Pregunta

Reespuesta adecuada

I

Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna accin Despus de la investigacin inicial, un auditor de SI tiene motivos para creer que puede estar en presencia adicional o si se debe recomendar una investigacin. El auditor de SI debe notificar a las autoridades apropiadas dentro de la organizacin solamente si ha determinado que los indicadores de fraude son suficientes para recomendar una investigacin. Normalmente, el auditor de SI de fraude. El auditor de SI debe: no tiene autoridad para consultar con un asesor legal externo. El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran nmero de transacciones, pero dejan muy pocas pistas de papel. La opcin A es incorrecta ya que el enfoque de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est llevando a cabo el procesamiento. La opcin B es incorrecta ya que un auditor de SI normalmente revisara y dara seguimiento slo a las deficiencias materiales o errores detectados. La opcin D es incorrecta ya que el uso de tcnicas de auditora continua depende efectivamente de la complejidad de los sistemas de computadora de una organizacin. Debido a que el objetivo es identificar violaciones a la segregacin de funciones, es necesario definir la lgica que identificar los conflictos en la autorizacin. Se podra desarrollar un programa para identificar estos conflictos. Un informe de derechos de seguridad en el sistema de planificacin de los recursos de la empresa (ERP) sera voluminoso y requerira mucho tiempo para su revisin; por lo tanto, esta tcnica no es tan efectiva como la creacin de un programa. A medida que las complejidades aumentan, se vuelve ms difcil verificar la efectividad de los sistemas, y la complejidad no est vinculada por s sola a la segregacin de funciones. Es buena prctica revisar los casos recientes de violacin de derechos; sin embargo, pudiera requerir una cantidad de tiempo significativa el verdaderamente identificar cules violaciones resultaron realmente de una segregacin inapropiada de funciones. El estatuto de auditora de SI establece el rol de la funcin de auditora de sistemas de informacin. El estatuto debera describir la autoridad general, el alcance y las responsabilidades de la funcin de auditora. Debera ser aprobado por el ms alto nivel de gestin y, de estar disponible, por el comit de auditora. La planificacin de corto y largo plazo es responsabilidad de la gestin de auditora. Los objetivos y el alcance de cada auditora de SI deberan acordarse en una carta de compromiso. La gestin de auditora debera desarrollar un plan de entrenamiento, basado en el plan de auditora.

I

La ventaja PRIMARIA de un enfoque continuo de auditora es que:

I

Cul de las opciones siguientes es la tcnica de auditora MS efectiva para identificar violaciones a la segregacin de funciones en una nueva implementacin de un sistema de planificacin de recursos de empresa (ERP)?

I

El estatuto de auditora de SI de una organizacin debera especificar:

I

Los estndares de auditora requieren que un auditor de SI recopile evidencia de auditora suficiente y apropiada. El auditor descubri un Un auditor de SI est realizando una auditora a un problema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemtica de control. En este punto es demasiado servidor de copias de respaldo administrado desde pronto para emitir un hallazgo de auditora; la accin de solicitar una explicacin a la gerencia es aconsejable, pero sera mejor recopilar una ubicacin remota. El auditor de SI revisa los logs evidencia adicional para evaluar apropiadamente la seriedad de la situacin. Una falla de respaldo, que no se ha establecido en este punto, de un da y descubre un caso en el cual el inicio de es seria si involucra datos crticos. Sin embargo, el asunto no es la importancia de los datos presentes en el servidor donde se detect un sesin en un servidor fall con el resultado de que problema, sino la posibilidad de que exista una falla sistemtica de control que tenga un impacto en otros servidores. no se pudo confirmar los reinicios de la copia de respaldo. Qu debera hacer el auditor?

I

Un Contrato de auditora debera:

Un contrato de auditora debera establecer los objetivos de la gerencia para, y la delegacin de autoridad a la auditora de SI. Este contrato no debera cambiar de manera significativa con l tiempo y debera ser aprobado al nivel ms alto de la gerencia. El contrato de auditora no estara a un nivel de detalle y por lo tanto no incluira objetivos o procedimientos especficos de auditora. Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organizacin. Esto ayuda al auditor de SI a saber si hay una segregacin apropiada de funciones. Un diagrama de flujo de trabajo proporcionara informacin sobre las funciones de diferentes empleados. Un diagrama de red proveer informacin sobre el uso de diversos canales de comunicacin e indicar la conexin de los usuarios a la red.

I

Un auditor de SI revisa un organigrama PRIMARIAMENTE para:

I

En una auditora de SI de varios servidores crticos, elLas herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los nmeros son secuenciales o incrementales. Las herramientas CASE se usan para auditor quiere analizar las pistas de auditora para asistir en el desarrollo de software. El software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para proveer descubrir potenciales anomalas en el comportamiento de usuarios o del sistema. Cul de estadsticas de produccin. Las herramientas heursticas de escaneo se pueden usar para escanear en busca de virus para indicar cdigos las herramientas siguientes es la MS adecuada para posiblemente infectados. realizar esa tarea?

I

Cuando un auditor Un auditor de SI emite un reporte de auditora sealando la falta de funciones de proteccin de firewall en el la gateway perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI no hacomprometen organizacional no ejercido: reporte de auditora Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara:

de SI recomienda un vendedor especfico, ellos independencia profesional. La independencia tiene relevancia con respecto al contenido de un y debe ser considerado en el momento de aceptar el

I

Un control de revisin de aplicaciones implica la evaluacin de los controles automatizados de la aplicacin y una evaluacin de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditora de El Lineamiento de Auditora de SI G15 de ISACA sobre planificar los estados de auditora de SI, "Se debe hacer una evaluacin del riesgo para proveer aseguramiento razonable de que los puntos materiales sern cubiertos de manera adecuada durante el trabajo de auditora. Esta Dada una tasa esperada estadstico es un mtodo de SI a determinar el probabilidad de error de error y nivel de confianza, el muestreo objetivo de muestreo, que ayuda a un auditor tamao de la muestra y a cuantificar la (coeficiente de confianza). La opcin B es

I

Mientras se planifica una auditora, se debe hacer una evaluacin del riesgo para proveer:

I

Un auditor de SI debe usar muestreo estadstico, y no muestreo de opiniones (no estadstico) cuando:

I

Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados estn completos se lleva a cabo:

Comparar los totales de control de los datos importados con los totales de control de los datos originales es el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la totalidad (completeness) clasificando los datos importados, porque los

I

Mientras lleva a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el paso siguiente del La primera cosa que un auditor de SI debe hacer despus de detectar el virus es alertar a la organizacin sobre su presencia, luego esperar su auditor de SI? respuesta. La opcin A debe ser emprendida despus de la opcin C. Esto permitir al auditor de SI examinar el funcionamiento real y la Durante la recoleccin de evidencia forense, cul de las acciones siguientes tiene MS posibilidades de causar la destruccin o corrupcin de evidencia en un sistema comprometido? Reiniciar el sistema puede causar un cambio en el estado del sistema y la prdida de archivos y evidencia importante almacenados en la memoria. Las otras opciones son acciones apropiadas para preservar la evidencia. El objetivo de la autoevaluacin de control es inducir a la gerencia del negocio a estar ms consciente de la importancia del control interno y de su responsabilidad en trminos del gobierno corporativo. La reduccin de los gastos de auditora no es un beneficio clave de La evidencia obtenida de fuentes externas es por lo general ms confiable que la obtenida desde dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general

I

I

Cul de las opciones siguientes es el beneficio clave de la autoevaluacin de control (CSA)?

I

Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?

I

Los diagramas de flujo de datos son usados por los Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningn orden jerrquico. El flujo de los Auditores de SI para: datos no coincidir necesariamente con ningn orden jerrquico o de generacin de datos. En una auditora de una aplicacin de inventario , Para determinar la validez de una orden de compra, probar los controles de acceso proveer la mejor evidencia. Las opciones B y C se basan en enfoques qu enfoque proveera la MEJOR evidencia de que posteriores a los hechos, mientras que la opcin D no sirve el propsito porque lo que est en la documentacin de sistema puede no ser lo mismo que lo las rdenes de compra son vlidas? que est ocurriendo. El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una poblacin y se usa en la comprobacin de cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobacin de detalles o cantidad.Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada respecto a la segregacin de funciones. Un organigrama no proveera detalles de las funciones de los empleados y la prueba de los derechos de usuario proveera informacin sobre los derechos que ellos tienen dentro de los sistemas de SI, pero no

I

I

Cul de los siguientes mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?

I

Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un departamento de SI?

I

Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos siguientes?

Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditora. Los riesgos inherentes por lo general no estn afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compaa. Los riesgos financieros no estn afectados por el auditor de SI. Incluir el hallazgo en el reporte final es una prctica de auditora generalmente aceptada. Si se emprende una accin despus de que comenz la auditora y antes de que terminara, el reporte de auditora debe identificar el hallazgo y describir la accin correctiva tomada. Un reporte de auditora debe reflejar la situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el auditado deben ser reportadas por escrito.

I

Una accin correctiva ha sido tomada por un auditado inmediatamente despus de la identificacin de un hallazgo que debera ser reportado. El auditor debe:

I

Durante una auditora de control de cambios deUn proceso de gestin de cambios es crtico para los sistemas de produccin de TI.Antes de recomendar que la organizacin tome alguna otra accin (por un sistema en produccin, un auditor de SIejemplo, interrumpir las migraciones, redisear el proceso de gestin de cambios), el auditor de SI debera obtener garanta de que los incidentes reportados se descubre que el proceso de administracin derelacionan con deficiencias en el proceso de gestin de cambios y que no fueron causados por algn proceso diferente a la gestin de cambios. cambios no est documentado formalmente y Cul de las siguientes opciones sera normalmente La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B, C y D no serian consideradas confiables. la evidencia MS confiable para un auditor?

I

I

El propsito PRIMARIO de una auditora forense de TI es:

La opcin B describe una auditora forense. La evidencia recolectada podra utilizarse posteriormente en procesos judiciales. Las auditoras forenses no se limitan a fraude corporativo. Evaluar la exactitus de los estados financieros de una organizacin no es el propsito de una auditora forense. Llegar a la conclusin de que se registr un delito sera parte de un proceso legal y no el objetivo de una auditora forense.

I

El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos y expone los Un auditor de SI est evaluando una red corporativa en busca de una posible recursos de la red a la explotacin penetracin por parte de empleados internos. Cul de los hallazgos siguientes (maliciosa ). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos IDs de usuario debera preocupar MS al auditor de SI? tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un riesgo de seguridad, pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de usuario. Mientras que el impacto de los Un auditor de SI que particip en el diseo del plan de continuidad del negocio (BCP) de una empresa, ha sido asignado para auditar el plan. El auditor de SI debera: Comunicar la posibilidad de conflicto de inters a la gerencia antes de comenzar la asignacin es la respuesta correcta. Se debera comunicar un posible conflicto de inters, que pudiera afectar la independencia del auditor, a la gerencia antes de comenzar la asignacin. Rechazar la asignacin no es la respuesta correcta, porque se podra aceptar la asignacin despus de obtener la aprobacin de la gerencia. Informar a la gerencia sobre el posible conflicto de inters despus de completar la

I

I

Mientras revisaba los papeles de trabajo electrnico sensitivos, el auditor de SI La encripcin prueba la confidencialidad de los papeles de trabajo electrnicos. Las pistas de auditora, las aprobaciones de la not que los mismos no estaban encriptados. Esto podra comprometer: etapa de auditora y el acceso a los papeles de trabajo, por s mismos, no afectan la confidencialidad sino que forman parte del motivo para requerir la encripcin.

I

La razn PRIMARIA por la que un auditor de SI realiza un recorrido funcional durante la fase preliminar de una asignacin de auditora es:

Entender el proceso de negocio es el primer paso que un auditor de SI necesita realizar. Las normas no requieren que un auditor de SI efecte un recorrido de proceso. Identificar las debilidades de control no es la razn primaria para el recorrido y tpicamente ocurre en una etapa posterior en la auditora. Planear pruebas sustantivas se realiza en una etapa posterior de la auditora. Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est determinado por las reas a ser auditadas, las cuales son primariamente Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin.

I

Al planear una auditora, el paso MS crtico es la identificacin de:

I

Cul de los siguientes es una ventaja de una prueba integrada (ITF)?

I

Un auditor de SI evala los resultados de prueba de una modificacin a un sistema El auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar los resultados. que trata con cmputo de pagos. El auditor encuentra que el 50% de los clculos noDespus de que los clculos hayan sido confirmados, ms pruebas pueden ser llevadas a cabo y revisadas. La preparacin coinciden con los totales predeterminados. Cul de los siguientes es MS probable de reportes, hallazgos y recomendaciones no se hara hasta que todos los resultados fueran confirmados. que sea el siguiente paso en la auditora? Durante una entrevista final, en los casos en que hay desacuerdo con respecto al impacto de un hallazgo, un auditor de SI debe: Si el auditado esta en desacuerdo en cuanto al impacto de un hallazgo, es importante que el auditor de SI elabor, clarifique y de a conocer los riesgos que el auditado no ha valorado y la magnitud de su exposicin. El objetivo deberia ser mostrar al auditado o descubrir nueva informacin que el auditor de SI no haya contemplado. Cualquier cosa que parezca una amenaza para el auditado reducir la efectividad de la comunicacin y establece una relacin controvetida. Por el

I

I

La decisin final de incluir un hallazgo material en un informe de auditora debe ser El auditor de SI debe tomar la decisin final respecto a qu incluir o excluir del informe de auditora. Las otras opciones tomada por el: limitaran la independencia del auditor.

I

A pesar de que la gerencia ha dicho otra cosa, un auditor de SI tiene motivos para creer que la organizacin est usando software que no tiene licencia. En esta situacin, el auditor de SI debe:

Cuando hay una indicacin de que una organizacin podra estar usando software sin licencia, el auditor de SI debe obtener evidencias suficientes antes de incluirlo en el informe. Con respecto a este asunto, las manifestaciones obtenidas de la gerencia no pueden ser verificadas de manera independiente. Si la organizacin est usando software que no tiene licencia, el auditor, para mantener objetividad e independencia, gancho de auditora implica integrar el cdigo en los sistemas seleccionadas. Esto ayuda a un auditor de SI a actuar se salgan de control. Un mdulo integrado de auditora en el sistema anfitrin de aplicacin de la organizacinl de aplicacin para el examen de las antes de que un error o una implica integrar software escrito de modo que los sistemas de

I

La tcnica de Cul de las siguientes tcnicas de auditora en lnea es MS efectiva para la deteccin temprana de transacciones errores o irregularidades? irregularidad especialmente El vicepresidente de recursos humanos ha solicitado una auditora para identificar los sobrepagos de planilla/nmina para el ao anterior. Cul sera la MEJOR tcnica de auditora para usar en esta situacin?

I

Las caractersticas del software generalizado de auditora incluyen cmputos matemticos, estratificacin, anlisis estadstico, verificacin de secuencia, verificacin de duplicados y reclculos. El auditor de SI, usando software generalizado de auditora, podra disear pruebas apropiadas para recalcular la planilla/nmina y, de ese modo, determinar si hubo sobrepagos, y a quines fueron efectuados. Los El objetivo primario de un programa auditora interna cambiando algunas lnea de rea funcional. El xito de un asumen responsabilidad de los controles. de autoevaluacin de control (CSA) de las responsabilidad de monitoreo programa de CSA depende del grado Las opciones B, C y D son caractersticas es apalancar la funcin de de control a los gerentes de al que los gerentes de lnea de un enfoque tradicional de

I

El xito de la autoevaluacin de control (CSA) depende grandemente de:

I

Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?

El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa con que el personal de Las normas de auditora de ISACA requieren que un auditor de SI planee el trabajo de resolver los objetivos de auditora. La opcin B es incorrecta porque el auditor no recoge etapa de planificacin de una auditora. Las opciones C y D son incorrectas porque no primarias de la planificacin de auditora. Las actividades descritas en las opciones B, C auditora para evidencia en la son las metas y D son todas

I

Durante la etapa de planificacin de una auditora de SI, la meta PRIMARIA de un auditor de SI es:

I

Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de controles (control self-assessment-CSA), es que ella:

La CSA se predica sobre la revisin de las reas de alto riesgo que o bien necesitan atencin inmediata o una revisin ms exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la participacin de tanto los auditores como la gerencia de lnea. Lo que ocurre es que la funcin de auditora interna pasa algunas de las responsabilidades de monitoreo de control a las reas funcionales. La Los procedimientos son procesos que un auditor de SI puede seguir en un compromiso de auditora. Para determinar si cualquier procedimiento especfico es apropiado, un auditor de SI debe usar un juicio profesional apropiado a las circunstancias especficas. El juicio profesional implica una evaluacin subjetiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditora. El juicio se El mtodo de autoevaluacin de control (CSA) hace nfasis en la administracin y en la obligacin de rendir cuentas de desarrollar y monitorear los controles de los procesos de negocio de una organizacin. Los atributos de CSA incluyen: empleados facultados, mejoramiento continuo, extensa participacin y entrenamiento de los empleados, todo lo cual son manifestaciones de amplia participacin de los

I

Cuando selecciona los procedimientos de auditora, un auditor de SI debe usar su juicio profesional para asegurar que:

I

Cul de los siguientes es un atributo del mtodo de autoevaluacin de control (CSA)?

I

La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las polticas. Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10 Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. El muestreo formularios "nuevo usuario" ms recientes fueron correctamente autorizados. Este es un ejemplo de: de variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los saldos de los estados Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa en pruebas cambia? La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es el sistema automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay

I

I

Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor deLas debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetros est instalada debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de parte del incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se estn auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al gerente local sin verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera: reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas. Cuando prepara un informe de auditora, el auditor de SI debe asegurarse que los resultados estn soportados por: El estndar de ISACA sobre "informes" requiere que el auditor de SI tenga evidencias de auditora suficientes y apropiadas para soportar los resultados que se reportan. Las declaraciones de la gerencia de SI proveen una base para obtener concurrencia sobre asuntos que no pueden ser verificados con evidencia emprica. El informe debe basarse en evidencias recogidas durante el curso de la revisin aunque el auditor pueda tener Si las respuestas dadas a las preguntas de un auditor de SI no estn confirmadas por procedimientos documentados o descripciones de puestos de trabajo, el auditor de SI debe expandir el alcance de las pruebas de los controles e incluir ms pruebas sustantivas. No hay evidencia de que cualesquiera sean los controles que pudieran existir son o bien inadecuados o adecuados. Poner mayor confianza en las

I

I

Un auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no respaldan las descripciones de los puestos de trabajo y los procedimientos documentados. Bajo estas circunstancias, el auditor de SI debe:

I

Una evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para la enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del riesgo. gerencia de seguridad de informacin es que ste asegura que: Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la En el proceso de evaluar los controles de cambio de programa, un auditor de SI usara software de comparacin de cdigo fuente para: Un auditor de SI tiene un objetivo, aseguramiento independiente y relativamente completo de cambios de programa porque la comparacin de cdigos fuente identificar los cambios. La opcin B es incorrecta porque los cambios hechos desde la adquisicin de la copia no estn incluidos en la copia del software. La opcin C es incorrecta ya que un auditor de SI tendr que obtener este aseguramiento separadamente. La opcin D es El Software genrico de auditora (GAS) permite al auditor revisar todo el archivo de facturas para buscar los elementos que cumplan con los criterios de seleccin. El muestreo de atributos ayuda a identificar los registros que cumplen con condiciones especficas, pero no compara un registro con otro para identificar duplicados. Para detectar registros duplicados de facturas, el auditor de SI debera verificar todos los elementos Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de

I

I

Cul de las opciones siguientes debera utilizar un auditor de SI para detectar registros duplicados de facturas dentro de un archivo maestro de facturas?

I

Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas de informacin. El auditor de SI debe PRIMERO revisar:

I

En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha identificado amenazas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:

Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que las amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.

I

Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar:

El primer paso para evaluar los controles de monitoreo de red debe ser la revisin de la adecuacin de la documentacin de red, especficamente los diagramas de topologa. Si esta informacin no estuviera actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar problemas no ser efectiva. El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las reglas de evidencia. La opcin B, los ahorros en tiempo y en costos, y la eficiencia y la eficacia, opcin C, eficiencia y eficacia, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. La opcin D, la capacidad de investigar las violaciones de los derechos de propiedad Se puede comprometer la independencia si el auditor de el desarrollo, adquisicin, e implementacin del sistema que no comprometen la independencia del auditor independencia del auditor de sistemas no compromete sistemas est o ha estado involucrado activamente en de aplicacin. Las opciones B y C son situaciones de sistemas. La opcin D es incorrecta porque la suministrando asesora sobre las mejores prcticas

I

Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las investigaciones?

I

Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. Cul de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de SI:

I

Cul de las opciones siguientes utilizara un auditor de SI para determinar si se realizaron modificaciones no autorizadas a los programas de produccin?

Para determinar que slo se han realizado modificaciones autorizadas a los programas de produccin, sera necesario revisar el proceso de gestin de cambios para evaluar la existencia de un rastro de evidencia documental. Las pruebas de cumplimiento ayudaran a verificar que el proceso de gestin de cambios ha sido aplicado consistentemente. Es poco probable que el anlisis del log de sistema provea El alcance de una auditora de SI est definido por sus objetivos. Esto implica identificar las debilidades de control relevantes para el alcance de la auditora. Obtener evidencias suficientes y apropiadas ayuda al auditor a identificar las debilidades de control pero tambin a documentarlas y validarlas. Cumplir con los requisitos regulatorios, asegurar la cobertura y la ejecucin de la auditora son todos relevantes para una auditora Habilitar pistas de auditora ayuda transacciones procesadas, rastreando proveer pistas de auditora no es procesamiento adicional que puede a establecer la obligacin de rendir cuentas y la responsabilidad de las transacciones a travs del sistema. El objetivo de habilitar software para mejorar la eficiencia del sistema, ya que esto implica a menudo un en realidad reducir el tiempo de respuesta para los usuarios. Habilitar

I

La razn MS importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de auditora es:

I

El propsito PRIMARIO de las pistas de auditora es:

I

Al desarrollar una estrategia de auditora basada en el riesgo, es crtico que los riesgos y las vulnerabilidades Cuando desarrolla una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo sean entendidos. Esto determinar las reas a ser auditadas y el grado de cobertura. Entender si estn una evaluacin del riesgo para asegurar que: establecidos los controles apropiados requeridos para mitigar los riesgos es un efecto resultante de una auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente relacionados Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son correctos es: Una prueba sustantiva incluye recolectar evidencia para evaluar la integridad de las transacciones individuales, los datos y otra informacin. Llevar a cabo un conteo fsico del inventario de cintas es una prueba sustantiva. Las opciones A, B y D son pruebas de cumplimiento.

I

I

Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER paso sera:

Monitorear el tiempo (la opcin A) y auditar los programas (opcin D), as como tambin un entrenamiento adecuado (opcin B) mejorarn la productividad del personal de auditora de SI (eficiencia y desempeo), pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se dedican a, y que estn enfocados sobre, las reas de mayor riesgo.

I

El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin es: El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin es llegar a un acuerdo sobre los hallazgos. Las otras opciones, a pesar de estar relacionadas con el cierre formal de una auditora, son de importancia secundaria. El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un alcance basado en: estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos, que una auditora que tuviera un propsito y un alcance ms amplios. El alcance de una auditora de SI no El riesgo general del negocio para una amenaza en particular se puede expresar como: La opcin A toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. La opcin B provee nicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo. De manera similar, la opcin C considera solamente la magnitud del dao y no la posibilidad de que una amenaza El uso de software no autorizado o ilegal debe estar prohibido en una organizacin. La piratera de software tiene como consecuencia la exposicin inherente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un auditor de SI no debe asumir la funcin del oficial de cumplimiento ni asumir participacin personal alguna para retirar o Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por correo Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba los registros de la biblioteca de cintas estn establecidos correctamente. Una determina si se estn aplicando los controles de una forma consistente con las de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la sustantiva determinara si prueba de cumplimiento polticas y procedimientos autorizacin para cambiar

I

I

I

Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes acciones debera emprender el auditor de SI?

I

Cul de las siguientes es la razn MS probable de por qu los sistemas de correo electrnico se han convertido en una fuente til de evidencia en litigios?

I

Cul de las siguientes es una prueba sustantiva?

I

Una prueba integrada (integrated test facility-ITF) se considera una herramienta til de auditora porque:

Una facilidad de prueba integrada se considera una herramienta til de auditora porque usa los mismos programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la entidad como un medio de verificar el procesamiento adecuado.

I

Cuando se realiza una investigacin forense de computadora, la MAYOR preocupacin de un auditor de SI debe ser:

con respecto a la evidencia recolectada, La preservacin y documentacin de evidencia para revisin por el organismo de cumplimiento y las autoridades judiciales son la preocupacin primaria cuando se lleva a cabo una investigacin. No preservar debidamente la evidencia podra poner en peligro la aceptacin de la evidencia en el proceso legal. El anlisis, la evaluacin y la divulgacin son importantes pero no son la preocupacin primaria en una investigacin forense.

I

Como el nombre no Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri numerosas detectar duplicaciones duplicaciones de nombre de cliente que surgan de variaciones en los primeros nombres del cliente. entonces seguidamente Para determinar la extensin de la duplicacin, el auditor de SI usara: direcciones. Buscar los Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul de las siguientes es una funcin de usuario que el auditor de SI debe revisar?

es el mismo (debido a variaciones de los primeros nombres), un mtodo para seria comparar otros campos comunes, como por ejemplo las direcciones Y podra llevarse a cabo una revisin para determinar los nombres de los clientes en estas nmeros de cuenta duplicados probablemente no hallara duplicaciones de nombres ya

I

Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Las opciones B, Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no resolveran la exactitud de clculos individuales de impuestos.

I

El MEJOR mtodo de probar la exactitud de un sistema de clculo de impuestos es:

I

Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos pueden ser de un proceso, un auditor de SI debera estar consciente: tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. La opcin D Cul de las siguientes tcnicas de auditora ayudara MS a un auditor a determinar si ha habido cambios no autorizados de programa desde la ltima actualizacin autorizada de programa? Una comparacin automtica de cdigos es el proceso de comparar dos versiones del ejemplo de programa para determinar si las dos corresponden. Es una tcnica eficiente porque es un procedimiento automtico. Las corridas de prueba de datos permiten al auditor verificar el procesamiento de transacciones preseleccionadas, pero no proveen evidencias sobre porciones no ejercitadas de un programa. La revisin de Cuando evala los controles de acceso lgico, un auditor de SI debe primero obtener un entendimiento del riesgo de seguridad que enfrenta el procesamiento de informacin revisando la documentacin relevante, mediante averiguaciones, y llevando a cabo una evaluacin del riesgo. La documentacin y la evaluacin es el segundo paso para determinar la adecuacin, de programas est Preguntar a los programadores sobre los procedimientos que se estn siguiendo actualmente es til para determinar si el acceso a la documentacin de programas est restringido a las personas autorizadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la documentacin de programas. Probar los Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto, el mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los objetivos de la auditora, es No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un requisito y

I

I

Un auditor de SI que evala los controles de acceso lgico debe PRIMERO:

I

Un Auditor de sistemas que trate de determinar si el acceso a la documentacin restringido a las personas autorizadas, lo MS probable es que:

I

Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba procedimientos de seguridad documentados. El auditor de SI debe:

I

Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?

I

Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?

No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un requisito y Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por correo El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las reglas de evidencia. Los ahorros en tiempo y en costos, opcin B, y la eficiencia y la eficacia, opcin C, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opcin D, es un ejemplo de Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una prueba de cumplimiento determina si se estn aplicando los controles de una forma consistente con las polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la autorizacin para cambiar La evidencia obtenida de fuentes externas es por lo general ms confiable que la obtenida desde dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del rea tcnica bajo revisin.

I

Cul de las siguientes es la razn MS probable de por qu los sistemas de correo electrnico se han convertido en una fuente til de evidencia en litigios?

I

Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las investigaciones?

I

Cul de las siguientes es una prueba sustantiva?

I

Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?

I

Cul de las siguientes herramientas de auditora es la MS importante para un auditor de SI cuando Una herramienta de instantnea (snapshot) es ms til cuando se requiere una pista de auditora. ITF puede usarse para incorporar transacciones de prueba en una corrida normal de produccin. CIS es til cuando las se requiere una pista de auditora? transacciones que renen ciertos criterios necesitan ser examinadas. Los ganchos de auditora son tiles cuando slo se necesita examinar transacciones o procesos escogidos. Cul de las siguientes opciones sera normalmente la evidencia MS confiable para un auditor? La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B, C y D no serian consideradas confiables.

I

I

Cul de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada una muestra de programas para determinar si las versiones fuentes y las versiones objeto son las mismas?

Una prueba de cumplimiento determina si los controles estn operando como se disearon y si estn siendo aplicados en tal forma que cumplan con las polticas y procedimientos de gerencia. Por ejemplo, si al auditor de SI le preocupa si los controles de biblioteca de programas estn funcionando correctamente, el auditor de SI podra seleccionar una muestra de programas para determinar si las versiones

I

La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es el Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa sistema automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y en pruebas cambia? autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay

I

Cul de las siguientes tcnicas en lnea es ms efectiva para la deteccin temprana de errores o irregularidades?

La tcnica del gancho de auditora implica integrar cdigo en los sistemas de aplicacin para el examen de transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. Un modulo integrado de auditora implica integrar software escrito especialmente en el sistema anfitrin de aplicacin de la organizacin para que los sistemas de aplicacin sean monitoreados de El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una poblacin y se usa en la comprobacin de cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran La respuesta A describe mejor una prueba integrada (integrated test facility-ITF), que es un proceso de auditora especializado asistido por computadora que permite que auditor de SI pruebe una aplicacin de manera continua. La respuesta B es un ejemplo de un archivo de revisin de control de sistemas; las respuestas C y D son ejemplos de instantneas. La eficacia de los datos de prueba est determinada por la extensin de la cobertura de todos los controles clave a ser probados. Si los datos de prueba no cubren todas las condiciones vlidas y no vlidas, hay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el perodo cubierto por la auditora, pueden haberse efectuado para depurar o para funcionalidades El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa con que el personal de auditora Los objetivos de los programas CSA incluyen la educacin para la gerencia de lnea en responsabilidad del control, seguimiento y concentracin de todos en las reas de alto riesgo. Los objetivos de los programas de CSA incluyen el aumento de las responsabilidades de auditora, no el reemplazo de las responsabilidades de auditora. Las opciones C y D son herramientas de CSA y no objetivos. Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin. Durante la planeacin, el auditor de SI debera obtener una visin general de las funciones que estn siendo auditadas y evaluar los riesgos de auditora y de negocios. Las opciones A y D son parte del proceso de trabajo de campo de la auditora que ocurre posterior a esta planeacin y preparacin. La opcin C no es parte de una revisin de seguridad.

I

Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?

I

Cul de los siguientes describe MEJOR una prueba integrada (integrated test facility-ITF)?

I

Cul de los siguientes es el MAYOR desafo al utilizar datos de prueba?

I

Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?

I

Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)?

I

Cul de los siguientes es una ventaja de una prueba integrada (ITF)?

I

Cul de los siguientes pasos realizara PRIMERO un auditor de SI normalmente en una revisin de seguridad del centro de datos?

I

La prueba de integridad de dominio est dirigida a verificar que los datos se ajusten a las definiciones, Cul de los siguientes podra ser usado por un auditor de SI para validar la efectividad de las rutinas i.e., los elementos de datos estn todos en los dominios correctos. El objetivo principal de este ejercicio es de edicin y de validacin? verificar que las rutinas de edicin y de validacin estn funcionando de manera satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican calcular y verificar diversos campos

I

Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos siguientes?

Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditora. Los riesgos inherentes por lo general no estn afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compaa. Los riesgos financieros no estn afectados por el auditor de SI. Observando el personal de SI cuando realiza operaciones no compatibles y entrevistando el tareas realizadas. Basado en las observaciones La gerencia no puede estar en conocimiento sus tareas, el auditor de SI puede identificar si ellos estn realizando personal de SI el auditor puede obtener un panorama general de las y entrevistas, el auditor puede evaluar la segregacin de funciones. de las funciones detalladas de cada empleado en el departamento de

I

Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un departamento de SI?

I

A travs de todas las fases de un trabajo de auditora, el Auditor de SI debe concentrarse en:

A travs de todas las fases de la auditora de SI, el auditor debe asegurarse que haya documentacin adecuada. La recoleccin de evidencias, el muestreo y las pruebas sustantivas no ocurren en todas las fases de una auditora; por ejemplo, la fase de reporte no requiere la recoleccin de evidencias, sino que utilizara las evidencias recolectadas en una fase anterior del proceso de auditora. Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar sobre su presencia a la organizacin, luego esperar la respuesta de sta. La opcin A se debe emprender despus de la opcin C. Esto permitir al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El auditor de SI no debe hacer cambios al sistema que est siendo auditado, y asegurar la eliminacin del virus es una Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est determinado por El auditor de SI es en ltima instancia responsable ante la alta gerencia y ante el comit de auditora de la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opcin B), ello se hace nicamente para obtener acuerdo sobre los hallazgos y para desarrollar un curso de accin correctiva. La opcin C es incorrecta porque el director de auditora de SI debe revisar el reporte Para desarrollar una estrategia de auditora basada en el riesgo, es crtico que se entiendan los riesgos y vulnerabilidades. Esto determinar las reas a ser auditadas y la extensin de la cobertura. Entender si los controles apropiados requeridos para mitigar los riesgos estn instalados es un efecto resultante de una auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente relacionados El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la adecuacin de documentacin de red, especficamente los diagramas de topologa. Si esta informacin no est actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no sern efectivos. Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos pueden ser tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. La opcin D es

I

Al llevar a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el siguiente paso del auditor de SI?

I

Al planear una auditora, el paso MS crtico es la identificacin de:

I

Cuando comunican los resultados de auditora, los auditores de SI deben recordar que en ltima instancia ellos son los responsables ante:

I

Cuando se est desarrollando una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo una evaluacin del riesgo para asegurar que:

I

Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar:

I

Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro de un proceso, un auditor de SI debera estar consciente:

I

Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar:

El primer paso y el ms crtico en el proceso es identificar las reas de alto riesgo dentro de la organizacin. Los gerentes del departamento de negocios y altos ejecutivos estn en las mejores posiciones para ofrecer una opinin respecto a estas reas. Una vez que las reas potenciales de implementacin hayan sido identificadas, se debera realizar una evaluacin del impacto potencial para identificar las aplicaciones que proveen el La preservacin y la documentacin de evidencias a ser revisadas por las autoridades policiales y judiciales es una preocupacin primaria cuando se lleva a cabo una investigacin. No preservar las evidencias debidamente, podra poner en peligro la aceptacin de las evidencias en los procesos legales. El anlisis, la evaluacin y la revelacin son importantes pero no son de importancia primaria en una investigacin forense. Los procedimientos son procesos posibles que un auditor de SI puede seguir en un trabajo de auditora. Para determinar si algn procedimiento especfico es apropiado, el Auditor de SI debe usar su juicio profesional apropiado para las circunstancias especficas. Juicio profesional implica una evaluacin subjetiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditora. El juicio se ocupa de un rea gris donde Las normas de auditora de ISACA requieren que un auditor de SI planee el trabajo de auditora para alcanzar los objetivos de auditora. La opcin B es incorrecta porque el auditor no recoge evidencias en la etapa de planeacin de una auditora. Las opciones C y D son incorrectas porque ellas no son las metas primarias de planeacin de una auditora. Las actividades descritas en las opciones B, C y D son todas Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto, el mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los objetivos de la auditora, es decir,

I

Cuando se realiza una investigacin forense de computadora, un auditor de SI debe preocuparse MS de:

respecto a las evidencias recolectadas,

I

Cuando se seleccionan procedimientos de auditora, el Auditor de SI debe usar su juicio profesional para asegurar que:

I

Durante la etapa de planeacin de una auditora de SI, la meta PRIMARIA del auditor es:

I

Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba procedimientos de seguridad documentados. El auditor de SI debe:

I

Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor deLas debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetros est instalada debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de parte del incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se estn verificando auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al gerente local sin debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera: reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas. Durante una revisin de los controles sobre el proceso de definir los niveles de servicios de TI,Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que cada un auditor de SI entrevistara MS una de las otras entidades enumeradas puede suministrar alguna definicin la mejor eleccin aqu es el gerente probablemente al: de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos relacionados con la organizacin. Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri numerosas duplicaciones de nombre de cliente que surgan de variaciones en los primeros nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara: Como el nombre no detectar duplicaciones entonces seguidamente direcciones. Buscar los es el mismo ( debido a variaciones de los primeros nombres ), un mtodo para seria comparar otros campos comunes, como por ejemplo las direcciones Y podra llevarse a cabo una revisin para determinar los nombres de los clientes en estas nmeros de cuenta duplicados probablemente no hallara duplicaciones de nombres ya

I

I

I

El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para permitir la recuperacin apropiada. Este es un:

Los objetivos de control de SI especifican el conjunto mnimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organizacin. Los procedimientos de control se desarrollan para proveer una garanta razonable de que se lograran los objetivos especficos. Un control correctivo es una categora de controles, que est dirigida a minimizar la amenaza y/o a remediar los problemas

I

El xito de la autoevaluacin de control (CSA) depende en gran medida de:

El objetivo primario de un programa de CSA es repaldar la funcin de auditora interna pasando algunas de las responsabilidades de monitoreo de control a los gerentes de lnea del rea funcional. El xito de un programa de autoevaluacin de control (CSA) depende del grado en el que los gerentes de lnea asumen la responsabilidad de los controles. Las opciones B, C y D son caractersticas de un mtodo tradicional de auditora, El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un alcance estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos, que una auditora que tuviera un propsito y un alcance mas amplios. El alcance de una auditora de SI no debera ser restringidos por la Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no resolveran la exactitud de clculos individuales de impuestos. La razn primaria para llevar a cabo auditoras de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. Examinar libros de contabilidad es uno de los procesos involucrados en una auditora de SI pero no es el propsito primario. Detectar fraudes podra ser una consecuencia de una auditora de SI pero no es el propsito para el que se realiza una auditora de SI. Habilitar pistas de auditora ayuda establecer la obligacin de rendir cuentas y la responsabilidad de las transacciones procesadas, rastreando transacciones a travs del sistema. El objetivo de habilitar software para proveer pistas de auditora no es mejorar la eficiencia del sistema, ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Habilitar pistas El contrato de auditora tpicamente establece la funcin y la responsabilidad del departamento de auditora interna. Debera establecer los objetivos de la gerencia y la delegacin de autoridad al departamento de auditora. Este se cambia muy pocas veces y no contiene el plan de auditora o el proceso de auditora que es por lo general parte del plan anual de auditora, ni describe un cdigo de conducta profesional ya Este es un ejemplo de riesgo de deteccin.

I

El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado basado en:

I

El MEJOR mtodo de probar la exactitud de un sistema de clculo de impuestos es:

I

El objetivo PRIMARIO de una funcin de auditora de SI es:

I

El propsito PRIMARIO de las pistas de auditora es:

I

El propsito PRIMARIO de un contrato de auditora es:

I

El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen cuando en realidad existen, es un ejemplo de:

I

El riesgo general del negocio para una amenaza en particular se puede expresar como:

La opcin A toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. La opcin B provee nicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo. De manera similar, la opcin C considera solamente la magnitud del dao y no la posibilidad de que una amenaza El riesgo de deteccin es el riesgo de que el auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen, cuando en realidad s existen. Usando muestreo estadstico, un auditor de SI puede cuantificar con qu aproximacin debe la muestra representar a la poblacin y debe cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que se hagan supuestos incorrectos sobre

I

El uso de procedimientos estadsticos de muestreo ayuda a minimizar el riesgo:

I

Las caractersticas del software El vicepresidente de recursos humanos ha solicitado una auditora para identificar los sobrepagos anlisis estadstico, verificacin de planilla/nmina para el ao anterior. usando software generalizado Cul sera la MEJOR tcnica de auditora para usar en esta situacin? planilla/nmina y, de ese modo,

generalizado de auditora incluyen cmputos matemticos, estratificacin, de secuencia, verificacin de duplicados y reclculos. El auditor de SI, de auditora, podra disear pruebas apropiadas para recalcular la determinar si hubo sobrepagos, y a quines fueron efectuados. Los datos

I

En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha identificado amenazas Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que las amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI e impactos potenciales. Inmediatamente despus, un auditor de SI debe: debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.

I

En el proceso de evaluar los controles de cambio de programa, un auditor de SI usara software de comparacin de cdigo fuente para:

El auditor tiene una garanta objetiva, independiente y relativamente completa de cambio de programa, ya que la comparacin del cdigo fuente identificar los cambios. La opcin B no es cierta, ya que los cambios hechos desde la adquisicin de la copia no estn incluidos en la copia del software. La opcin C no es cierta ya que el Auditor de SI tendr que obtener esta garanta por separado. La opcin D no es cierta, ya que cualesquiera Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importante que el auditor de SI elabore y aclare los riesgos y exposiciones, ya que es posible que los auditados no aprecien totalmente la magnitud de la exposicin. La meta debe ser explicar a los auditados o descubrir nueva informacin de que el auditor de SI puede no haber estado en conocimiento. Cualquier cosa que parezca amenazar a El primer industria siguiente probados paso para paso sobre en un enfoque de auditora basada en el riesgo es recolectar informacin sobre el negocio y la evaluar los riesgos inherentes. Despus de realizar la evaluacin de los riesgos inherentes, el sera realizar una evaluacin de la estructura de control interno. Los controles serian entonces la base de los resultados de prueba, se realizaran las pruebas sustantivas y serian evaluadas.

I

En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un hallazgo, el auditor de SI debe:

I

En un enfoque de auditora basado en el riesgo, un auditor de SI debera realizar primero una:

I

En un enfoque de auditora basado en el riesgo, un auditor de SI, adems del riesgo, estara influenciado por la:

La existencia de controles internos y operativos tendr un peso sobre el enfoque de la auditora por el auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el riesgo, sino tambin en los controles internos y operativos as como tambin en el conocimiento de la compaa y del negocio. Este tipo de decisin de anlisis del riesgo puede ayudar a relacionar el anlisis costo-beneficio del

I

En un servidor crtico, un auditor de SI descubre un caballo de Troya que fue producido por La prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debera sugerir controles correctivos, un virus conocido que explota una vulnerabilidad de un sistema operativo. Cul de los siguientes i.e., eliminar el cdigo. El auditor de SI no es responsable de investigar el virus. El auditor de SI puede analizar la informacin del virus y determinar si ste ha afectado el sistema operativo, pero esta es una tarea debera hacer PRIMERO un auditor? investigativa que tendra lugar despus de asegurarse que el cdigo malicioso ha sido eliminado. Instalar el En una auditora de SI de varios servidores crticos, el auditor quiere analizar las pistas de auditora para descubrir potenciales anomalas en el comportamiento de usuarios o del sistema. Cul de las herramientas siguientes es la MS adecuada para realizar esa tarea? Las herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los nmeros son secuenciales o incrementales. Las herramientas CASE se usan para asistir en el desarrollo de software. El software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para proveer estadsticas de produccin. Las

I

I

En una auditora de una aplicacin de inventario, qu mtodo proveer la MEJOR evidencia de que lasPara determinar la validez de la orden de compra, probar los controles de acceso proveer la mejor evidencia. Las opciones B y C estn basadas en mtodos posteriores al hecho, y la opcin D no sirve al propsito rdenes de compra son vlidas? porque lo que est en la documentacin del sistema puede no ser lo mismo que lo que est ocurriendo.

I

La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental implementacin de los controles necesarios. El auditor de SI debera:

en la

En esta situacin el auditor de SI debera informar a la gerencia sobre el perjuicio a la independencia para llevar a cabo auditoras posteriores en el rea del auditado. Un auditor de SI puede realizar asignaciones que no sean de auditora cuando la experiencia y conocimientos del auditor pueden ser de utilidad para la gerencia; sin embargo, realizando la asignacin que no es de auditora, el auditor de SI no puede llevar a cabo El lineamiento de auditora de SI sobre el uso de un anlisis del riesgo en la planeacin de auditora expresa: Todas las metodologas de anlisis de riesgo se basan en juicios subjetivos en ciento momento del proceso (por ejemplo, para asignar ponderaciones a los diversos parmetros.) El auditor de SI debe identificar las decisiones subjetivas requeridas para usar una metodologa en particular y considerar si estos La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. A menos que est presente especficamente como un consultor, el auditor de SI no debera participar en diseos detallados. Durante la fase de diseo, la funcin primaria del auditor de SI es asegurar que estn incluidos los controles. A menos que haya algn desvo potencial que reportar, al auditor de SI no le concierne el control de proyecto en Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez de que el auditor de SI realice procedimientos detallados de auditora, debera conducir y orientar a los clientes para evaluar su

I

La evaluacin de riesgos es un proceso:

I

La funcin PRIMARIA de un auditor de SI durante la fase de diseo del sistema de un proyecto de desarrollo de aplicaciones es:

I

La funcin tradicional de un auditor de SI en una autoevaluacin de control (control self-assessmentCSA) debe ser la de:

I

Una evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para la enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del riesgo. gerencia de seguridad de informacin es que ste asegura que: Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la La razn PRIMARIA de un auditor de SI que realiza un recorrido profesional durante la fase preliminar de una asignacin de auditora es: Entender el proceso de negocio es el primer paso que el Auditor de SI necesita realizar. Los estndares no requieren que el auditor realice un recorrido del proceso. Identificar las debilidades de los controles no es la razn primaria para el recorrido y ocurre tpicamente en una etapa posterior en la auditora, y planear las pruebas sustantivas tambin se hace en una etapa posterior en la auditora.

I

I

La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas expresa La responsabilidad La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditora de los autoridad, y obligaciones de rendir cuentas de la funcin de auditora de los sistemas de informacin deben sistemas de informacin estn debidamente documentadas en una carta o contrato de auditora (Audit ser debidamente documentadas en una carta de auditora o carta compromiso. Las opciones B y C Charter) y DEBEN ser: son incorrectas porque la carta de auditora debe ser aprobada por la gerencia de mas alto nivel, no La ventaja PRIMARIA de un enfoque continuo de auditora es que: El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran numero de transacciones, pero dejan muy pocas pistas de papel. La opcin A es incorrecta ya que el enfoque de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est llevando a

I

I

La directriz para la auditora de SI sobre la planeacin de la auditora de SI establece: Se debe Los anlisis de riesgos realizados por los auditores de SI son un factor crtico para la planeacin de la hacer un anlisis de riesgo para proveer garanta razonable de que se abarcaran adecuadamente los puntos auditora. Se debe hacer un anlisis del riesgo para proveer: materiales. Este anlisis debe identificar reas con riesgo relativamente alto de existencia de problemas materiales. Garanta suficiente de que se abarcaran los puntos materiales durante el trabajo de

I

Los diagramas de flujo de datos son usados por los Auditores de SI para:

Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningn orden jerrquico. El flujo de los datos no coincidir necesariamente con ningn orden jerrquico o de generacin de datos. Monitorear el tiempo (A) y los programas de auditora (D), as como tambin una capacitacin adecuada (B) mejorar la productividad del personal de auditora de SI (eficiencia y desempeo), pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se estn dedicando y que estn concentrados en las reas de mayor riesgo. El software generalizado de auditora facilitar la revisin de todo el archivo para buscar los objetos que satisfagan los criterios de seleccin. El software generalizado de auditora provee acceso a los datos y provee las caractersticas de cmputo, estratificacin, etc. El simulacro paralelo procesa los datos de produccin usando programas de computadora que simulan la lgica de programa de aplicacin y no

I

Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER paso sera:

I

Para determinar la suma de dlares de los cheques emitidos a cada vendedor en un perodo especificado, el Auditor de SI debe usar:

I

El software generalizado de auditora facilitara la revisin de todo el archivo de inventario para buscar los Para identificar el valor del inventario que se ha guardado (no han rotado) por ms de ocho semanas, rubros que cumplan los criterios de seleccin. El software generalizado de auditora provee acceso directo a los lo MS probable es que un auditor de datos y provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar SI utilice: programas, pero no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de muestreo Respecto al muestreo, se puede decir que: El muestreo estadstico cuantifica que tan aproximadamente debera una muestra representar a la poblacin, por lo general como un porcentaje. Si el auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede descender. El muestreo es generalmente aplicable cuando la poblacin se refiere a un control tangible o documentado. La opcin C es una descripcin del muestreo detenerse o seguir. La opcin D La planeacin estratgica pone en movimiento los objetivos corporativos o departamentales. La planeacin estratgica est orientada al tiempo y al proyecto, pero debe tambin tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Revisar los planes estratgicos a largo plazo no alcanzara los objetivos expresados por las otras opciones. Se puede comprometer la independencia si el auditor de el desarrollo, adquisicin, e implementacin del sistema que no comprometen la independencia del auditor independencia del auditor de sistemas no compromete sistemas est o ha estado involucrado activamente en de aplicacin. Las opciones B y C son situaciones de sistemas. La opcin D es incorrecta porque la suministrando asesora sobre las mejores prcticas

I

I

Revisar los planes estratgicos a largo plazo de la gerencia ayuda al auditor de SI a:

I

Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. Cul de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas:

I

Un auditor de SI debe usar muestreo estadstico y no muestreo de juicio (no estadstico), cuando:

Dada una tasa de error esperado y un nivel de confianza, el muestreo estadstico es un mtodo objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamao de la muestra y a cuantificar la probabilidad de error (coeficiente de confianza). La opcin B es incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea representativa de la poblacin. Este riesgo existe tanto para las muestras de

I

Un auditor de SI descubre evidencia de fraude perpetrado con la identificacin del usuario de Las debilidades de control de contrasea significan que cualquiera de las otras tres opciones podra ser un Gerente. El gerente haba escrito la contrasea, asignada por el administrador del sistema, cierta. La seguridad de contrasea identificara normalmente al perpetrador. En este caso, no establece culpa dentro del cajn/ la gaveta de su escritorio. El auditor de SI debera concluir que el: ms all de la duda

I

Un Auditor de SI emite un reporte de auditora sealando la falta de funciones de proteccin de firewall en la entrada (gateway) perimetral de la red y recomienda que un vendedor de productos resuelva esta vulnerabilidad. El auditor no ha ejercido:

Cuando un auditor de SI recomienda un vendedor especfico, ellos comprometen su independencia profesional. La independence organizacional no tiene relevancia para el contenido de un reporte de auditora y debe considerarse en el momento de aceptar el compromiso. Las competencias tcnica y profesional no son relevantes para el requerimiento de independencia. Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Las opciones B, C y D son ejemplos de

I

Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul de las siguientes es una funcin de usuario que el auditor de SI debe revisar?

I

El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos y Un auditor de SI est evaluando una red corporativa en busca de una posible penetracin por expone los recursos de la red a la explotacin parte de empleados internos. Cul de los hallazgos siguientes debera preocupar MS al auditor de(maliciosa ). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos SI? IDs de usuario tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un riesgo de seguridad, pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10 formularios &ldquo ;nuevo usuario ms recientes fueron correctamente autorizados. Este es un ejemplo de: La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las polticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. El muestreo de variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los saldos de los estados financieros. El Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigacin

I

I

Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas de informacin. El auditor de SI debe PRIMERO revisar:

I

Un auditor de SI evala los resultados de prueba de una modificacin a un sistema que trata conEl auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar los cmputo de pagos. El auditor encuentra que el 50 % de los clculos no coinciden con los totales resultados. Despus de que los clculos hayan sido confirmados, ms pruebas pueden ser llevadas a cabo y predeterminados. Cul de los siguientes es MS probable que sea el siguiente paso en la auditora? revisadas. La preparacin de reportes, hallazgos y recomendaciones no se hara hasta que todos los resultados fueran confirmados. Un auditor de SI ha evaluado los controles en busca de la integridad de los datos en una aplicacin financiera. Cul de los hallazgos siguientes sera el MS significativo? Este es el hallazgo ms significativo ya que afecta directamente la integridad de los datos de la aplicacin y es evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de procesamiento. A pesar de que las copias de respaldo slo una vez por semana es un hallazgo, ello no afecta la integridad de los datos en el sistema. La documentacin incompleta de desarrollo de la aplicacin no afecta la Comparar los totales de control de los datos importados con los totales de control de los datos originales es el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la totalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en el orden de clasificacin. Adems la clasificacin no provee totales de control para verificar la totalidad Si las respuestas que se dieron a las preguntas del auditor no fueran confirmadas por los procedimientos documentados o por las descripciones de los puestos de trabajo, el Auditor de SI debe expandir el alcance de las pruebas de los controles e incluir pruebas sustantivas adicionales. No hay evidencias de si los controles que podran existir son adecuados o inadecuados. Poner mayor confianza en las auditoras anteriores o

I

I

Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados estn completos se lleva a cabo:

I

Un Auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no respaldan las descripciones de los puestos de trabajo y de los procedimientos documentados. Bajo estas circunstancias, el Auditor de SI debe:

I

Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes acciones debera emprender el auditor de SI?

El uso de software no autorizado o ilegal debe estar prohibido en una organizacin. La piratera de software tiene como consecuencia la exposicin inherente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un auditor de SI no debe asumir la funcin del oficial de cumplimiento niasumir participacin personal alguna para retirar o Un control de revisin de aplicaciones implica la evaluacin de los controles automatizados de la aplicacin y una evaluacin de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditora de aplicacin pero no forman parte de una auditora restringida a una revisin de controles. Un organigrama provee informacin Esto ayuda al auditor de SI a saber trabajo proporcionara informacin informacin sobre el uso de diversos sobre las responsabilidades y la autoridad de personas en la organizacin. si hay una segregacin apropiada de funciones. Un diagrama de flujo de sobre las funciones de diferentes empleados. Un diagrama de red proveer canales de comunicacin e indicar la conexin de los usuarios a la red.

I

Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara:

I

Un auditor de SI revisa un organigrama PRIMARIAMENTE

para:

I

Un auditor de SI revisando la efectividad de los controles de TI, encontr un informe de audit