Auditoria Informatica - CAP. 1 Manual CISA | Attempts: 1566

1.

El vicepresidente de recursos humanos ha solicita una auditoría para identificar los sobrepagos de planilla/nómina para el año anterior. ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?

A.

Datos de prueba
B.

Software generalizado de auditoría
C.

Prueba integrada
D.

Módulo de auditoría integrado

Correct Answer
B. Software generalizado de auditoría

Explanation
Las características del software generalizado de auditoría incluyen cómputos matemáticos, estratificación, análisis estadístico, verificación de secuencia, verificación de duplicados, recálculos. El auditor de SI, usando software generalizado de auditoría, podría diseñar pruebas apropiadas para recalcular la planilla/nómina y, de ese modo, determinar si hubo sobrepagos, y a quiénes fueron efectuados. Los datos de prueba probarían si existen controles que pudieran impedir los sobrepagos, pero no detectarían los errores de cálculo específicos anteriores. Ni una prueba integrada ni un módulo integrado de auditoría detectarían errores para un período anterior.

Rate this question:

2.

Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a:

A.

Lograr un entendimiento de las metas y objetivos de una organización
B.

Probar los controles internos de la empresa
C.

Determinar si la organización puede confiar en los sistemas de información
D.

Determinar el número de recursos de auditoría que se necesitan

Correct Answer
A. Lograr un entendimiento de las metas y objetivos de una organización

Explanation
La planeación estratégica pone en movimiento los objetivos corporativos o departamentales. La planeación estratégica está orientada al tiempo y al proyecto, pero debe también tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Revisar los planes estratégicos a largo plazo no alcanzaría los objetivos expresados por las otras opciones.

Rate this question:

3.

Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había procedimientos de seguridad documentados. El auditor de SI debe:

A.

Crear el documento de procedimientos
B.

Dar por terminada la auditoría
C.

Llevar a cabo pruebas de cumplimiento
D.

Identificar y evaluar las prácticas existentes

Correct Answer
D. Identificar y evaluar las prácticas existentes

Explanation
Uno de los principales objetivos de una auditoría es identificar los riesgos potenciales; por lo tanto, el método más proactivo sería identificar y evaluar las prácticas existentes de seguridad que la organización está siguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera, su independencia estaría en peligro. Dar por terminada la auditoría puede impedir que se logren los objetivos de la auditoría, es decir, la identificación de los riesgos potenciales. Como no hay procedimientos documentados, no hay base contra la cual probar el cumplimiento.

Rate this question:

4.

La función tradicional de un auditor de SI en una autoevaluación de control (control self-assessment - CSA) debe ser la de:

A.

Facilitador
B.

Administrador
C.

Socio
D.

Accionista

Correct Answer
A. Facilitador

Explanation
Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez de que el auditor de SI realice procedimientos detallados de auditoría, debería conducir y orientar a los clientes para evaluar su ambiente. Las opciones B, C y D no deben ser la función del auditor de SI. Estas funciones son más apropiadas para el cliente.

Rate this question:

5.

Cuando comunican los resultados de auditoría, los auditores de SI deben recordar que en última instancia ellos son los responsables ante:

A.

La alta gerencia y/o comité de auditoría
B.

El gerente de la entidad auditada.
C.

El director de auditoría de SI.
D.

Las auditoridades judiciales.

Correct Answer
A. La alta gerencia y/o comité de auditoría

Explanation
El auditor de SI es en última instancia responsable ante la alta gerencia y ante el comité de auditoría de la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opción B), ello se hace únicamente para obtener acuerdo sobre los hallazgos y para desarrollar un curso de acción correctiva. La opción C es incorrecta porque el director de auditoría de SI debe revisar el reporte que el auditor de SI preparó, pero no es la persona que tomará las decisiones respecto a los hallazgos y sus consecuencias potenciales. La opción D es incorrecta porque la responsabilidad de reportar a las autoridades judiciales descansaría en la junta directiva y sus asesores legales.

Rate this question:

6.

Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas de información. El auditor de SI debe PRIMERO revisar:

A.

Los controles ya establecidos.
B.

La eficacia de los controles establecidos
C.

El mecanismo para monitorear los riesgos relacionados con los activos.
D.

Las amenazas / vulnerabilidades que afectan a los activos.

Correct Answer
D. Las amenazas / vulnerabilidades que afectan a los activos.

Explanation
Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionados con el uso de diversos sistemas de información son las amenazas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de información deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigación del riesgo y no durante la etapa de evaluación del riesgo. Se debe establecer un mecanismo para monitorear constantemente los riesgos relacionados con los activos durante la función de monitoreo del riesgo que sigue a la etapa de evaluación del riesgo.

Rate this question:

7.

Al planear una auditoría, el paso MÁS critico es la identificación de:

A.

Las áreas de alto riesgo
B.

Los conjuntos de habilidades del personal de auditoría.
C.

Los pasos de prueba en la auditoría.
D.

El tiempo asignado para la auditoría.

Correct Answer
A. Las áreas de alto riesgo

Explanation
Cuando se diseña un plan de auditoría, es importante identificar las área de más alto riesgo para determinar las áreas a ser auditadas. Los conjuntos de habilidades del personal de auditoría deberían haberse considerado antes de decidir y de escoger la auditoría. Los pasos de prueba para la auditoría no son tan críticos como identificar las áreas de riesgo, y el tiempo asignado para una auditoría está determinado por las áreas a ser auditadas. Las cuales son primariamente seleccionadas con base en la identificación de los riesgos.

Rate this question:

8.

¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba?

A.

Asegurar que la versión de programa probada es la misma que el programa de producción.
B.

Crear datos de prueba que cubran todos las condiciones posibles válidas y no válidas.
C.

Minimizar el impacto de transacciones adicionales sobre la aplicación que está siendo probada
D.

Procesar los datos de prueba bajo la supervisión de un auditor.

Correct Answer
B. Crear datos de prueba que cubran todos las condiciones posibles válidas y no válidas.

Explanation
La eficacia de los datos de prueba está determinada por la extensión de la cobertura de todos los controles clave a ser probados. Si los datos de prueba no cubren todas las condiciones válidas y no válidas, hay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el período cubierto por la auditoría, pueden haberse efectuado para depurar o para funcionalidades adicionales. Sin embargo, como el método de datos de prueba involucra la prueba de datos para el período de auditoría, los cambios en el programa probado pueden tener un impacto mínimo. Las aplicaciones con la tecnología actual por lo general no son afectadas por las transacciones adicionales. Los datos de prueba son desarrollados por el auditor, sin embargo, no es necesario que el procesamiento sea bajo la supervisión de un auditor, ya que los datos de entrada serán verificados por los datos de salida (outputs).

Rate this question:

9.

El riesgo general del negocio para una amenaza en particular se puede expresar como:

A.

Un producto de la probabilidad y de la magnitud del impacto si una amenaza explotará exitosamente una vulnerabilidad.
B.

La magnitud del impacto si una fuente de amenaza explotara exitosamente la vulnerabilidad.
C.

La probabilidad de que cierta fuente de amenaza explotara cierta vulnerabilidad.
D.

La opinión colectiva del equipo de evaluación de riesgos.

Correct Answer
A. Un producto de la probabilidad y de la magnitud del impacto si una amenaza explotará exitosamente una vulnerabilidad.

Explanation
La opción A toma en consideración tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. La opción B provee únicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible daño al activo. De manera similar, la opción C, considera solamente la magnitud del daño y no la posibilidad de que una amenaza explote una vulnerabilidad. La opción D define el riesgo sobre una base arbitraria y no es adecuado para un proceso científico de administración del riesgo.

Rate this question: