamental para los auditores de SI. La
competencia profesional es un estndar de auditora
Durante la fase de planificacin de una auditora de SI, la meta PRIMARIA de un
auditor de SI es:
A. direccin de los objetivos de la auditora.
B. reunir pruebas suficientes.
C. especificar las pruebas apropiadas.
D. minimizar los recursos de auditora
La respuesta correcta es la A.
Las normas de auditora y aseguramiento de TI de ISACA requieren que un auditor de SI
planifique el trabajo de auditora para abordar los objetivos de la auditora. La opcin B es
incorrecta porque el auditor de SI no recopila evidencia en la etapa de planificacin de una
auditora. Las opciones C y D son incorrectas porque no son los objetivos principales de la
planificacin de la auditora. Las actividades descritas en las opciones B, C y D se llevan a
cabo para abordar los objetivos de la auditora y, por lo tanto, son secundarias a la opcin
A.
Durante la auditora externa, un auditor de SI descubre que los sistemas que
estn en el mbito de la auditora fueron implementados por un asociado. En tal
circunstancia, la gestin de la auditora
A. quite el auditor de SI del contrato.
B. cancelar el compromiso.
C. divulgar el problema al cliente.
D. tomar medidas para restablecer la independencia del auditor de SI.
La respuesta correcta es c.
R. No es necesario retirar al auditor de SI a menos que exista una limitacin legal, como
existe en ciertos pases.
B. No se requiere cancelar el compromiso.

C. En circunstancias en las que la independencia del auditor de SI est deteriorada y el


auditor de SI contina asociado con la auditora, los hechos que rodean la cuestin de la
independencia del auditor de SI deben ser revelados a la direccin apropiada y en el
informe.

D. Esta no es una solucin factible.

Al revisar documentos de trabajo electrnicos sensibles, el auditor de SI not


que no estaban encriptados. Esto podra comprometer el:
A. pista de auditora del versionado de los documentos de trabajo.
B. aprobacin de las fases de auditora.
C. Derechos de acceso a los documentos de trabajo.
D. confidencialidad de los documentos de trabajo.
La respuesta correcta es d.
El cifrado proporciona confidencialidad para los documentos de trabajo electrnicos. Las
pistas de auditora, la aprobacin de la fase de auditora y el acceso a los documentos de
trabajo no afectan por s mismos a la confidencialidad, sino que son parte de la razn por la
que se requiere el cifrado.
El propsito PRIMARIO de reunirse con los auditados antes de cerrar
formalmente una revisin es
A. confirman que los auditores no pasaron por alto ninguna cuestin importante.
B. obtener un acuerdo sobre los hallazgos.
C. recibir retroalimentacin sobre la adecuacin de los procedimientos de auditora.
D. probar la estructura de la presentacin final
La respuesta correcta es b.
El propsito principal de reunirse con los auditados antes de cerrar formalmente una
revisin es obtener un acuerdo sobre los resultados. Las otras opciones, aunque
relacionadas con el cierre formal de una auditora, son de importancia secundaria.
Cul de los siguientes MEJORES describe el propsito de realizar una evaluacin
de riesgos en la fase de planificacin de una auditora de SI?
A. Establecer requisitos de personal adecuados para completar la auditora de SI
B. Proporcionar una garanta razonable de que se tratarn todos los elementos
materiales
C. Determinar los conocimientos necesarios para realizar la auditora de SI
D. Desarrollar el programa de auditora y los procedimientos para realizar la auditora de SI
La respuesta correcta es b.
A. Una evaluacin de riesgos no influye directamente en los requisitos de personal.
B. Una evaluacin del riesgo ayuda a centrar los procedimientos de auditora en las reas
de mayor riesgo incluidas en el mbito de la auditora. El concepto de seguridad razonable
tambin es importante.
C. Una evaluacin de riesgos no identifica los conocimientos necesarios para realizar una
auditora de SI.
D. Una evaluacin de riesgos no da lugar al desarrollo del programa y procedimientos de
auditora.
Una carta de auditora debe
A. ser dinmico y cambiar a menudo para coincidir con la naturaleza cambiante de la
tecnologa y la profesin de auditora.
B. establecer claramente los objetivos de la auditora y la delegacin de autoridad para el
mantenimiento y revisin de los controles internos.
C. Documentar los procedimientos de auditora diseados para lograr los objetivos de
auditora planificados.
D. describir la autoridad general, el alcance y las responsabilidades de la funcin
de auditora.
La respuesta correcta es d.
Una carta de auditora debe establecer los objetivos de la administracin y la delegacin de
autoridad en la auditora de SI. Esta carta no debe cambiar significativamente con el
tiempo y debe ser aprobada al ms alto nivel de gestin. Una carta de auditora no estara
a un nivel detallado y, por lo tanto, no incluira objetivos o procedimientos de auditora
especficos.
Durante una revisin de un centro de operaciones de red (CNP) subcontratado,
un auditor de SI concluye que los procedimientos para supervisar las actividades
de administracin remota de la red por parte de la agencia externalizada son
inadecuados. Durante el debate de gestin, el director de informacin (CIO)
justifica este problema como una actividad de help desk, cubierto por
procedimientos de help desk y seala que los registros del sistema de deteccin
de intrusiones (IDS) se activan y se supervisan las reglas de firewall. Cul es el
mejor curso de accin para el auditor de SI?
A. Revisar el hallazgo en el informe de auditora de acuerdo con los comentarios del CIO.

B. Retirar el hallazgo porque el registro IDS est activado.

C. Retirar el hallazgo porque se supervisan las reglas del firewall.

D. Documentar el hallazgo identificado en el informe de auditora.

La respuesta correcta es d.

La independencia del auditor de SI exigira que la informacin adicional proporcionada por


el auditado sea tomada en consideracin. Normalmente, un auditor de SI no se retractar o
revisar automticamente el hallazgo.
El propsito PRIMARIO de una auditora forense de TI es:
A. Participar en investigaciones relacionadas con fraude corporativo.

B. la recopilacin sistemtica de pruebas despus de una irregularidad del sistema.

C. para evaluar la correccin de los estados financieros de una organizacin.

D. Determinar que ha habido actividad delictiva.

La respuesta correcta es b.

La opcin B describe mejor una auditora forense. Las pruebas reunidas podran entonces
ser utilizadas en procedimientos judiciales. Las auditoras forenses no se limitan al fraude
corporativo. Evaluar la correccin de los estados financieros de una organizacin no es el
propsito de una auditora forense. Llegar a una conclusin sobre la actividad delictiva sera
parte de un proceso legal y no el objetivo de una auditora forense.
Cul de los siguientes efectos debera tener prioridad en la planificacin del
alcance y los objetivos de una auditora de SI?
A. Requisitos legales aplicables

B. Normas corporativas aplicables

C. Prcticas recomendadas de la industria aplicable

D. Polticas y procedimientos organizativos

La respuesta correcta es la A.

A. El efecto de los requisitos legales aplicables debe tenerse en cuenta al planificar una
auditora de SI-el auditor de SI no tiene opciones a este respecto porque no puede haber
limitacin de alcance con respecto a los requisitos legales.

B. Los requisitos legales siempre tienen prioridad sobre las normas corporativas.

C. Las mejores prcticas de la industria ayudan a planificar una auditora; Sin embargo, las
mejores prcticas no son obligatorias y pueden desviarse para cumplir con los objetivos de
la organizacin.

D. Las polticas y los procedimientos de la organizacin son importantes, pero los requisitos
legales siempre tienen prioridad.
Un auditor de SI revisa un organigrama PRIMERO para:
A. una comprensin de los flujos de trabajo.

B. investigar diversos canales de comunicacin.

C. Comprender las responsabilidades y la autoridad de las personas.

D. investigar la red conectada a diferentes empleados.

La respuesta correcta es c.

Un organigrama proporciona informacin sobre las responsabilidades y la autoridad de los


individuos en la organizacin. Esto ayuda a un auditor de SI a saber si existe una
segregacin adecuada de funciones. Un diagrama de flujo de trabajo proporcionara
informacin sobre las funciones de diferentes empleados. Un diagrama de red
proporcionar informacin sobre el uso de varios canales de comunicacin e indicar la
conexin de los usuarios a la red
Durante una auditora de cumplimiento de un banco pequeo, el auditor de SI
observa que tanto las funciones de TI como las de contabilidad estn siendo
realizadas por el mismo usuario del sistema financiero. Cul de las siguientes
revisiones conducidas por un supervisor representara el MEJOR control de
compensacin?
A. Rutas de auditora que muestran la fecha y hora de la transaccin

B. Un informe diario resumido con los nmeros totales y los montos en dlares de cada
transaccin

C. Administracin de cuentas de usuario


D. Archivos de registro de computadora que muestran transacciones individuales en el
sistema financiero

La respuesta correcta es d.

Los registros informticos registrarn las actividades de las personas durante su acceso a
un sistema informtico o archivo de datos y registrarn cualquier actividad anormal, como
la modificacin o supresin de datos financieros. Una pista de auditora de slo la fecha y
hora de la transaccin no sera suficiente para compensar el riesgo de mltiples funciones
que est siendo realizado por el mismo individuo. El examen de los informes financieros
resumidos no compensara la cuestin de la separacin de derechos. La revisin del
supervisor de la administracin de la cuenta de usuario sera un buen control; Sin embargo,
puede no detectar actividades inapropiadas.
Un auditor de SI desea determinar el nmero de rdenes de compra no
aprobadas apropiadamente. Cul de las siguientes tcnicas de muestreo debe
utilizar un auditor de SI para sacar tales conclusiones?
A. Atributo

B. Variable

C. Stop-or-go

D. Sentencia

La respuesta correcta es la A.

A. El muestreo de atributos se utiliza para probar la conformidad de las transacciones con


los controles, en este caso, la existencia de la aprobacin apropiada.

B. El muestreo variable se utiliza en las situaciones de pruebas sustantivas y se ocupa de


las caractersticas de la poblacin que varan, como los valores monetarios y los pesos.

C. El muestreo stop-or-go se usa cuando la tasa de ocurrencia esperada es


extremadamente baja.

D. El muestreo del juicio no es relevante aqu. Se refiere a un enfoque subjetivo para


determinar el tamao de la muestra y los criterios de seleccin de los elementos de la
muestra.
Cul de los siguientes MEJORES describe el objetivo de un auditor de SI que
discute los hallazgos de la auditora con el auditado?
A. Comunicar los resultados de la auditora a la alta direccin.

B. Elaborar plazos para la aplicacin de las recomendaciones sugeridas.

C. Confirmar las conclusiones y desarrollar un curso de accin correctiva.

D. Identificar controles compensatorios para el riesgo identificado.

La respuesta correcta es c.
Antes de comunicar los resultados de una auditora a la alta direccin, el auditor de SI debe
discutir los hallazgos con el auditado. El objetivo de esta discusin es confirmar la exactitud
de los hallazgos y desarrollar un curso de accin correctiva. Sobre la base de esta
discusin, el auditor de SI finalizar el informe y presentar el informe a los niveles
relevantes de la alta direccin. Sobre la base de discusiones con la alta gerencia / el comit
de auditora, el auditor de SI puede acordar desarrollar un plan de implementacin para las
recomendaciones sugeridas, junto con los plazos. En la fase preliminar del informe, la
discusin con el auditado rara vez se utilizara para identificar controles compensatorios
Cul de las siguientes tcnicas de auditora es la ms adecuada para un negocio
minorista con un gran volumen de transacciones para abordar el riesgo
emergente de forma proactiva?
A. Uso de Tcnicas de Auditora Asistida por Ordenador (CAAT)

B. Autoevaluacin del control

C. Muestreo de registros de transacciones

D. Auditora continua

La respuesta correcta es d.

La implementacin de la auditora continua permite un feed en tiempo real de informacin


a la administracin a travs de procesos de informes automatizados para lograr una
implementacin ms rpida de las acciones correctivas de la administracin. El uso de
herramientas de software como CAAT para analizar datos de transacciones puede
proporcionar un anlisis detallado de las tendencias y el riesgo potencial, pero no es tan
efectivo como la auditora continua, ya que puede haber un diferencial de tiempo entre la
ejecucin del software y el anlisis de los resultados. La autoevaluacin de control ayuda a
los propietarios de procesos a evaluar el entorno de control y los educa en el diseo y
monitoreo del control. El muestreo de registros de transacciones es una tcnica de
auditora vlida; Sin embargo, puede existir riesgo que no se captura en el registro de
transacciones y puede haber un retraso potencial en el anlisis
Un auditor de SI que realice una revisin de los controles de la aplicacin
A. la eficiencia de la aplicacin en el cumplimiento de los procesos de negocio.

B. impacto de cualquier exposicin descubierta.

C. los procesos de negocio atendidos por la aplicacin.

D. optimizacin de la aplicacin.

La respuesta correcta es b.

Una revisin de control de aplicaciones implica la evaluacin de los controles


automatizados de la aplicacin y una evaluacin de cualquier exposicin resultante de las
debilidades de control. Las otras opciones pueden ser objetivos de una auditora de
aplicaciones, pero no son parte de una auditora restringida a una revisin de controles.
Un auditor de SI desea analizar pistas de auditora en servidores crticos para
descubrir anomalas potenciales en el comportamiento del usuario o del sistema.
Cul de los siguientes es el ms adecuado para realizar esa tarea?
A. Herramientas de ingeniera de software asistida por ordenador (CASE)
B. Herramientas integradas de recopilacin de datos

C. Herramientas de deteccin de tendencias y variaciones

D. Herramientas de exploracin heursticas

La respuesta correcta es c.

Las herramientas de deteccin de tendencias / variaciones buscan anomalas en el


comportamiento del usuario o del sistema, como facturas con nmeros de factura cada vez
mayores. Las herramientas CASE se utilizan para ayudar en el desarrollo de software. El
software de recopilacin de datos incorporado (auditora), como el archivo de revisin de
auditora de control de sistemas (SCARF) o el archivo de revisin de auditora de sistemas
(SARF), se utiliza para proporcionar estadsticas de muestreo y produccin, pero no para
realizar un anlisis de registro de auditora. Las herramientas de exploracin heursticas son
un tipo de anlisis de virus utilizado para indicar posibles cdigos infectados.
Para asegurar que los recursos de auditora ofrezcan el mejor valor a la
organizacin, el PRIMER paso sera:
A. programar las auditoras y monitorear el tiempo empleado en cada auditora.

B. capacitar al personal de auditora de SI sobre la tecnologa actual utilizada en la


empresa.

C. elaborar el plan de auditora sobre la base de una evaluacin de riesgos detallada.

D. monitorear el progreso de las auditoras e iniciar medidas de control de costos

La respuesta correcta es c.

La supervisin del tiempo (opcin A) y los programas de auditora (opcin D), as como la
capacitacin adecuada (opcin B), mejorarn la productividad del personal de auditora de
SI (eficiencia y desempeo), pero lo que aporta valor a la organizacin son los recursos y
Dedicado a las reas de mayor riesgo.
Se le ha pedido a un auditor de SI que revise los controles de seguridad de un
sistema crtico de pedido basado en la Web poco antes de la fecha de inicio de la
ejecucin programada. El auditor de SI lleva a cabo una prueba de penetracin
que produce resultados no concluyentes y las pruebas adicionales no pueden
concluirse antes de la fecha de finalizacin acordada para la auditora. Cul de
las siguientes es la mejor opcin para el auditor de SI?
A. Publicar un informe basado en la informacin disponible, destacando las debilidades de
seguridad potenciales y el requisito de las pruebas de auditora de seguimiento.

B. Publicar un informe omitiendo las reas donde la evidencia obtenida de la prueba no fue
concluyente.

C. Solicitar un retraso de la fecha de inicio hasta que se puedan completar pruebas de


seguridad adicionales y se puedan obtener pruebas de los controles apropiados.

D. Informar a la direccin de que el trabajo de auditora no se puede completar dentro del


plazo acordado y recomendar que se aplace la auditora.
La respuesta correcta es la A.

Si el auditor de SI no puede obtener garantas suficientes para un sistema crtico dentro del
plazo acordado, este hecho debe resaltarse en el informe de auditora y las pruebas de
seguimiento deben programarse para una fecha posterior. La gerencia podra entonces
determinar si alguna de las debilidades potenciales identificadas era suficientemente
significativa para retrasar la fecha de inicio del sistema. No es aceptable que el auditor de
SI ignore las reas de debilidad potencial porque no se pudo obtener evidencia concluyente
dentro del marco de tiempo de auditora acordado. Las normas de auditora y
aseguramiento de TI de ISACA se violaran si estas reas se omitieran del informe de
auditora. Extender el marco de tiempo para la auditora y retrasar la fecha de puesta en
marcha es poco probable que sea aceptable en este escenario donde el sistema
involucrado es crtico para la empresa. En cualquier caso, un retraso a la fecha de inicio de
sesin debe ser la decisin de la direccin de la empresa, no el auditor de SI. En este
escenario, el auditor de SI debe presentar a la direccin de la empresa toda la informacin
disponible en la fecha acordada. El no obtener evidencia suficiente en una parte de un
trabajo de auditora no justifica la cancelacin o el aplazamiento de la auditora; Esto
violara las directrices de auditora relativas a la diligencia debida y la atencin profesional.
Un auditor de SI sospecha que un incidente (ataque) est ocurriendo mientras se
est realizando una auditora en un sistema financiero. Qu debe hacer el
auditor de SI primero?
A. Solicitar que se cierre el sistema para preservar la evidencia.

B. Reportar el incidente a la gerencia.

C. Pedir la suspensin inmediata de las cuentas sospechosas.

D. Inmediatamente investigue la fuente y la naturaleza del incidente.

La respuesta correcta es b.

Informar el incidente sospechoso a la gerencia ayudar a iniciar el proceso de respuesta a


incidentes, que es la accin ms apropiada. La gerencia es responsable de tomar
decisiones con respecto a la respuesta apropiada. No es el papel del auditor de SI
responder a incidentes durante una auditora. Las otras opciones son acciones que deben
ser dirigidas por la gerencia durante la respuesta a incidentes.
La prctica de auditora ms eficaz para determinar si la efectividad operativa de
los controles se aplica correctamente al procesamiento de transacciones es:
A. Control de pruebas de diseo.

B. pruebas sustantivas.

C. Inspeccin de la documentacin pertinente.

D. Distribucin de un cuestionario.

La respuesta correcta es b.
A. Las pruebas de diseo de control evalan si el control est estructurado para cumplir con
un objetivo de control especfico. No ayuda a determinar si el control funciona de manera
efectiva.

B. Entre otros mtodos, como la revisin de documentos o los ensayos de control, los
procedimientos ms eficaces para evaluar si los controles apoyan con exactitud la eficacia
operativa.

C. Los documentos de control pueden no siempre describir el estado real de una manera
precisa. Por lo tanto, los auditores que dependen de la revisin de documentos tienen
garantas limitadas de que el control est funcionando como estaba previsto.

D. Puede utilizarse un cuestionario en la fase inicial del anlisis de control para dar a los
auditores una amplia comprensin del entorno general de control
Cuando se descubren problemas de rendimiento durante una evaluacin de la
red de la organizacin, la manera MS eficiente para que el auditor de SI proceda
es examinar lo siguiente:
A. los controles antivirus que se han puesto en su lugar.

B. protocolos utilizados en la red.

C. topologa de red.

D. Configuracin de dispositivos de red.

La respuesta correcta es c.

Al revisar la topologa de red, el auditor de SI puede obtener rpidamente una perspectiva


de alto nivel de posibles puntos de falla o cuellos de botella. El auditor de SI se dirigir a
reas especficas de la red que pueden requerir un anlisis ms detallado. Las otras
opciones requieren ms tiempo para evaluar y son secundarias a la comprensin de la
arquitectura general de la red
Un auditor de SI utiliza tcnicas de auditora asistida por computadora (CAATs)
para recopilar y analizar datos. Cul de los siguientes atributos de evidencia es
MS afectado por el uso de CAATs?
A. Utilidad

B. Fiabilidad

C. Pertinencia

D. Adecuacin

La respuesta correcta es b.

A. La utilidad de la evidencia de auditora sacada por CAATs est determinada por el


objetivo de la auditora, y el uso de CAATs no tiene como directo de un impacto sobre la
utilidad como lo hace la fiabilidad.

B. Debido a que los datos son recopilados directamente por el auditor de SI, los resultados
de la auditora pueden ser reportados con nfasis en la confiabilidad de los registros que se
producen y se mantienen en el sistema. La fiabilidad de la fuente de informacin utilizada
proporciona seguridad sobre los resultados generados.

C. La relevancia de las pruebas de auditora obtenidas por las CAATs est determinada por
el objetivo de la auditora y el uso de las CAAT no tiene como directa un impacto sobre la
relevancia como lo hace la fiabilidad.

D. La idoneidad de la evidencia de auditora obtenida por las CAATs est determinada por
los procesos y el personal que autorizan los datos, y el uso de CAATs no tiene ningn
impacto en la competencia.
Un auditor de SI que entrevista a un empleado de la nmina de pago encuentra
que las respuestas no apoyan descripciones de trabajo y procedimientos
documentados. En estas circunstancias, el auditor de SI debe:
A. concluyen que los controles son inadecuados.

B. Ampliar el alcance para incluir pruebas sustantivas.

C. confiar ms en auditoras anteriores.

D. suspender la auditora.

La respuesta correcta es b.

Si las respuestas a las preguntas de un auditor de SI no son confirmadas por


procedimientos documentados o descripciones de puestos, el auditor de SI debe ampliar el
alcance de la prueba de los controles e incluir pruebas sustantivas adicionales. Basndose
nicamente en la entrevista con el empleado de nmina, el auditor de SI no podr recopilar
pruebas para concluir sobre la idoneidad de los controles existentes (opcin A). La
confianza en las auditoras anteriores (opcin C) y la suspensin de la auditora (opcin D)
son acciones inapropiadas porque no proporcionan ningn conocimiento actual de la
idoneidad de los controles existentes.
Las medidas correctivas han sido tomadas por un auditado inmediatamente
despus de la identificacin de un hallazgo notificable. El auditor debe
A. incluir el hallazgo en el informe final, porque el auditor de SI es responsable de un
informe preciso de todos los hallazgos.

B. No incluir la conclusin en el informe final, ya que el informe de auditora debe incluir


slo hallazgos no resueltos.

C. No incluya la conclusin en el informe final, ya que las medidas correctivas pueden ser
verificadas por el auditor de SI durante la auditora.

D. incluir el hallazgo en la reunin de clausura para propsitos de discusin solamente.

La respuesta correcta es la A.

Incluir el hallazgo en el informe final es una prctica de auditora generalmente aceptada.


Si una accin es tomada despus de que la auditora comenz y antes de que terminara, el
informe de auditora debe identificar el hallazgo y describir la accin correctiva tomada. Un
informe de auditora debe reflejar la situacin, tal como exista al inicio de la auditora.
Todas las acciones correctivas tomadas por el auditado deben ser reportadas por escrito
La razn MS importante para que un auditor de SI obtenga evidencia de
auditora suficiente y apropiada es:
A. cumplir con los requisitos reglamentarios.

B. proporcionar una base para extraer conclusiones razonables.

C. asegurar la cobertura completa de la auditora.

D. realizar la auditora de acuerdo con el alcance definido.

La respuesta correcta es b.

El alcance de una auditora de SI se define por sus objetivos. Esto implica identificar
deficiencias de control relevantes para el alcance de la auditora. La obtencin de pruebas
suficientes y apropiadas ayuda al auditor no slo a identificar las debilidades de control,
sino tambin a documentarlas y validarlas. Cumplir con los requisitos reglamentarios,
asegurar la cobertura y la ejecucin de la auditora son todos relevantes para una auditora,
pero no son la razn por la cual se requiere evidencia suficiente y relevante.
Al planificar una auditora, el paso ms importante es la identificacin de:
A. reas de alto riesgo.

B. conjuntos de habilidades del personal de auditora.

C. pasos de prueba en la auditora.

D. tiempo asignado para la auditora.

La respuesta correcta es la A.

Al disear un plan de auditora, es importante identificar las reas de mayor riesgo para
determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora
deberan haber sido considerados antes de decidir y seleccionar la auditora. Los pasos de
prueba para la auditora no son tan crticos como identificar las reas de riesgo, y el tiempo
asignado para una auditora es determinado por las reas a ser auditadas, que se
seleccionan principalmente sobre la base de la identificacin del riesgo.
Un auditor de SI descubre que los dispositivos conectados a la red no han sido
incluidos en un diagrama de red que se haba utilizado para desarrollar el
alcance de la auditora. El director de informacin (CIO) explica que el diagrama
se est actualizando y esperando su aprobacin final. El auditor de SI debe
FIRST:
A. Expanda el alcance de la auditora de SI para incluir los dispositivos que no estn en el
diagrama de red.

B. evaluar el impacto de los dispositivos indocumentados en el alcance de la auditora.

C. Observe una deficiencia de control porque el diagrama de red no se ha actualizado.

D. planificar las auditoras de seguimiento de los dispositivos indocumentados.

La respuesta correcta es b.
En un enfoque basado en el riesgo de una auditora de SI, el alcance est determinado por
el impacto que los dispositivos tendrn en la auditora. Si los dispositivos indocumentados
no afectan el alcance de la auditora, pueden ser excluidos de la auditora actual. La
informacin proporcionada en un diagrama de red puede variar dependiendo de lo que se
est ilustrando -por ejemplo, la capa de red, conexiones cruzadas, etc. Es importante que el
auditor de SI no asuma inmediatamente que todo en el diagrama de red proporciona
informacin sobre el riesgo Afectando a una red / sistema. Existe un proceso para
documentar y actualizar el diagrama de red. En este caso, simplemente hay un desajuste
en el tiempo transcurrido entre la finalizacin del proceso de aprobacin y cuando se inici
la auditora de SI. No hay deficiencia de control a ser reportada. La planificacin de las
auditoras de seguimiento de los dispositivos indocumentados depende del riesgo que
tienen los dispositivos indocumentados sobre la capacidad de la entidad para cumplir con
el alcance de la auditora.
Al evaluar el efecto colectivo de los controles preventivos, detectives y
correctivos dentro de un proceso, un auditor de SI debe ser consciente de cul de
los siguientes?
A. El punto en el cual los controles se ejercen como flujo de datos a travs del sistema

B. Slo los controles preventivos y de deteccin son relevantes

C. Los controles correctivos slo pueden considerarse compensadores

D. Clasificacin permite que un auditor de SI determine qu controles estn ausentes

La respuesta correcta es la A.

Un auditor de SI debe centrarse en cuando los controles se ejercen como flujo de datos a
travs de un sistema informtico. La opcin B es incorrecta ya que los controles correctivos
tambin pueden ser relevantes. La opcin C es incorrecta porque los controles correctivos
eliminan o reducen los efectos de errores o irregularidades y no se consideran
exclusivamente como controles compensatorios. La eleccin D es incorrecta e irrelevante,
porque la existencia y la funcin de los controles es importante, no la clasificacin.
En el curso de realizar un anlisis de riesgo, un auditor de SI ha identificado
amenazas e impactos potenciales. A continuacin, el auditor de SI debe:
A. Identificar y evaluar el proceso de evaluacin de riesgos utilizado por la administracin.

B. Identificar los activos de informacin y los sistemas subyacentes.

C. divulgar las amenazas y los impactos a la gerencia.

D. identificar y evaluar los controles existentes.

La respuesta correcta es d.

Es importante que un auditor de SI identifique y evale los controles y la seguridad


existentes una vez que se identifiquen las amenazas potenciales y los posibles impactos. Al
finalizar una auditora, un auditor de SI debe describir y discutir con la administracin las
amenazas y los impactos potenciales sobre los activos
Diagramas de flujo de datos son utilizados por los auditores de SI para:
A. ordenar los datos de forma jerrquica.
B. resaltar las definiciones de datos de alto nivel.

C. resumir grficamente rutas de datos y almacenamiento.

D. describir detalles paso a paso de la generacin de datos

La respuesta correcta es c.

Los diagramas de flujo de datos se usan como ayudas para graficar o trazar el flujo y el
almacenamiento de datos. Trazan los datos desde su origen hasta el destino, destacando
los caminos y el almacenamiento de datos. No ordenan datos en ninguna jerarqua. El flujo
de los datos no necesariamente coincide con ninguna jerarqua o orden de generacin de
datos
Cul de las siguientes sera la tcnica de auditora ms eficaz para identificar las
violaciones de segregacin de funciones en una nueva implementacin de
planificacin de recursos empresariales (ERP)?
A. Examen de un informe sobre las garantas reales en el sistema

B. Revisar las complejidades de los objetos de autorizacin

C. Construir un programa para identificar conflictos en la autorizacin

D. Examen de casos recientes de violacin de derechos de acceso

La respuesta correcta es c.

Dado que el objetivo es identificar violaciones en la segregacin de funciones, es necesario


definir la lgica que identificar los conflictos en la autorizacin. Se podra desarrollar un
programa para identificar estos conflictos. Un informe sobre las garantas reales en el
sistema ERP sera voluminoso y requerira mucho tiempo para ser revisado; Por lo tanto,
esta tcnica no es tan eficaz como la construccin de un programa. A medida que aumenta
la complejidad, se hace ms difcil verificar la eficacia de los sistemas y la complejidad no
es, en s misma, un vnculo con la segregacin de los deberes. Es una buena prctica
revisar los casos recientes de violacin de derechos de acceso; Sin embargo, puede
requerir una cantidad significativa de tiempo para identificar verdaderamente cules
violaciones realmente resultaron de una segregacin inadecuada de deberes.
Una funcin interna de auditora de SI est planificando una auditora general de
SI. Cul de las siguientes actividades tiene lugar durante el PRIMER paso de la
fase de planificacin?
A. Desarrollo de un programa de auditora

B. Revisin de la carta de auditora

C. Identificacin de los principales propietarios de la informacin

D. Realizacin de una evaluacin de riesgos

La respuesta correcta es d.
A. Los resultados de la evaluacin de riesgos se usan para los aportes al programa de
auditora.

B. La carta de auditora se prepara cuando se establece el departamento de auditora o


cuando se necesitan actualizaciones. La creacin de la carta de auditora no est
relacionada con la fase de planificacin de auditora porque forma parte de la estructura de
gobierno de la auditora interna que proporciona independencia para la funcin.

C. Se debe realizar una evaluacin del riesgo antes de identificar a los principales
propietarios de la informacin. Los propietarios de informacin clave generalmente no
participan directamente durante el proceso de planificacin de una auditora.

D. Debera realizarse una evaluacin del riesgo para determinar cmo se asignarn los
recursos de auditora interna para asegurar que se abordarn todos los temas materiales.
El departamento de auditora interna de una organizacin ha desarrollado y
mantenido un lenguaje de scripting para propsitos de auditora continua. Estos
guiones se proporcionaron a la administracin de TI para fines de monitoreo
continuo. Esta situacin dio lugar a un posible conflicto relacionado con la
independencia y la objetividad del auditor. Cul de las siguientes acciones BEST
resolvera este problema?
R. El equipo de auditora interna debera dejar de compartir los scripts para que la
administracin de TI desarrolle sus propios scripts.

B. Dado que la supervisin continua y la auditora continua son funciones similares, la


administracin de TI debe asignar las tareas de monitoreo continuo al departamento de
auditora interna.

C. La administracin de TI debe seguir utilizando los scripts para propsitos de monitoreo


continuo, entendiendo que es responsable de probar y mantener los scripts que usa.

D. El equipo de auditora interna debe revisar las reas donde se usan estos guiones y
reducir el alcance y la frecuencia de auditora para esas reas.

La respuesta correcta es c.

La situacin descrita es de independencia profesional. Las personas dentro del


departamento de auditora de SI que desarrollaron el lenguaje de secuencias de comandos
no deben auditar la efectividad de las secuencias de comandos por un perodo de tiempo
razonable. Aparte de los guiones reales, los auditores de SI son libres de auditar el proceso
de monitoreo porque el proceso no fue prescrito ni recomendado por el departamento de
auditora. El monitoreo continuo es una responsabilidad de la administracin de TI y no
puede ser entregado al equipo de auditora interna. La auditora continua es una funcin
del equipo de auditora y no es un sustituto de la supervisin continua. Por otra parte, el
equipo de auditora interna no puede asumir que sus guiones estn siendo utilizados
adecuadamente por la administracin de TI o que sus scripts no han sido modificados, lo
que podra dar resultados errneos. El simple hecho de reducir el alcance y la frecuencia de
la auditora en las reas donde se utiliza un monitoreo continuo no implica una auditora
basada en el riesgo y es inapropiada.
Cul de los siguientes es el paso ms crtico a realizar al planear una auditora
de SI?
A. Revisar los resultados de las auditoras anteriores.
B. Desarrollar planes para realizar una revisin de la seguridad fsica de la instalacin del
centro de datos.

C. Revisar las polticas y procedimientos de seguridad de IS.

D. Realizar una evaluacin de riesgos.

La respuesta correcta es d.

De todos los pasos enumerados, realizar una evaluacin del riesgo es el ms crtico. La
evaluacin de riesgos es requerida por ISACA IT Auditora y Estndar de Aseguramiento S11
(Uso de la Evaluacin de Riesgo en Planificacin de Auditora). Adems de los requisitos de
las normas, si no se realiza una evaluacin del riesgo, es posible que las reas de alto
riesgo de los sistemas o operaciones de la entidad auditada no estn identificadas para su
evaluacin. El riesgo de deteccin (el riesgo de que el auditor de SI no detecte un error
material) se incrementa para el auditor de SI si no se realiza una evaluacin de riesgo. La
revisin de los resultados de las auditoras previas es una parte necesaria del compromiso,
pero este paso no es tan crtico como la realizacin de una evaluacin del riesgo. Una
revisin de seguridad fsica de la instalacin del centro de datos es importante, pero no tan
importante como realizar una evaluacin de riesgo. La revisin de las polticas y
procedimientos de seguridad de IS se llevara a cabo normalmente durante el trabajo de
campo, no la planificacin.
Un auditor de SI que lleva a cabo una revisin del uso y licencia del software
descubre que numerosas PC contienen software no autorizado. Cul de las
siguientes acciones debe tomar el auditor de SI?
A. Elimine todas las copias del software no autorizado.

B. Informar al auditado del software no autorizado y realizar un seguimiento para confirmar


su eliminacin.

C. Reportar el uso del software no autorizado y la necesidad de prevenir la recurrencia a la


administracin de la entidad auditada.

D. Avisar a los usuarios finales sobre el riesgo de usar software ilegal

La respuesta correcta es c.

El uso de software no autorizado o ilegal debe ser prohibido por una organizacin. La
piratera de software resulta en la exposicin y puede resultar en multas severas. Un
auditor de SI debe convencer al usuario y usuario de la gestin del riesgo y la necesidad de
eliminar el riesgo. Un auditor de SI no debe asumir el papel de oficial de cumplimiento y
asumir cualquier participacin personal en la eliminacin o eliminacin del software no
autorizado
El equipo de auditora interna est auditando los controles sobre las ventas y
est preocupado por el fraude. Cul de los siguientes mtodos de muestreo
BEST ayudara a los auditores?
A. Stop-or-go

B. Variable clsica

C. Descubrimiento
D. Probabilidad-proporcional-a-tamao

La respuesta correcta es c.

El muestreo de descubrimiento se utiliza cuando un auditor est tratando de determinar si


un tipo de evento ha ocurrido y, por lo tanto, es adecuado para evaluar el riesgo de fraude
e identificar si se ha producido una sola ocurrencia. Stop-or-go es un mtodo de muestreo
que ayuda a limitar el tamao de una muestra y permite detener la prueba lo antes posible.
El muestreo de variables clsicas se asocia con cantidades en dlares. Probablemente, el
muestreo proporcional al tamao suele estar asociado con el muestreo de grupos cuando
hay grupos dentro de una muestra. La pregunta no indica que un auditor de SI est
buscando un umbral de fraude.
Durante una entrevista de salida, en los casos en que hay desacuerdo con
respecto al impacto de un hallazgo, un auditor de SI debe
A. Pida al auditado que firme un formulario de liberacin que acepta la responsabilidad
legal.

B. Explicar la importancia de la conclusin y el riesgo de no corregirla.

C. reportar el desacuerdo al comit de auditora para su resolucin.

D. aceptar la posicin del auditado, ya que son los propietarios del proceso.

La respuesta correcta es b.

Si el auditado no est de acuerdo con el impacto de un hallazgo, es importante que el


auditor de SI elabore y aclare el riesgo y las exposiciones, ya que el auditado puede no
apreciar completamente la magnitud de la exposicin. El objetivo debe ser iluminar al
auditado o descubrir nueva informacin de la cual un auditor de SI puede no haber sido
consciente. Cualquier cosa que aparente amenazar al auditado disminuir las
comunicaciones efectivas y establecer una relacin de antagonismo. Del mismo modo, un
auditor de SI no debe estar de acuerdo automticamente slo porque el auditado exprese
un punto de vista alternativo.
Las decisiones y acciones de un auditor de SI son las ms susceptibles de
afectar a cul de los siguientes tipos de riesgo?
A. Inherente

B. Deteccin

C. Control

D. Negocios

La respuesta correcta es b.

El riesgo de deteccin se ve afectado directamente por la seleccin del auditor de SI de


procedimientos y tcnicas de auditora. El riesgo inherente no suele ser afectado por un
auditor de SI. El control de riesgos puede ser mitigado por las acciones de la direccin de la
empresa. El riesgo de negocio normalmente no es afectado directamente por un auditor de
SI.
Al realizar una investigacin forense de computadoras, con respecto a la
evidencia reunida, un auditor de SI debe estar ms preocupado por:
A. Anlisis.

B. Evaluacin.

C. preservacin.

D. divulgacin.

La respuesta correcta es c.

La preservacin y documentacin de las pruebas para su revisin por parte de las


autoridades policiales y judiciales son de primordial preocupacin cuando se lleva a cabo
una investigacin. El hecho de no conservar debidamente las pruebas podra poner en
peligro la aceptacin de las pruebas en los procedimientos judiciales. El anlisis, la
evaluacin y la divulgacin son importantes pero no son de inters primordial en una
investigacin forense.
Un auditor de SI est revisando una aplicacin de software que se basa en los
principios de arquitectura orientada a servicios (SOA). Cul es el MEJOR primer
paso?
A. Comprender los servicios y su asignacin a los procesos empresariales revisando la
documentacin del repositorio de servicios.

B. Muestreo del uso de estndares de seguridad de servicio como lo representa el SAML


(Security Assertions Markup Language).

C. Revisin de los acuerdos de nivel de servicio (SLA).

D. Auditar cualquier servicio nico y sus dependencias con otros

La respuesta correcta es la A.

Una SOA se basa en los principios de un entorno distribuido en el que los servicios
encapsulan la lgica empresarial como una caja negra y pueden combinarse
deliberadamente para representar los procesos empresariales del mundo real. Antes de
revisar los servicios en detalle, es esencial que el auditor de SI comprenda el mapeo de los
procesos de negocio a los servicios. Las opciones B y C no son correctas, ya que el
muestreo del uso de los estndares de seguridad de servicio, tal como lo representa el
SAML y la revisin de los SLAs, son pasos esenciales de seguimiento para entender los
servicios y su asignacin a las empresas. La opcin D no es correcta porque la auditora de
cualquier servicio nico y sus dependencias con otros sera muy lenta y no es la forma
estndar de iniciar una auditora SOA.
Al auditar los procedimientos de aprovisionamiento del sistema de
administracin de identidad (IDM) de una organizacin grande, un auditor de SI
encuentra inmediatamente un nmero pequeo de solicitudes de acceso que no
haban sido autorizadas por los administradores a travs de los pasos de flujo de
trabajo predefinidos normales y las reglas de escalamiento. El auditor de SI
debe:
A. Realizar un anlisis adicional.

B. reportar el problema al comit de auditora.

C. realizar una evaluacin del riesgo de seguridad.

D. Recomiendo que el propietario del sistema IDM corrija los problemas de flujo de trabajo.

La respuesta correcta es la A.

El auditor de SI necesita realizar pruebas sustantivas y un anlisis adicional para


determinar por qu los procesos de aprobacin y flujo de trabajo no funcionan como se
pretende. Antes de hacer cualquier recomendacin, el auditor de SI debe obtener una
buena comprensin del alcance del problema y qu factores causaron este incidente. El
auditor de SI debe identificar si el problema fue causado por administradores que no
siguieron los procedimientos, por un problema con el flujo de trabajo del sistema
automatizado o por una combinacin de ambos. Las otras opciones no son correctas porque
el auditor de SI no tiene suficiente informacin para informar del problema, realizar una
evaluacin de riesgos o recomendar la fijacin de los problemas de flujo de trabajo.
Un auditor de SI est validando un control que implica una revisin de los
informes de excepcin generados por el sistema. Cul de las siguientes es la
MEJOR evidencia de la efectividad del control?
A. Repasar con el revisor de la operacin del control

B. Informes de excepcin generados por el sistema para el perodo de revisin con la firma
del revisor

C. Una muestra de informe de excepcin generado por el sistema para el perodo de


examen, con elementos de seguimiento indicados por el revisor

D. Confirmacin por parte de la administracin de la eficacia del control para el perodo


examinado

La respuesta correcta es c.

La opcin C representa la mejor evidencia posible del funcionamiento efectivo del control
porque el revisor ha documentado las acciones que deben tomarse basndose en la
revisin del informe de excepcin. Un paseo a travs de resaltar cmo un control est
diseado para trabajar, pero rara vez resalta excepciones o restricciones en el proceso. La
aprobacin del revisor no demuestra necesariamente la efectividad del control si el revisor
no toma nota de las acciones de seguimiento de las excepciones identificadas. La
confirmacin de la administracin de la efectividad del control sufre de falta de
independencia-el manejo podra estar sesgado hacia la efectividad de los controles puestos
en marcha
Durante la recoleccin de pruebas forenses, cul de las siguientes acciones
probablemente resultara en la destruccin o corrupcin de evidencia en un
sistema comprometido?
A. Volcar el contenido de la memoria a un archivo

B. Generacin de imgenes de disco del sistema comprometido


C. Reinicio del sistema

D. Extraccin del sistema de la red

La respuesta correcta es c.

Reiniciar el sistema puede resultar en un cambio en el estado del sistema y la prdida de


archivos e importantes pruebas almacenadas en la memoria. Las otras opciones son
acciones apropiadas para preservar la evidencia.

La razn PRIMARIA por la que un auditor de SI realiza un walk-through funcional


durante la fase preliminar de una tarea de auditora es
A. entender el proceso de negocio.

B. cumplir con las normas de auditora.

C. identificar la debilidad del control.

D. planificar pruebas sustantivas.

La respuesta correcta es la A.

Comprender el proceso de negocio es el primer paso que un auditor de SI necesita realizar.


Las normas de auditora y aseguramiento de TI de ISACA alientan la adopcin de los
procedimientos / procesos de auditora necesarios para ayudar al auditor de SI a realizar
auditoras de SI con mayor eficacia. Sin embargo, los estndares no requieren que un
auditor de SI realice una revisin del proceso al comienzo de un trabajo de auditora. La
identificacin de las debilidades de control no es la principal razn para el paso a travs y
normalmente ocurre en una etapa posterior de la auditora. La planificacin de las pruebas
sustantivas se realiza en una etapa posterior de la auditora.
Un auditor de SI est evaluando la evaluacin de riesgos de la administracin de
los sistemas de informacin. El auditor de SI debe revisar FIRST
A. los controles ya existentes.

B. la eficacia de los controles en su lugar.

C. el mecanismo de seguimiento del riesgo relacionado con los activos.

D. las amenazas / vulnerabilidades que afectan a los activos.

La respuesta correcta es d.

Uno de los factores clave a considerar al evaluar el riesgo relacionado con el uso de varios
sistemas de informacin son las amenazas y vulnerabilidades que afectan a los activos. El
riesgo relacionado con el uso de los activos de informacin debe evaluarse
independientemente de los controles instalados. Del mismo modo, la efectividad de los
controles debe ser considerada durante la etapa de mitigacin del riesgo y no durante la
fase de evaluacin del riesgo. Debe establecerse un mecanismo para monitorear
continuamente el riesgo relacionado con los activos durante la funcin de monitoreo de
riesgos que sigue a la fase de evaluacin del riesgo.
Cul de las siguientes es la consideracin MS importante antes de emitir un
informe de auditora?
A. Suficiencia de las pruebas para apoyar las conclusiones sobre los controles

B. Examen del proyecto de informe con la administracin de la entidad auditada

C. Lista de partes interesadas para la distribucin de informes

D. Determinacin de si se excluyen los resultados que tienen menos impacto en la


organizacin

La respuesta correcta es la A.

A. El informe de auditora contiene los hallazgos de la auditora. El contenido y la estructura


del informe se definen segn el tipo de auditora. El auditor debe asegurarse de que se
recopilan pruebas suficientes antes de concluir las conclusiones.

B. El auditor debe discutir el borrador del informe con la gerencia de la entidad auditada.
Durante las discusiones, el auditor puede necesitar proporcionar detalles de la evidencia
sobre las conclusiones.

C. El auditor debe distribuir el informe a las partes interesadas de acuerdo con la carta de
auditora en lugar de basarse en el inters de las partes interesadas.

D. Todas las conclusiones deben incluirse en el informe de auditora.


Una compaa de servicios financieros tiene un sitio web utilizado por sus
agentes independientes para administrar sus cuentas de clientes. Durante una
revisin del acceso lgico al sistema, un auditor de SI advierte que los ID de
usuario son compartidos entre agentes. La accin ms apropiada para un auditor
de SI es:
A. informar al comit de auditora de que existe un problema potencial.

B. solicitar una revisin detallada de los registros de auditora para los identificadores en
cuestin.

C. documentar el hallazgo y explicar el riesgo de usar identificadores compartidos.

D. pngase en contacto con el administrador de seguridad para solicitar que los ID se


eliminen del sistema.

La respuesta correcta es c.

El papel del auditor de SI es detectar y documentar los hallazgos y controlar las


deficiencias. Parte del informe de auditora es explicar el razonamiento detrs de los
resultados. El uso de identificadores compartidos no se recomienda porque no permite la
rendicin de cuentas de las transacciones. Un auditor de SI no tiene pruebas de que se ha
producido una violacin de privacidad como resultado de los identificadores compartidos.
No es apropiado que un auditor de SI reporte los resultados al comit de auditora antes de
presentarlos a la gerencia para obtener una respuesta. La revisin de los registros de
auditora no sera til ya que los identificadores compartidos no proporcionan una rendicin
de cuentas individual. No es la funcin de un auditor de SI solicitar la eliminacin de los
identificadores del sistema.
Se ha asignado un auditor de SI que particip en el diseo del plan de
continuidad de negocios de una organizacin (BCP) para auditar el plan. El
auditor de SI debe:
A. rechazar la asignacin.

B. informar a la direccin del posible conflicto de intereses despus de completar la tarea


de auditora.

C. informar al equipo de planificacin de continuidad de negocio (BCP) del posible conflicto


de inters antes de comenzar la asignacin.

D. comunicar la posibilidad de conflicto de intereses a la direccin antes de iniciar la


asignacin

La respuesta correcta es d.

Comunicar la posibilidad de un conflicto de intereses a la gerencia antes de comenzar la


asignacin es la respuesta correcta. Un posible conflicto de intereses, que pueda afectar la
independencia del auditor de SI, debe ser llevado a la atencin de la gerencia antes de
comenzar la asignacin. La declinacin de la asignacin no es la respuesta correcta porque
la asignacin podra ser aceptada despus de obtener la aprobacin de la gerencia.
Informar a la direccin sobre el posible conflicto de intereses despus de completar la
asignacin de auditora no es correcto porque la aprobacin debe obtenerse antes del inicio
y no despus de la finalizacin de la asignacin. Informar al equipo del BCP sobre el posible
conflicto de intereses antes de comenzar la asignacin no es la respuesta correcta ya que
el equipo del BCP no tendra autoridad para decidir sobre este asunto
Un auditor de SI est realizando una auditora de una copia de seguridad del
servidor administrado de forma remota. El auditor de SI revisa los registros de
un da y encuentra un caso en el que se ha producido un error en el registro en
un servidor con el resultado de que los reinicios de copia de seguridad no se
pueden confirmar. Qu debe hacer el auditor de SI?
A. Emitir una constatacin de auditora.

B. Busque una explicacin de la gestin de SI.

C. Revise las clasificaciones de los datos almacenados en el servidor.

D. Expanda la muestra de registros revisados.

La respuesta correcta es d.

Las normas de auditora y aseguramiento de TI requieren que un auditor de SI recoja


evidencia de auditora suficiente y apropiada. El auditor de SI ha encontrado un problema
potencial y ahora necesita determinar si se trata de un incidente aislado o un fallo de
control sistemtico. En esta etapa es demasiado preliminar para emitir un hallazgo de
auditora y la bsqueda de una explicacin de la gestin es aconsejable, pero sera mejor
reunir pruebas adicionales para evaluar adecuadamente la gravedad de la situacin. Un
fallo de copia de seguridad, que no se ha establecido en este momento, ser grave si
implica datos crticos. Sin embargo, el problema no es la importancia de los datos en el
servidor, donde se ha detectado un problema, sino si existe un fallo de control sistemtico
que afecta a otros servidores.
Cul de las siguientes responsabilidades MOST probablemente comprometera
la independencia de un auditor de SI al revisar el proceso de administracin de
riesgos?
A. Participar en el diseo del marco de gestin de riesgos

B. Asesoramiento sobre diferentes tcnicas de implementacin

C. Facilitacin de la formacin en materia de sensibilizacin al riesgo

D. Realizar la debida diligencia de los procesos de gestin de riesgos

La respuesta correcta es la A.

Participar en el diseo del marco de gestin de riesgos implica disear controles que
comprometern la independencia del auditor de SI para auditar el proceso de gestin de
riesgos. Asesorar en diferentes tcnicas de implementacin no comprometer la
independencia del auditor porque el auditor de SI no estar involucrado en el proceso de
toma de decisiones. Facilitar la formacin de sensibilizacin no obstaculizar la
independencia del auditor de SI porque el auditor no participar en el proceso de toma de
decisiones. Las revisiones de diligencia debida son un tipo de auditora.
Se ha asignado un auditor de SI para realizar una prueba que compara los
registros de ejecucin de trabajos con los horarios de trabajo de la computadora.
Cul de las siguientes observaciones sera de la mayor preocupacin para el
auditor de SI?
R. Hay un nmero creciente de cambios de emergencia.

B. Hubo casos en que algunos trabajos no se completaron a tiempo.

C. Hubo casos en que algunos operadores fueron anulados por los operadores de
computadoras.

D. La evidencia muestra que slo se ejecutaron trabajos programados.

La respuesta correcta es c.

La superacin de los trabajos de procesamiento informtico por parte de los operadores de


computadoras podra dar lugar a cambios no autorizados en los datos o programas. Esta es
una preocupacin de control; Por lo tanto, siempre es crtico. Las otras opciones no son tan
crticas ya que problemas como el procesamiento de retrasos, errores o incluso cambios de
emergencia son aceptables siempre que estn debidamente documentados como parte del
proceso.
La administracin ha pedido a un auditor de SI que revise una transaccin
potencialmente fraudulenta. El foco PRIMARIO de un auditor de SI al evaluar la
transaccin debe ser:
A. Mantener la imparcialidad al evaluar la transaccin.

B. asegurar que se mantenga la independencia de un auditor de SI.

C. asegurar que se mantenga la integridad de la evidencia.


D. recoger todas las pruebas pertinentes para la transaccin.

La respuesta correcta es c.

Se ha pedido al auditor de SI que realice una investigacin para capturar pruebas que
puedan ser utilizadas con fines legales y por lo tanto, mantener la integridad de la
evidencia debe ser el objetivo principal. Las pruebas informticas mal manejadas estn
sujetas a ser declaradas inadmisibles en un tribunal de justicia. Aunque es importante que
un auditor de SI sea imparcial y mantenga la independencia, en este caso es ms crtico
que la evidencia sea preservada. Si bien tambin es importante reunir todas las pruebas
pertinentes, es ms importante mantener la cadena de custodia que garantice la integridad
de las pruebas.
Al realizar una auditora, un auditor de SI detecta la presencia de un virus. Cul
debe ser el prximo paso del auditor de SI?
A. Observe el mecanismo de respuesta.

B. Borre el virus de la red.

C. Informar inmediatamente al personal apropiado.

D. Asegurar la eliminacin del virus.

La respuesta correcta es c.

Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar a la


organizacin de su presencia, y luego esperar su respuesta. La opcin A debe tomarse
despus de la eleccin C. Esto permitir que un auditor de SI examine la efectividad real y
la efectividad del sistema de respuesta. Un auditor de SI no debe realizar cambios en el
sistema que se est auditando, y asegurar la eliminacin del virus es una responsabilidad
de la administracin.
Un auditor de SI est revisando el proceso realizado para la proteccin de la
evidencia digital. Cul de los siguientes hallazgos debera ser de mayor
preocupacin para el auditor de SI?
R. El propietario del sistema no estaba presente en el momento de la recuperacin de la
evidencia.

B. El sistema fue apagado por un investigador.

C. No hay registros documentados del transporte de evidencia.

D. No se realiz una copia de seguridad del contenido de la memoria de acceso aleatorio


(RAM).

La respuesta correcta es c.

Es muy importante que la evidencia sea manejada apropiadamente y nunca modificada


fsicamente o, ms importante, lgicamente. El objetivo de este proceso es ser capaz de
testificar verazmente en la corte que el investigador tcnico no modific los datos de
ninguna manera. Si el investigador no tiene suficiente evidencia manual o digital, la
defensa tratar de impedir la admisin de evidencia basada en el hecho de que fue
manipulada o modificada. Tenga en cuenta que los requisitos legales para la preservacin
de la evidencia digital pueden variar de un pas a otro, por lo que las leyes locales deben
tenerse en cuenta. El propietario del sistema puede estar presente en el momento de la
recuperacin de la evidencia, pero esto no es absolutamente necesario. En algunos casos,
el propietario podra ser objeto de la investigacin. En la mayora de los casos, se requiere
que el investigador apague la mquina para crear una imagen forense del disco duro, por lo
que este no es un problema. Antes de apagar la mquina, el investigador normalmente
fotografa lo que est en la pantalla del ordenador e identifica qu documentos estn
abiertos y cualquier otra informacin que pueda ser relevante. Es importante que el
investigador apague la mquina en lugar de realizar un procedimiento de apagado. Muchos
sistemas operativos realizan una limpieza de archivos temporales durante el apagado, lo
cual podra destruir pruebas valiosas. Tpicas tcnicas de investigacin forense no implican
copiar el estado del sistema de las computadoras de escritorio o porttiles, por lo que esta
no es la respuesta correcta.
Cules de los siguientes mtodos de muestreo seran los ms efectivos para
determinar si los pedidos de compra emitidos a los vendedores han sido
autorizados segn la matriz de autorizacin?
A. Muestreo variable

B. Media estratificada por unidad

C. Muestreo de atributos

D. Media no estratificada por unidad

La respuesta correcta es c.

El muestreo de atributos es el mtodo utilizado para las pruebas de cumplimiento. En este


escenario, se est evaluando la operacin de control, por lo que se debe utilizar el
muestreo de atributos para determinar si los pedidos han sido aprobados. El muestreo
variable es el mtodo utilizado para las pruebas sustantivas, que implica someter a prueba
las transacciones a aspectos cuantitativos, como los valores monetarios. La media
estratificada por unidad y la media no estratificada por unidad se utilizan en el muestreo
variable.
Un auditor de SI est revisando el acceso a una aplicacin para determinar si las
10 nuevas cuentas ms recientes fueron autorizadas apropiadamente. Esto es un
ejemplo de:
A. muestreo variable.

B. pruebas sustantivas.

C. pruebas de cumplimiento.

D. muestreo de stop-or-go.

La respuesta correcta es c.

Las pruebas de cumplimiento determinan si los controles se estn aplicando de acuerdo


con la poltica. Esto incluye pruebas para determinar si las nuevas cuentas fueron
apropiadamente autorizadas. El muestreo variable se utiliza para estimar valores
numricos, como los valores en dlares. Las pruebas sustantivas corroboran la integridad
del procesamiento real, como los saldos de los estados financieros. El desarrollo de pruebas
sustantivas depende a menudo del resultado de las pruebas de cumplimiento. Si las
pruebas de cumplimiento indican que hay controles internos adecuados, se pueden
minimizar las pruebas sustantivas. El muestreo stop-or-go permite detener una prueba tan
pronto como sea posible y no es apropiado para comprobar si se han seguido los
procedimientos.
En el proceso de evaluacin de los controles de cambio de programa, un auditor
de SI utilizar el software de comparacin de cdigo fuente para:
A. Examinar los cambios del programa fuente sin informacin del personal de IS.

B. Detectar un cambio de programa fuente entre la adquisicin de una copia de la fuente y


la ejecucin de comparacin.

C. confirmar que la copia de control es la versin actual del programa de produccin.

D. Asegrese de que todos los cambios realizados en la copia fuente actual se detectan.

La respuesta correcta es la A.

Cuando un auditor de SI utiliza una comparacin de cdigo fuente para examinar los
cambios del programa de origen sin informacin del personal de IS, el auditor de SI tiene
una garanta objetiva, independiente y relativamente completa de los cambios de programa
porque la comparacin del cdigo fuente identificar los cambios. La opcin B es incorrecta,
ya que los cambios realizados desde la adquisicin de la copia no estn incluidos en la
copia del software. La opcin C es incorrecta, ya que un auditor de SI tendr que obtener
esta garanta por separado. La opcin D es incorrecta, ya que no se detectarn los cambios
realizados entre el momento en que se adquiri la copia de control y la comparacin del
cdigo fuente.
Qu tcnica de auditora ofrece la MEJOR evidencia de la separacin de
funciones en un departamento de SI?
A. Discusin con la gerencia

B. Revisin del organigrama

C. Observacin y entrevistas

D. Pruebas de los derechos de acceso de los usuarios

La respuesta correcta es c.

Al observar al personal de IS que realiza sus tareas, un auditor de SI puede identificar si


estn realizando operaciones incompatibles y al entrevistar al personal de SI, el auditor
puede obtener una visin general de las tareas realizadas. Sobre la base de las
observaciones y entrevistas, el auditor de SI puede evaluar la segregacin de funciones. La
gerencia puede no ser consciente de las funciones detalladas de cada empleado en el
departamento de SI; Por lo tanto, la discusin con la gerencia proporcionara solamente
informacin limitada sobre la segregacin de deberes. Un organigrama no proporcionara
detalles de las funciones de los empleados. La prueba de derechos de usuario
proporcionara informacin sobre los derechos que tienen dentro de los sistemas IS, pero no
proporcionara informacin completa sobre las funciones que desempean.
Un auditor de SI est llevando a cabo una auditora de cumplimiento de una
organizacin de atencin mdica que opera un sistema en lnea que contiene
informacin sensible sobre la atencin mdica. Cul de las siguientes opciones
debe ser revisada por un auditor de SI?
A. Diagrama de red y reglas de cortafuegos que rodean el sistema en lnea

B. Organigrama de infraestructura de TI y departamento de SI

C. Requisitos legales y reglamentarios relativos a la privacidad de los datos

D. Adherencia a las polticas y procedimientos de la organizacin

La respuesta correcta es c.

Los requisitos legales y reglamentarios definirn los criterios de auditora y, por lo tanto,
deben ser revisados en primer lugar. Las otras opciones apoyan el enfoque de la
organizacin para cumplir con los requisitos
Al examinar las solicitudes de cambio de programa, un auditor de SI considera
que la poblacin de cambios era demasiado pequea para proporcionar un nivel
de seguridad razonable. Cul es la accin ms apropiada para el auditor de SI?
A. Desarrolle un procedimiento de prueba alternativo.

B. Reportar el hallazgo a la gerencia como una deficiencia.

C. Realizar un recorrido del proceso de gestin del cambio.

D. Crear cambios de muestra adicionales en los programas.

La respuesta correcta es la A.

Si un objetivo del tamao de la muestra no puede ser satisfecho con los datos dados, el
auditor del SI no podra proporcionar la seguridad con respecto al objetivo de la prueba. En
este caso, el auditor de SI debe desarrollar (con la aprobacin de la administracin de
auditora) un procedimiento de prueba alternativo. No hay suficiente evidencia para
reportar el hallazgo como una deficiencia. No debera iniciarse un paseo hasta que se
realice un anlisis para confirmar que esto podra proporcionar la garanta requerida. No
sera apropiado que un auditor de SI creara datos de muestra para el propsito de la
auditora.
Al evaluar el diseo de los controles de monitoreo de la red, un auditor de SI
debe revisar primero la red:
A. diagramas de topologa.

B. uso del ancho de banda.

C. informes de anlisis de trfico.

D. ubicaciones de cuello de botella.

La respuesta correcta es la A.
El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la
idoneidad de la documentacin de la red, especficamente los diagramas de topologa. Si
esta informacin no est actualizada, los procesos de monitoreo y la capacidad de
diagnosticar problemas no sern efectivos.
Cul de los siguientes es el MEJOR factor para determinar el alcance de la
recoleccin de datos durante la fase de planificacin de una auditora de
cumplimiento de SI?
A. Complejidad del funcionamiento de la organizacin

B. Conclusiones y problemas observados en el ejercicio anterior

C. Finalidad, objetivo y alcance de la auditora

D. Familiaridad del auditor con la organizacin

La respuesta correcta es c.

La medida en que los datos se recogern durante una auditora de SI est directamente
relacionada con el propsito, el objetivo y el alcance de la auditora. Una auditora con un
objetivo limitado y un objetivo y alcance limitados es ms probable que resulte en menos
recopilacin de datos que una auditora con un propsito y alcance ms amplio. La
complejidad del funcionamiento de la organizacin, las cuestiones anteriores y la
familiaridad de un auditor con la organizacin son factores en la planificacin de una
auditora, pero no afectan directamente a la determinacin de la cantidad de datos a
recopilar.
Al planificar una auditora, se debe hacer una evaluacin del riesgo para
proporcionar:
A. Garanta razonable de que la auditora abarcar temas materiales.

B. Garanta definitiva de que los temas materiales sern cubiertos durante el trabajo de
auditora.

C. Una garanta razonable de que todos los temas sern cubiertos por la auditora.

D. suficiente garanta de que todos los temas sern cubiertos durante el trabajo de
auditora

La respuesta correcta es la A.

ISACA IT Audit and Assurance La directriz G15 sobre la planificacin de la auditora de SI


establece que "se debe hacer una evaluacin del riesgo para proporcionar una seguridad
razonable de que los elementos materiales se cubrirn adecuadamente durante el trabajo
de auditora. Esta evaluacin debe identificar las reas con un riesgo relativamente alto de
la existencia de problemas materiales ". Una garanta definitiva de que los temas
materiales sern cubiertos durante el trabajo de auditora es una propuesta poco prctica.
La garanta razonable de que todos los artculos sern cubiertos durante el trabajo de
auditora no es la respuesta correcta, ya que los elementos materiales deben ser cubiertos,
no todos los artculos.
Cul de los siguientes debe utilizar un auditor de SI para detectar registros
duplicados de facturas dentro de un archivo maestro de factura?
A. Muestreo de atributos
B. Tcnicas de Auditora Asistida por Ordenador (CAAT)

C. Datos de prueba

D. Instalaciones de ensayo integradas (ITF)

La respuesta correcta es b.

Las CAAT permitiran al auditor de SI revisar todo el archivo de facturacin para buscar
aquellos elementos que cumplan los criterios de seleccin. El muestreo de atributos
ayudara a identificar registros que cumplieran con condiciones especficas, pero no
comparara un registro con otro para identificar duplicados. Para detectar registros de
factura duplicados, el auditor de SI debe comprobar todos los elementos que cumplen los
criterios y no slo una muestra de los elementos. Los datos de prueba se utilizan para
verificar el procesamiento del programa, pero no identifican registros duplicados. Un ITF
permite al auditor de SI probar las transacciones a travs del sistema de produccin, pero
no comparara los registros para identificar duplicados.
Los datos del libro mayor (GL) son necesarios para una auditora. En lugar de
pedirle a la TI que extraiga los datos, el auditor de SI tiene acceso directo a los
datos. Cul es la principal ventaja de este enfoque?
A. Reduccin de las horas-persona de TI para apoyar la auditora

B. Reduccin de la probabilidad de errores en el proceso de extraccin

C. Mayor flexibilidad para el departamento de auditora

D. Mayor garanta de validez de los datos

La respuesta correcta es d.

R. Si bien la carga sobre el personal de TI para apoyar la auditora puede disminuir si el


auditor de SI extrae directamente las fechas, esta ventaja no es tan significativa como la
mayor validez de los datos.

B. El riesgo de errores aumentara porque los auditores de SI suelen tener un conocimiento


tcnico ms amplio, pero menos detallado, de la estructura interna de datos y los detalles
tcnicos de la base de datos.

C. Esta tarea requiere una coordinacin precisa con la base de datos y los departamentos
de operaciones para evitar la interferencia con las operaciones y garantizar la coherencia
de los datos y la integridad.

D. Si el auditor de SI ejecuta la extraccin de datos, hay mayor seguridad de que los


criterios de extraccin no interferirn con la completitud requerida y por lo tanto se
recogern todos los datos requeridos. Pedir a la TI que extraiga los datos puede exponer el
riesgo de filtrar las excepciones que deben ser vistas por el auditor. Asimismo, si el auditor
de SI recoge los datos, se entendern todas las referencias internas que correlacionan las
distintas tablas / elementos de datos y este conocimiento puede revelar elementos vitales
para la integridad y correccin de la actividad general de auditora
Durante una auditora de seguridad de los procesos de TI, un auditor de SI
encontr que no existan procedimientos de seguridad documentados. El auditor
de SI debe
A. crear el documento de procedimientos.

B. Terminar la auditora.

C. realizar pruebas de cumplimiento.

D. identificar y evaluar las prcticas existentes.

La respuesta correcta es d.

Uno de los objetivos principales de una auditora es identificar el riesgo potencial; Por lo
tanto, el enfoque ms proactivo sera identificar y evaluar las prcticas de seguridad
existentes que estn siendo seguidas por la organizacin. Los auditores de SI no deben
preparar la documentacin, ya que esto podra poner en peligro su independencia. Terminar
la auditora puede impedir el logro de uno de los objetivos bsicos de la auditora, es decir,
la identificacin del riesgo potencial. Dado que no existen procedimientos documentados,
no hay ninguna base para evaluar el cumplimiento.
Cul de los siguientes mtodos de muestreo es MS til cuando se prueba el
cumplimiento?
A. Muestreo de atributos

B. Muestreo variable

C. Medicin estratificada por unidad de muestreo

D. Muestreo por estimacin de diferencia

La respuesta correcta es la A.

El muestreo de atributos es el mtodo de muestreo principal utilizado para las pruebas de


cumplimiento. El muestreo de atributos es un modelo de muestreo que se utiliza para
estimar la tasa de ocurrencia de una calidad especfica (atributo) en una poblacin y se
utiliza en las pruebas de cumplimiento para confirmar si la calidad existe. Las otras
opciones se utilizan en las pruebas sustantivas, que implica la prueba de los detalles o la
cantidad.

Despus de revisar el proceso de planificacin de recuperacin de desastres


(DRP) de una organizacin, un auditor de SI solicita una reunin con la
administracin de la empresa para discutir los resultados. Cul de los siguientes
MEJORES describe el objetivo principal de esta reunin?
A. Obtener la aprobacin de la gerencia de las acciones correctivas

B. Confirmacin de la exactitud fctica de los resultados

C. Asistencia a la direccin en la implementacin de acciones correctivas

D. Clarificar el alcance y las limitaciones de la auditora


La respuesta correcta es b.

El objetivo de la reunin es confirmar la exactitud fctica de los hallazgos de la auditora y


presentar una oportunidad para que la direccin se ponga de acuerdo sobre la accin
correctiva. No se requiere la aprobacin por parte de la administracin de las acciones
correctivas, ya que esta no es la funcin del auditor. La implementacin de acciones
correctivas debe hacerse despus de que se haya establecido la exactitud fctica de los
hallazgos, pero el trabajo de implementacin de medidas correctivas no suele asignarse al
auditor de SI, ya que esto perjudicara la independencia del auditor. Es necesario aclarar el
alcance y las limitaciones de la auditora durante la reunin de entrada, no durante la
reunin de salida
Cuando se utiliza una instalacin de prueba integrada (ITF), un auditor de SI
debe asegurarse de que:
A. Los datos de produccin se utilizan para las pruebas.

B. Los datos de prueba se aslan de los datos de produccin.

C. se utiliza un generador de datos de prueba.

D. Los archivos maestros se actualizan con los datos de prueba.

La respuesta correcta es b.

Un ITF crea un archivo ficticio en la base de datos, permitiendo que las transacciones de
prueba sean procesadas simultneamente con datos vivos. Si bien esto garantiza que las
pruebas peridicas no requieren un proceso de prueba independiente, es necesario aislar
los datos de prueba de los datos de produccin. No se requiere que un auditor de SI use
datos de produccin o un generador de datos de prueba. Los archivos maestros de
produccin no deben actualizarse con los datos de prueba.
Un auditor de SI est llevando a cabo una revisin de la configuracin del
sistema. Cul de las siguientes sera la MEJOR evidencia en apoyo de los ajustes
actuales de la configuracin del sistema?
A. Valores de configuracin del sistema importados a una hoja de clculo por el
administrador del sistema

B. Informe estndar con valores de configuracin en spool desde el sistema por el auditor
de SI

C. Captura de pantalla fechada de los ajustes de configuracin del sistema puestos a


disposicin por el administrador del sistema

D. Revisin anual de los valores de configuracin del sistema aprobados por el propietario
de la empresa

La respuesta correcta es b.

La evidencia obtenida directamente de la fuente por un auditor de SI es ms confiable que


la informacin proporcionada por un administrador de sistema o un dueo de negocio
porque el auditor de SI no tiene un inters en el resultado de la auditora. La evidencia
siempre que no sea informacin generada por el sistema podra ser modificada antes de ser
presentada a un auditor de SI, y por lo tanto puede no ser tan confiable como la evidencia
obtenida por el auditor de SI. Por ejemplo, un administrador del sistema puede cambiar la
configuracin o modificar la imagen grfica antes de tomar una captura de pantalla. La
revisin anual proporcionada por el propietario de una empresa puede no reflejar la
informacin actual.
Cul de las siguientes formas de evidencia para el auditor sera considerada la
ms fiable?
A. Una declaracin oral del auditado

B. Los resultados de una prueba realizada por un auditor externo de SI

C. Un informe de contabilidad informtica generado internamente

D. Una carta de confirmacin recibida de una fuente externa

La respuesta correcta es b.

Una prueba independiente realizada por un auditor de SI siempre debe considerarse una
fuente de evidencia ms confiable que una carta de confirmacin de un tercero, ya que una
carta no se ajusta a las normas de auditora y es subjetiva. Una auditora debe consistir en
una combinacin de inspeccin, observacin e investigacin por un auditor de SI, segn lo
determinado por el riesgo. Esto proporciona una metodologa estndar y una garanta
"razonable" de que los controles y los resultados de las pruebas son precisos. Las opciones
A y C son evidencia de auditora, pero no tan confiable como la opcin B.
Cul de las siguientes es una ventaja de una instalacin de prueba integrada
(ITF)?
R. Utiliza archivos maestros o variables dummy y el auditor de SI no tiene que revisar el
origen de la transaccin.

B. Las pruebas peridicas no requieren procesos de prueba separados.

C. Valida los sistemas de aplicacin y prueba el funcionamiento continuo del sistema.

D. Se elimina la necesidad de preparar los datos de la prueba.

La respuesta correcta es b.

Un ITF crea una entidad ficticia en la base de datos para procesar transacciones de prueba
simultneamente con entrada en vivo. Su ventaja es que las pruebas peridicas no
requieren procesos de prueba separados. Sin embargo, es necesaria una planificacin
cuidadosa y los datos de prueba deben aislarse de los datos de produccin.
Un auditor de SI est planeando evaluar la eficacia del diseo de control
relacionada con un proceso automatizado de facturacin. Cul de los siguientes
es el enfoque MS eficaz para que el auditor adopte?
A. Proceso narrativo

B. Investigacin

C. Reperformance

D. Recorrido
La respuesta correcta es d.

A. Las narrativas de los procesos pueden no ser actuales o completas y pueden no reflejar
el proceso real en funcionamiento.

B. La investigacin se puede utilizar para entender los controles en un proceso solamente si


est acompaada por la verificacin de la evidencia.

C. Reperformance se utiliza para evaluar la eficacia operativa del control en lugar del
diseo del control.

D. Los pasos a travs implican una combinacin de investigacin e inspeccin de evidencia


con respecto a los controles de procesos empresariales. Esta es la base ms efectiva para
la evaluacin del diseo del control tal como realmente existe.
Un auditor de SI debe utilizar un muestreo estadstico y no un muestreo crtico
(no estadstico), cuando:
A. la probabilidad de error debe ser cuantificada objetivamente.

B. el auditor desea evitar el riesgo de muestreo.

C. el software de auditora generalizado no est disponible.

D. no se puede determinar la tasa de error tolerable

La respuesta correcta es la A.

Dada una tasa de error esperada y un nivel de confianza, el muestreo estadstico es un


mtodo objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamao de la
muestra ya cuantificar la probabilidad de error (coeficiente de confianza). La opcin B es
incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea
representativa de la poblacin. Este riesgo existe tanto para el juicio como para las
muestras estadsticas. La opcin C es incorrecta porque el muestreo estadstico no requiere
el uso de software de auditora generalizado. La opcin D es incorrecta porque la tasa de
error tolerable debe estar predeterminada tanto para el juicio como para el muestreo
estadstico.

La comparacin de datos de una aplicacin de cuentas por pagar con facturas


recibidas de proveedores en el mes de diciembre es BEST descrita como
A. pruebas sustantivas.

B. pruebas de cumplimiento.

C. Anlisis cualitativo.

D. muestreo de juicios.

La respuesta correcta es la A.
A. Las pruebas sustantivas consisten en obtener pruebas de auditora sobre la integridad,
exactitud o existencia de datos a nivel de transaccin individual. Esto se puede lograr
comparando los datos de la aplicacin con el documento base. En este caso, la
comparacin se hace con las facturas del proveedor.

B. Las pruebas de cumplimiento consisten en ensayar los controles diseados para obtener
evidencia de auditora sobre la efectividad de los controles y su operacin durante el
perodo de auditora.

C. El anlisis cualitativo suele estar relacionado con el anlisis de riesgos y no debe


utilizarse en este escenario.

D. El muestreo del juicio es una muestra que se selecciona subjetivamente o no al azar, o


en el cual los resultados del muestreo no se evalan matemticamente

Você também pode gostar