Upload
karyna-banda
View
210
Download
0
Tags:
Embed Size (px)
Citation preview
DOMINIO 1 The IS Audit Process
1. Durante una revisin de los controles sobre el proceso de definir los niveles de servicios de TI, un auditor de SI entrevistara MS probablemente al: A. programador de sistemas. B. personal del departamento legal. C. gerente de la unidad de negocio. D. programador.
C. gerente de la unidad de negocio. Explicacin: Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que cada una de las otras entidades enumeradas puede suministrar alguna definicin la mejor eleccin aqu es el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos relacionados con la organizacin.
2. La evaluacin de riesgos es un proceso: A. subjetivo. B. objetivo. C. matemtico. D. estadstico.
A. subjetivo. Explicacin: El lineamiento de auditora de SI sobre el uso de un anlisis del riesgo en la planeacin de auditora expresa: "Todas las metodologas de anlisis de riesgo se basan en juicios subjetivos en ciento momento del proceso (por ejemplo, para asignar ponderaciones a los diversos parmetros.) El auditor de SI debe identificar las decisiones subjetivas requeridas para usar una metodologa en particular y considerar si estos juicios pueden hacerse y ser validos a un nivel apropiado de exactitud".
3. Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI? A. No reportar un ataque exitoso en la red B. No notificar a la polica sobre un intento de intrusin C. La falta de examen peridico de derechos de acceso D. La falta de notificacin al pblico sobre un intruso
A. No reportar un ataque exitoso en la red Explicacin: No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un requisito y depende del deseo de la organizacin o de la falta del mismo de hacer saber sobre la intrusin.
4. El riesgo general del negocio para una amenaza en particular se puede expresar como: A. un producto de la probabilidad y de la magnitud del impacto si una amenaza explotara exitosamente una vulnerabilidad B. la magnitud del impacto si una fuente de amenaza explotara exitosamente la vulnerabilidad. C. la probabilidad de que cierta fuente de amenaza explotara cierta vulnerabilidad. D. la opinin colectiva del equipo de evaluacin de riesgos.
A. un producto de la probabilidad y de la magnitud del impacto si una amenaza explotara exitosamente una vulnerabilidad Explicacin: La opcin A toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. La opcin B provee nicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo. De manera similar, la opcin C considera solamente la magnitud del dao y no la posibilidad de que una amenaza explote una vulnerabilidad. La opcin D define el riesgo sobre una base arbitraria y no es adecuado para un proceso cientfico de administracin del riesgo.
5. La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la implementacin de los controles necesarios. El auditor de SI debera: A. rehusar la asignacin ya que no es la funcin del auditor de SI
B. informar a la gerencia de su incapacidad para llevar a cabo futuras auditoras. Explicacin: En esta situacin el auditor de SI debera informar a la gerencia sobre el perjuicio a la independencia para llevar a
B. informar a la gerencia de su incapacidad para llevar a cabo futuras auditoras. C. realizar la asignacin y las futuras auditoras con debido cuidado profesional. D. obtener la aprobacin de la gerencia usuaria para realizar la implementacin y seguimiento.
cabo auditoras posteriores en el rea del auditado. Un auditor de SI puede realizar asignaciones que no sean de auditora cuando la experiencia y conocimientos del auditor pueden ser de utilidad para la gerencia; sin embargo, realizando la asignacin que no es de auditora, el auditor de SI no puede llevar a cabo futuras auditoras del auditado ya que su independencia puede estar comprometida. Sin embargo, la independencia del auditor no se ver afectada cuando sugiera /recomiende controles al auditado despus de la auditora.
6. Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas de informacin. El auditor de SI debe PRIMERO revisar: A. los controles ya establecidos. B. la eficacia de los controles establecidos. C. el mecanismo para monitorear los riesgos relacionados con los activos. D. las amenazas /vulnerabilidades que afectan a los activos.
D. las amenazas /vulnerabilidades que afectan a los activos. Explicacin: Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigacin del riesgo y no durante la etapa de evaluacin del riesgo. Se debe establecer un mecanismo para monitorear constantemente los riesgos relacionados con los activos durante la funcin de monitoreo del riesgo que sigue a la etapa de evaluacin del riesgo.
7. En una auditora de SI de varios servidores crticos, el auditor quiere analizar las pistas de auditora para descubrir potenciales anomalas en el comportamiento de usuarios o del sistema. Cul de las herramientas siguientes es la MS adecuada para realizar esa tarea? A. Herramientas CASE B. Herramientas integradas (embedded) de recoleccin de datos C. Herramientas heursticas de escaneo D. Herramientas de deteccin de tendencias /varianzas
D. Herramientas de deteccin de tendencias /varianzas Explicacin: Las herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los nmeros son secuenciales o incrementales. Las herramientas CASE se usan para asistir en el desarrollo de software. El software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para proveer estadsticas de produccin. Las herramientas heursticas de escaneo se pueden usar para escanear en busca de virus para indicar cdigos posiblemente infectados.
8. Cul de los siguientes podra ser usado por un auditor de SI para validar la efectividad de las rutinas de edicin y de validacin? A. Prueba de integridad de dominio. B. Prueba de integridad relacional. C. Prueba de integridad referencial. D. Verificaciones de paridad.
A. Prueba de integridad de dominio. Explicacin: La prueba de integridad de dominio est dirigida a verificar que los datos se ajusten a las definiciones, i.e., los elementos de datos estn todos en los dominios correctos. El objetivo principal de este ejercicio es verificar que las rutinas de edicin y de validacin estn funcionando de manera satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican calcular y verificar diversos campos computados , tales como los totales de control. Las verificaciones de integridad referencial implican asegurar que todas las referencias a una llave/clave primaria desde otro archivo existen realmente en su archivo original. Una verificacin o chequeo de paridad es un bit agregado a cada carcter antes de la transmisin. El bit de paridad es una funcin de los bits que forman parte del carcter. El destinatario realiza la misma funcin en el carcter recibido y compara el resultado con el bit de paridad
transmitido. Si fuera diferente, se asume que hay un error.
9. Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)? A. Concentracin en las reas de alto riesgo B. El reemplazo de las responsabilidades de auditora C. La realizacin de cuestionarios de control D. Los talleres de facilitacin colaborativa
A. Concentracin en las reas de alto riesgo Explicacin: Los objetivos de los programas CSA incluyen la educacin para la gerencia de lnea en responsabilidad del control, seguimiento y concentracin de todos en las reas de alto riesgo. Los objetivos de los programas de CSA incluyen el aumento de las responsabilidades de auditora, no el reemplazo de las responsabilidades de auditora. Las opciones C y D son herramientas de CSA y no objetivos.
10. La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditora de los sistemas de informacin estn debidamente documentadas en una carta o contrato de auditora (Audit Charter) y DEBEN ser: A. aprobadas por el ms alto nivel de la gerencia. B. aprobadas por la gerencia del departamento de auditora. C. aprobadas por la gerencia del departamento de los usuarios. D. cambiadas cada ao antes del inicio de las auditoras de SI.
A. aprobadas por el ms alto nivel de la gerencia. Explicacin: La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas expresa "La responsabilidad autoridad, y obligaciones de rendir cuentas de la funcin de auditora de los sistemas de informacin deben ser debidamente documentadas en una carta de auditora o carta compromiso." Las opciones B y C son incorrectas porque la carta de auditora debe ser aprobada por la gerencia de mas alto nivel, no meramente por el departamento de auditora de los sistemas de informacin, o del departamento de usuarios. Las metodologa de planeacin resultantes deben ser revisadas y aprobadas por la alta gerencia y por el comit de auditora. La opcin D es incorrecta porque la carta de auditora, una vez establecida no es revisada de manera rutinaria y debe ser cambiada solo si el cambio puede ser, y es, justificado exhaustivamente.
11. Una prueba integrada (integrated test facilityITF) se considera una herramienta til de auditora porque: A. es un enfoque eficiente en costos de los controles de aplicacin de auditora. B. permite a la gerencia financiera y al auditor de SI integrar sus pruebas de auditora. C. compara el resultado (output) del procesamiento con datos calculados de manera independiente. D. provee al auditor de SI una herramienta para analizar una amplia gama de informacin.
C. compara el resultado (output) del procesamiento con datos calculados de manera independiente. Explicacin: Una facilidad de prueba integrada se considera una herramienta til de auditora porque usa los mismos programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la entidad como un medio de verificar el procesamiento adecuado.
12. Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul de las siguientes es una funcin de usuario que el auditor de SI debe revisar? A. Disponibilidad de documentacin de red en lnea B. Soporte de acceso a terminal a anfitriones (hosts) remotos C. Administracin de transferencia de archivo entre anfitriones (hosts) y comunicaciones entre usuarios D. Gerencia, auditora y control del desempeo
A. Disponibilidad de documentacin de red en lnea Explicacin: Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Las opciones B, C y D son ejemplos de funciones de sistemas operativos de red entre las cuales estn incluidas las siguientes: soportar el acceso de terminales a anfitriones (hosts) remotos, manejar la transferencia de archivos entre anfitriones (hosts), y comunicaciones entre usuarios.
13. Un auditor de SI descubre evidencia de fraude B. perpetrador no puede ser establecido mas all de la duda.
perpetrado con la identificacin del usuario de un Gerente. El gerente haba escrito la contrasea, asignada por el administrador del sistema, dentro del cajn/ la gaveta de su escritorio. El auditor de SI debera concluir que el: A. asistente del gerente perpetr el fraude. B. perpetrador no puede ser establecido mas all de la duda. C. fraude pudo haber sido perpetrado por el gerente. D. administrador del sistema perpetr el fraude.
Explicacin: Las debilidades de control de contrasea significan que cualquiera de las otras tres opciones podra ser cierta. La seguridad de contrasea identificara normalmente al perpetrador. En este caso, no establece culpa ms all de la duda.
14. Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar: A. los diagramas de topologa de red. B. el uso de ancho de banda de red. C. los informes de anlisis de trfico de red. D. las ubicaciones de cuellos de botella de la red.
A. los diagramas de topologa de red. Explicacin: El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la adecuacin de documentacin de red, especficamente los diagramas de topologa. Si esta informacin no est actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no sern efectivos.
15. En una auditora de una aplicacin de inventario, qu mtodo proveer la MEJOR evidencia de que las rdenes de compra son vlidas? A. Probar si un personal no apropiado puede cambiar los parmetros de aplicacin. B. Rastrear las rdenes de compra hasta un listado de computadora C. Comparar los reportes que se reciben con los detalles de las rdenes de compra D. Revisar la documentacin de aplicacin
A. Probar si un personal no apropiado puede cambiar los parmetros de aplicacin. Explicacin: Para determinar la validez de la orden de compra, probar los controles de acceso proveer la mejor evidencia. Las opciones B y C estn basadas en mtodos posteriores al hecho, y la opcin D no sirve al propsito porque lo que est en la documentacin del sistema puede no ser lo mismo que lo que est ocurriendo.
16. Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10 formularios "nuevo usuario" ms recientes fueron correctamente autorizados. Este es un ejemplo de: A. Muestreo de variables B. Prueba sustantiva C. Prueba de cumplimiento D. Muestreo detenerse o seguir (stop-or-go)
C. Prueba de cumplimiento Explicacin: La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las polticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. El muestreo de variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los saldos de los estados financieros. El desarrollo de pruebas sustantivas depende a menudo del resultado de las pruebas de cumplimiento. Si las pruebas de cumplimiento indican que hay controles internos adecuados, entonces las pruebas sustantivas se pueden minimizar. El muestreo stop-or-go permite que una prueba sea detenida lo antes posible y no es apropiada para verificar si se han seguido los procedimientos.
17. Una accin correctiva ha sido tomada por un auditado inmediatamente despus de la identificacin de un hallazgo que debera ser reportado. El auditor debe: A. incluir el hallazgo en el reporte final porque el auditor de SI es responsable de un reporte exacto de todos los hallazgos. B. no incluir el hallazgo en el reporte final porque el reporte de auditora debe incluir solamente los hallazgos no resueltos.
A. incluir el hallazgo en el reporte final porque el auditor de SI es responsable de un reporte exacto de todos los hallazgos. Explicacin: Incluir el hallazgo en el reporte final es una prctica de auditora generalmente aceptada. Si se emprende una accin despus de que comenz la auditora y antes de que terminara, el reporte de auditora debe identificar el hallazgo y describir la accin correctiva tomada. Un reporte de
C. no incluir el hallazgo en el reporte final porque la accin correctiva puede ser verificada por el auditor de SI durante la auditora. D. incluir el hallazgo en la reunin de cierre para fines de discusin solamente.
auditora debe reflejar la situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el auditado deben ser reportadas por escrito.
18. La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para la gerencia de seguridad de informacin es que ste asegura que: A. los activos de informacin estn sobreprotegidos. B. se aplique nivel bsico de proteccin independientemente del valor del activo. C. se apliquen niveles apropiados de proteccin a los activos de informacin. D. se dedique una proporcin igual de recursos para proteger todos los activos de informacin.
C. se apliquen niveles apropiados de proteccin a los activos de informacin. Explicacin: Una evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del riesgo. Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la evaluacin del riesgo asegurara que se aplique un nivel de proteccin apropiado al nivel de riesgo y al valor del activo, y por lo tanto, toma en cuenta el valor del activo. El enfoque de lnea base permite que ms recursos sean dirigidos hacia los activos que estn en mayor riesgo de dirigir los recursos a todos los activos.
19. Un auditor de SI evala los resultados de prueba de una modificacin a un sistema que trata con cmputo de pagos. El auditor encuentra que el 50 % de los clculos no coinciden con los totales predeterminados. Cul de los siguientes es MS probable que sea el siguiente paso en la auditora? A. Disear ms pruebas de los clculos que estn en error B. Identificar variables que pueden haber causado que los resultados de prueba sean incorrectos C. Examinar algunos de los casos de prueba para confirmar los resultados D. Documentar los resultados y preparar un reporte de hallazgos, conclusiones y recomendaciones
C. Examinar algunos de los casos de prueba para confirmar los resultados Explicacin: El auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar los resultados. Despus de que los clculos hayan sido confirmados, ms pruebas pueden ser llevadas a cabo y revisadas. La preparacin de reportes, hallazgos y recomendaciones no se hara hasta que todos los resultados fueran confirmados.
20. Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo? A. El cronograma de auditora puede realizarse con meses de anticipacin B. Es ms probable que los presupuestos de auditora sean cumplidos por el personal de auditora de SI C. El personal de auditora estar expuesto a una variedad de tecnologas D. Los recursos de auditora son asignados a las reas de mayor preocupacin
D. Los recursos de auditora son asignados a las reas de mayor preocupacin Explicacin: El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa con que el personal de auditora cumpla con los cronogramas en una auditora en particular, ni quiere decir necesariamente que una variedad ms amplia de auditoras se llevar a cabo en un ao dado.
21. Cul de las siguientes es la razn MS probable de por qu los sistemas de correo electrnico se han convertido en una fuente til de evidencia en litigios? A. Permanecen disponibles archivos de respaldo de
A. Permanecen disponibles archivos de respaldo de diferentes ciclos. Explicacin: Los archivos de respaldo contienen documentos, que
diferentes ciclos. B. Los controles de acceso establecen la responsabilidad de dar cuenta de la informacin de correo electrnico. C. La clasificacin de datos regula que informacin debera ser comunicada por correo electrnico. D. Dentro de la empresa, una poltica clara para usar el correo electrnico asegura que la evidencia esta disponible.
supuestamente han sido borrados, podran ser recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por correo electrnico, pero la creacin de la poltica no provee informacin requerida para fines de litigacin.
22. El vicepresidente de recursos humanos ha solicitado una auditora para identificar los sobrepagos de planilla/nmina para el ao anterior. Cul sera la MEJOR tcnica de auditora para usar en esta situacin? A. Datos de prueba B. Software generalizado de auditora C. Prueba integrada D. Mdulo de auditora integrado
B. Software generalizado de auditora Explicacin: Las caractersticas del software generalizado de auditora incluyen cmputos matemticos, estratificacin, anlisis estadstico, verificacin de secuencia, verificacin de duplicados y reclculos. El auditor de SI, usando software generalizado de auditora, podra disear pruebas apropiadas para recalcular la planilla/nmina y, de ese modo, determinar si hubo sobrepagos, y a quines fueron efectuados. Los datos de prueba probaran si existen controles que pudieran impedir los sobrepagos, pero no detectaran los errores de clculo especficos anteriores. Ni una prueba integrada ni un mdulo integrado de auditora detectaran errores para un perodo anterior.
23. El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen cuando en realidad existen, es un ejemplo de: A. riesgo inherente. B. riesgo de control. C. riesgo de deteccin. D. riesgo de auditora.
C. riesgo de deteccin. Explicacin: Este es un ejemplo de riesgo de deteccin.
24. Respecto al muestreo, se puede decir que: A. El muestreo es generalmente aplicable cuando la poblacin se refiere a un control intangible o no documentado. B. Si un auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede bajar. C. El muestreo de atributos ayudara a prevenir el muestreo excesivo de un atributo deteniendo una prueba de auditora lo antes posible. D. El muestreo variable es una tcnica para estimar la velocidad de ocurrencia de un control dado o conjunto de controles relacionados.
B. Si un auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede bajar. Explicacin: El muestreo estadstico cuantifica que tan aproximadamente debera una muestra representar a la poblacin, por lo general como un porcentaje. Si el auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede descender. El muestreo es generalmente aplicable cuando la poblacin se refiere a un control tangible o documentado. La opcin C es una descripcin del muestreo detenerse o seguir. La opcin D es una definicin de muestreo de atributos.
25. En un servidor crtico, un auditor de SI descubre un caballo de Troya que fue producido por un virus conocido que explota una vulnerabilidad de un sistema operativo. Cul de los siguientes debera hacer PRIMERO un auditor? A. Investigar el autor del virus B. Analizar el log del sistema operativo C. Asegurarse que el cdigo malicioso sea eliminado D. Instalar el parche que elimina la vulnerabilidad.
C. Asegurarse que el cdigo malicioso sea eliminado Explicacin: La prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debera sugerir controles correctivos, i.e., eliminar el cdigo. El auditor de SI no es responsable de investigar el virus. El auditor de SI puede analizar la informacin del virus y determinar si ste ha afectado el sistema operativo, pero esta es una tarea investigativa que tendra lugar despus de asegurarse que el cdigo malicioso ha sido eliminado. Instalar el parche que elimina la vulnerabilidad debe hacerlo el soporte tcnico.
26. Cul de los siguientes pasos realizara PRIMERO un auditor de SI normalmente en una revisin de seguridad del centro de datos? A. Evaluar los resultados de prueba de acceso fsico B. Determinar los riesgos/amenazas al lugar del centro de datos C. Revisar los procedimientos de continuidad del negocio D. Probar si hay evidencia de acceso fsico en los lugares sospechosos
B. Determinar los riesgos/amenazas al lugar del centro de datos Explicacin: Durante la planeacin, el auditor de SI debera obtener una visin general de las funciones que estn siendo auditadas y evaluar los riesgos de auditora y de negocios. Las opciones A y D son parte del proceso de trabajo de campo de la auditora que ocurre posterior a esta planeacin y preparacin. La opcin C no es parte de una revisin de seguridad.
27. Cuando se est desarrollando una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo una evaluacin del riesgo para asegurar que: A. los controles necesarios para mitigar los riesgos estn instalados. B. las vulnerabilidades y amenazas estn identificadas. C. los riesgos de auditora estn considerados. D. un anlisis de brecha es apropiado.
B. las vulnerabilidades y amenazas estn identificadas. Explicacin: Para desarrollar una estrategia de auditora basada en el riesgo, es crtico que se entiendan los riesgos y vulnerabilidades. Esto determinar las reas a ser auditadas y la extensin de la cobertura. Entender si los controles apropiados requeridos para mitigar los riesgos estn instalados es un efecto resultante de una auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente relacionados con el proceso de auditora y no son relevantes para el anlisis de riesgo del entorno a ser auditado. El anlisis de brecha por lo general se hara para comparar el estado real de un estado esperado o deseable.
28. Un auditor de SI ha evaluado los controles en busca de la integridad de los datos en una aplicacin financiera. Cul de los hallazgos siguientes sera el MS significativo? A. El propietario de la aplicacin no tena conocimiento de varios cambios realizados a la aplicacin por el departamento de TI. B. Se realizan copias de respaldo de los datos de la aplicacin, slo una vez por semana. C. La documentacin de desarrollo de la aplicacin est incompleta. D. Las instalaciones de procesamiento de informacin no estn protegidas por sistemas apropiados de deteccin.
A. El propietario de la aplicacin no tena conocimiento de varios cambios realizados a la aplicacin por el departamento de TI. Explicacin: Este es el hallazgo ms significativo ya que afecta directamente la integridad de los datos de la aplicacin y es evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de procesamiento. A pesar de que las copias de respaldo slo una vez por semana es un hallazgo, ello no afecta la integridad de los datos en el sistema. La documentacin incompleta de desarrollo de la aplicacin no afecta la integridad de los datos. La falta de sistemas apropiados de deteccin de incendios no afecta la integridad de los datos pero puede afectar el almacenamiento de los datos.
29. Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable? A. Una declaracin verbal del auditado B. Los resultados de una prueba realizada por una auditor de SI C. Un reporte de contabilidad por computadora generado internamente D. Una carta de confirmacin recibida de una fuente externa
D. Una carta de confirmacin recibida de una fuente externa Explicacin: La evidencia obtenida de fuentes externas es por lo general ms confiable que la obtenida desde dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del rea tcnica bajo revisin.
30. Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. Cul de las siguientes situaciones puede
A. implement un control especfico durante el desarrollo del sistema de aplicacin.
haber comprometido la independencia del auditor de sistemas? El auditor de sistemas: A. implement un control especfico durante el desarrollo del sistema de aplicacin. B. diseo un mdulo integrado de auditora exclusivamente para auditar el sistema de aplicacin. C. particip como miembro del equipo del proyecto del sistema de aplicacin, pero no tuvo responsabilidades operativas. D. suministr asesoramiento en relacin con las mejores prcticas del sistema de aplicacin.
Explicacin: Se puede comprometer la independencia si el auditor de sistemas est o ha estado involucrado activamente en el desarrollo, adquisicin, e implementacin del sistema de aplicacin. Las opciones B y C son situaciones que no comprometen la independencia del auditor de sistemas. La opcin D es incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesora sobre las mejores prcticas conocidas.
31. La funcin tradicional de un auditor de SI en una autoevaluacin de control (control self-assessmentCSA) debe ser la de A. facilitador. B. administrador. C. socio. D. accionista.
A. facilitador. Explicacin: Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez de que el auditor de SI realice procedimientos detallados de auditora, debera conducir y orientar a los clientes para evaluar su ambiente. Las opciones B, C y D no deben ser la funcin del auditor de SI. Estas funciones son ms apropiadas para el cliente.
32. Un auditor de SI revisa un organigrama PRIMARIAMENTE para: A. entender los flujos de trabajo. B. investigar diversos canales de comunicacin. C. entender las responsabilidades y la autoridad de las personas. D. investigar la red conectada con diferentes empleados.
C. entender las responsabilidades y la autoridad de las personas. Explicacin: Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organizacin. Esto ayuda al auditor de SI a saber si hay una segregacin apropiada de funciones. Un diagrama de flujo de trabajo proporcionara informacin sobre las funciones de diferentes empleados. Un diagrama de red proveer informacin sobre el uso de diversos canales de comunicacin e indicar la conexin de los usuarios a la red.
33. El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado basado en: A. la disponibilidad de la informacin critica requerida. B. la familiaridad del auditor con las circunstancias. C. la capacidad del auditado para encontrar evidencia relevante. D. el propsito y el alcance de la auditora que se haga.
D. el propsito y el alcance de la auditora que se haga. Explicacin: El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un alcance estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos, que una auditora que tuviera un propsito y un alcance mas amplios. El alcance de una auditora de SI no debera ser restringidos por la facilidad de obtener la informacin o por la familiaridad del auditor con el rea que esta siendo auditada. Recolectar toda la evidencia requerida es un elemento requerido de un auditor de SI y el alcance de la auditora no debe estar limitado por la capacidad del auditado de encontrar evidencia relevante.
34. En un enfoque de auditora basado en el riesgo, un auditor de SI, adems del riesgo, estara influenciado por la: A. disponibilidad de los CAATs.
D. existencia de controles internos y operativos. Explicacin: La existencia de controles internos y operativos tendr un
B. representacin de la gerencia. C. estructura de la organizacin y las responsabilidades del puesto de trabajo. D. existencia de controles internos y operativos.
peso sobre el enfoque de la auditora por el auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el riesgo, sino tambin en los controles internos y operativos as como tambin en el conocimiento de la compaa y del negocio. Este tipo de decisin de anlisis del riesgo puede ayudar a relacionar el anlisis costo-beneficio del control con el riesgo conocido, permitiendo elecciones prcticas. La naturaleza de tcnicas de prueba disponibles y las manifestaciones de la Gerencia, tienen poco impacto sobre el enfoque de auditora basado en el riesgo. A pesar de que la estructura de la organizacin y las responsabilidades del puesto de trabajo necesitan ser consideradas ellas no son consideradas directamente a menos que tengan un impacto en los controles internos y operativos.
35. Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara: A. la eficiencia de la aplicacin para cumplir con el proceso del negocio. B. el impacto de cualquier exposicin descubierta. C. los procesos del negocio atendidos por la aplicacin. D. la optimizacin de la aplicacin.
B. el impacto de cualquier exposicin descubierta. Explicacin: Un control de revisin de aplicaciones implica la evaluacin de los controles automatizados de la aplicacin y una evaluacin de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditora de aplicacin pero no forman parte de una auditora restringida a una revisin de controles.
36. Un auditor de SI debe usar muestreo estadstico y no muestreo de juicio (no estadstico), cuando: A. la probabilidad de error debe ser cuantificada de manera objetiva. B. el auditor desea evitar el riesgo de muestreo. C. el software generalizado de auditora no est disponible. D. no se puede determinar la tasa de error tolerable.
A. la probabilidad de error debe ser cuantificada de manera objetiva. Explicacin: Dada una tasa de error esperado y un nivel de confianza, el muestreo estadstico es un mtodo objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamao de la muestra y a cuantificar la probabilidad de error (coeficiente de confianza). La opcin B es incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea representativa de la poblacin. Este riesgo existe tanto para las muestras de juicio como para las muestras estadsticas. La opcin C es incorrecta porque el muestreo estadstico no requiere el uso de software generalizado de auditora. La opcin D es incorrecta porque la tasa de error tolerable debe estar predeterminada tanto para el muestreo de juicio como para el muestreo estadstico.
37. Cul de los siguientes es el MAYOR desafo al utilizar datos de prueba? A. Asegurar que la versin de programa probada es la misma que el programa de produccin. B. Crear datos de prueba que cubran todas las condiciones posibles vlidas y no vlidas C. Minimizar el impacto de transacciones adicionales sobre la aplicacin que est siendo probada D. Procesar los datos de prueba bajo la supervisin de un auditor
B. Crear datos de prueba que cubran todas las condiciones posibles vlidas y no vlidas Explicacin: La eficacia de los datos de prueba est determinada por la extensin de la cobertura de todos los controles clave a ser probados. Si los datos de prueba no cubren todas las condiciones vlidas y no vlidas, hay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el perodo cubierto por la auditora, pueden haberse efectuado para depurar o para funcionalidades adicionales. Sin embargo, como el mtodo de datos de prueba involucra la prueba de datos para el perodo de auditora, los cambios en el programa probado pueden tener un impacto mnimo. Las aplicaciones con la tecnologa actual por lo general no son afectadas por las transacciones adicionales. Los datos de
prueba son desarrollados por el auditor, sin embargo, no es necesario que el procesamiento sea bajo la supervisin de un auditor, ya que los datos de entrada sern verificados por los datos de salida (outputs).
38. Un Contrato de auditora debera: A. Ser dinmico y cambiar con frecuencia para coincidir con la naturaleza cambiante de la Tecnologa y la profesin de auditora. B. Establecer claramente los objetivos de la auditora para la delegacin de autoridad para el mantenimiento y revisin de los controles internos. C. Documentar los procedimientos de auditora designados para lograr los objetivos planeados de auditora. D. Descubrir la autoridad, alcance y responsabilidades generales de la funcin de auditora.
D. Descubrir la autoridad, alcance y responsabilidades generales de la funcin de auditora. Explicacin: Un contrato de auditora debera establecer los objetivos de la gerencia para, y la delegacin de autoridad a la auditora de SI. Este contrato no debera cambiar de manera significativa con l tiempo y debera ser aprobado al nivel mas alto de la gerencia. El contrato de auditora no estara a un nivel de detalle y por lo tanto no incluira objetivos o procedimientos especficos de auditora.
39. Al planear una auditora, el paso MS crtico es la identificacin de: A. las reas de alto riesgo. B. los conjuntos de habilidades del personal de auditora. C. los pasos de prueba en la auditora. D. el tiempo asignado para la auditora.
A. las reas de alto riesgo. Explicacin: Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est determinado por las reas a ser auditadas. Las cuales son primariamente seleccionadas con base en la identificacin de los riesgos.
40. Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor de SI encuentra debilidades menores en tres reasLa disposicin inicial de parmetros est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera: A. registrar las observaciones por separado con el impacto de cada una de ellas marcado contra cada hallazgo respectivo. B. advertir al gerente sobre probables riesgos sin registrar las observaciones, ya que las debilidades de control de menor importancia. C. registrar las observaciones y el riesgo que surjan de las debilidades colectivas. D. evaluar los jefes de departamento concernidos con cada observacin y documentarlo debidamente en el reporte.
C. registrar las observaciones y el riesgo que surjan de las debilidades colectivas. Explicacin: Las debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial de debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al gerente local sin reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas.
41. Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba procedimientos de seguridad documentados. El auditor de SI debe: A. crear el documento de procedimientos. B. dar por terminada la auditora. C. llevar a cabo pruebas de cumplimiento. D. identificar y evaluar las prcticas existentes.
D. identificar y evaluar las prcticas existentes. Explicacin: Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto, el mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los
objetivos de la auditora, es decir, la identificacin de los riesgos potenciales. Como no hay procedimientos documentados, no hay base contra la cual probar el cumplimiento.
42. El xito de la autoevaluacin de control (CSA) depende en gran medida de: A. hacer que los gerentes de lnea asuman una parte de la responsabilidad del monitoreo del control. B. asignar a los gerentes de personal la responsabilidad de crear, pero no monitorear, controles. C. la implementacin de una poltica estricta de control y controles impulsados por reglas. D. la implementacin de supervisin y el monitoreo de controles de tareas asignadas.
A. hacer que los gerentes de lnea asuman una parte de la responsabilidad del monitoreo del control. Explicacin: El objetivo primario de un programa de CSA es repaldar la funcin de auditora interna pasando algunas de las responsabilidades de monitoreo de control a los gerentes de lnea del rea funcional. El xito de un programa de autoevaluacin de control (CSA) depende del grado en el que los gerentes de lnea asumen la responsabilidad de los controles. Las opciones B, C y D son caractersticas de un mtodo tradicional de auditora, no de un mtodo de CSA.
43. Cul de las siguientes opciones sera normalmente la evidencia MS confiable para un auditor? A. Una carta de confirmacin recibida de un tercero verificando un saldo de cuenta. B. Garanta de la gerencia de lnea de que una aplicacin est funcionando como se la diseo. C. Los datos de tendencia obtenidos de fuentes de la Word Wide Web (internet) D. Los anlisis de ratio desarrollados por el auditor de SI a partir de los informes suministrados por la gerencia de lnea.
A. Una carta de confirmacin recibida de un tercero verificando un saldo de cuenta. Explicacin: La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B, C y D no serian consideradas confiables.
44. Un auditor de SI est evaluando una red corporativa en busca de una posible penetracin por parte de empleados internos. Cul de los hallazgos siguientes debera preocupar MS al auditor de SI? A. Hay un nmero de mdems externos conectados a la red. B. Los usuarios pueden instalar software en sus computadores/ordenadores (desktops) C. El monitoreo de la red es muy limitado D. Muchos IDs de usuarios tienen contraseas idnticas.
D. Muchos IDs de usuarios tienen contraseas idnticas. Explicacin: El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos y expone los recursos de la red a la explotacin (maliciosa). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos IDs de usuario tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un riesgo de seguridad, pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de usuario. Mientras que el impacto de muchos IDs de usuario que tengan contraseas idnticas puede ser elevado, (por ejemplo, debido a la instalacin de Caballos de Troya o programas de key-logging), la probabilidad no es elevada debido al nivel de conocimientos tcnicos que se requiere para penetrar exitosamente a la red. A pesar que el monitoreo de red puede ser un control de deteccin til, slo detectar el abuso de cuentas de usuario en circunstancias especiales y por lo tanto no es una primera lnea de defensa.
45. Un auditor de SI revisando la efectividad de los controles de TI, encontr un informe de auditora anterior, sin documentos de trabajo. Cmo debe proceder el auditor de SI? A. Suspender la auditora hasta que los documentos de trabajo estn disponibles. B. Basarse en el informe de auditora anterior. C. Volver a probar los controles asociados con las reas de
D. Informar a la gerencia de auditora y proponer volver a probar los controles. Explicacin: En ausencia de documentos de trabajo de auditora, un auditor de SI debe volver a probar los controles para ver su efectividad. Sin volver a probar el auditor no estar ejerciendo el debido cuidado profesional mientras realiza la auditora. Los documentos de trabajo pueden ayudar al
ms alto riesgo. D. Informar a la gerencia de auditora y proponer volver a probar los controles.
auditor a eliminar la necesidad de volver a probar; sin embargo, el auditor debe estar preparado para volver a probar los controles.
46. Cuando comunican los resultados de auditora, los auditores de SI deben recordar que en ltima instancia ellos son los responsables ante: A. la alta gerencia y/o el comit de auditora. B. el gerente de la entidad auditada. C. el director de auditora de SI. D. las autoridades judiciales.
A. la alta gerencia y/o el comit de auditora. Explicacin: El auditor de SI es en ltima instancia responsable ante la alta gerencia y ante el comit de auditora de la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opcin B), ello se hace nicamente para obtener acuerdo sobre los hallazgos y para desarrollar un curso de accin correctiva. La opcin C es incorrecta porque el director de auditora de SI debe revisar el reporte que el auditor de SI prepar, pero no es la persona que tomar las decisiones respecto a los hallazgos y sus consecuencias potenciales. La opcin D es incorrecta porque la responsabilidad de reportar a las autoridades judiciales descansara en la junta directiva y sus asesores legales.
47. El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para permitir la recuperacin apropiada. Este es un: A. procedimiento de control. B. objetivo de control. C. control correctivo. D. control operativo.
B. objetivo de control. Explicacin: Los objetivos de control de SI especifican el conjunto mnimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organizacin. Los procedimientos de control se desarrollan para proveer una garanta razonable de que se lograran los objetivos especficos. Un control correctivo es una categora de controles, que est dirigida a minimizar la amenaza y/o a remediar los problemas que no fueron impedidos o que no fueron inicialmente detectados. Los controles operativos se ocupan de las funciones y actividades operativas cotidianas, y ayudan a asegurar que las operaciones estn cumpliendo con los objetivos de negocio deseados.
48. Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes acciones debera emprender el auditor de SI? A. Borrar personalmente todas las copia del software no autorizado B. Informar al auditado sobre el software no autorizado y dar seguimiento para confirmar la eliminacin C. Reportar el uso del software no autorizado a la gerencia del auditado y la necesidad de prevenir que vuelva a ocurrir D. No emprender ninguna accin, ya que es una prctica comnmente aceptada y la gerencia de operaciones es responsable de monitorear dicho uso
C. Reportar el uso del software no autorizado a la gerencia del auditado y la necesidad de prevenir que vuelva a ocurrir Explicacin: El uso de software no autorizado o ilegal debe estar prohibido en una organizacin. La piratera de software tiene como consecuencia la exposicin inherente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un auditor de SI no debe asumir la funcin del oficial de cumplimiento niasumir participacin personal alguna para retirar o eliminar el software no autorizado.
49. En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha identificado amenazas e impactos potenciales. Inmediatamente despus, un auditor de SI debe: A. identificar y evaluar el proceso de anlisis del riesgo usado por la gerencia. B. identificar los activos de informacin y los sistemas subyacentes.
D. identificar y evaluar los controles existentes. Explicacin: Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que las amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.
C. revelar las amenazas y los impactos a la gerencia. D. identificar y evaluar los controles existentes.
50. Los diagramas de flujo de datos son usados por los Auditores de SI para: A. ordenar los datos jerrquicamente. B. resaltar las definiciones de datos de alto nivel. C. resumir grficamente las rutas y el almacenamiento de datos. D. describir detalles paso por paso de la generacin de datos.
C. resumir grficamente las rutas y el almacenamiento de datos. Explicacin: Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningn orden jerrquico. El flujo de los datos no coincidir necesariamente con ningn orden jerrquico o de generacin de datos.
51. Para identificar el valor del inventario que se ha guardado (no han rotado) por ms de ocho semanas, lo MS probable es que un auditor de SI utilice: A. datos de prueba. B. muestreo estadstico. C. una facilidad de prueba integrada. D. software generalizado de auditora.
D. software generalizado de auditora. Explicacin: El software generalizado de auditora facilitara la revisin de todo el archivo de inventario para buscar los rubros que cumplan los criterios de seleccin. El software generalizado de auditora provee acceso directo a los datos y provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar programas, pero no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de muestreo estadstico no pretende seleccionar condiciones especficas, sino que se usa para seleccionar muestras de manera aleatoria registros desde un archivo. En este caso, el auditor de SI querra verificar todos los tem que renen criterios y no solo una muestra de ellos. Una prueba integrada (integrated test facilityITF) permite al auditor de SI probar transacciones a travs del sistema en produccin.
52. Cul de las siguientes tcnicas en lnea es ms efectiva para la deteccin temprana de errores o irregularidades? A. mdulo integrado de auditora B. facilidad integrada de prueba C. Instantneas D. Ganchos de auditora
D. Ganchos de auditora Explicacin: La tcnica del gancho de auditora implica integrar cdigo en los sistemas de aplicacin para el examen de transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. Un modulo integrado de auditora implica integrar software escrito especialmente en el sistema anfitrin de aplicacin de la organizacin para que los sistemas de aplicacin sean monitoreados de manera selectiva. Una facilidad integrada de prueba se usa cuando no es prctico usar datos de prueba, y las instantneas o snapshots se usan cuando se requiere una pista de auditora.
53. El uso de procedimientos estadsticos de muestreo ayuda a minimizar el riesgo: A. de muestreo. B. de deteccin. C. inherente. D. de control.
B. de deteccin. Explicacin: El riesgo de deteccin es el riesgo de que el auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen, cuando en realidad s existen. Usando muestreo estadstico, un auditor de SI puede cuantificar con qu aproximacin debe la muestra representar a la poblacin y debe cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que se hagan supuestos incorrectos sobre las caractersticas de una poblacin a partir de la cual se selecciona una muestra.
Suponiendo que no hay controles compensatorios relacionados, el riesgo inherente es el riesgo de que exista un error, que podra ser material o significativo cuando se combina con otros errores durante la auditora. El muestreo estadstico ser material o significativo cuando se combine con otros errores encontrados durante la auditora. El muestreo estadstico no minimizar esto. El riesgo de control es el riesgo de que exista un error material, que el sistema de controles internos no impida ni detecte oportunamente.
54. Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri numerosas duplicaciones de nombre de cliente que surgan de variaciones en los primeros nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara: A. datos de prueba para validar los datos ingresados. B. datos de prueba para determinar las capacidades de seleccin del sistema. C. software generalizado de auditora para buscar duplicaciones de campo de direccin. D. software generalizado de auditora para buscar duplicaciones de campos de cuenta.
C. software generalizado de auditora para buscar duplicaciones de campo de direccin. Explicacin: Como el nombre no es el mismo ( debido a variaciones de los primeros nombres ), un mtodo para detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones Y podra entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los clientes en estas direcciones. Buscar los nmeros de cuenta duplicados probablemente no hallara duplicaciones de nombres ya que lo mas probable es que los clientes tengan nmeros de cuenta diferentes para cada combinacin. Los datos de prueba no serian tiles para detectar la extensin de cualquier caracterstica de dato, sino simplemente para determinar como fueron procesados los datos.
55. El propsito PRIMARIO de las pistas de auditora es: A. mejorar el tiempo de respuesta para los usuarios. B. establecer el deber de rendir cuenta y responsabilidad de las transacciones procesadas. C. mejorar la eficiencia operativa del sistema. D. proveer informacin til a los auditores que puedan desear rastrear transacciones.
B. establecer el deber de rendir cuenta y responsabilidad de las transacciones procesadas. Explicacin: Habilitar pistas de auditora ayuda establecer la obligacin de rendir cuentas y la responsabilidad de las transacciones procesadas, rastreando transacciones a travs del sistema. El objetivo de habilitar software para proveer pistas de auditora no es mejorar la eficiencia del sistema, ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Habilitar pistas de auditora si implica almacenamiento y de eso modo ocupa espacio de disco. La opcin D es tambin una razn valida; sin embargo, no es la razn primaria.
56. Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un departamento de SI? A. Discusin con la gerencia B. Revisin del organigrama C. Observacin y entrevistas D. Prueba de derechos de acceso de usuario
C. Observacin y entrevistas Explicacin: Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada respecto a la segregacin de funciones. Un organigrama no proveera detalles de las funciones de los empleados y la prueba de los derechos de usuario proveera informacin sobre los derechos que ellos tienen dentro de los sistemas de SI, pero no proveera informacin completa sobre las funciones que
ellos desempean.
57. El propsito PRIMARIO de un contrato de auditora es: A. documentar el proceso de auditora usado por la empresa. B. documentar formalmente el plan de accin del departamento de auditora. C. documentar un cdigo de conducta profesional para el auditor. D. describir la autoridad y responsabilidades del departamento de auditora.
D. describir la autoridad y responsabilidades del departamento de auditora. Explicacin: El contrato de auditora tpicamente establece la funcin y la responsabilidad del departamento de auditora interna. Debera establecer los objetivos de la gerencia y la delegacin de autoridad al departamento de auditora. Este se cambia muy pocas veces y no contiene el plan de auditora o el proceso de auditora que es por lo general parte del plan anual de auditora, ni describe un cdigo de conducta profesional ya que dicha conducta es fijada por la profesin y no por la gerencia.
58. Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER paso sera: A. programar las auditoras y monitorear el tiempo empleado en cada auditora. B. capacitar al personal de auditora de SI en la tecnologa corriente usada en la compaa. C. desarrollar el plan de auditora en base a la evaluacin detallada del riesgo. D. monitorear el progreso de las auditoras e iniciar las medidas de control de costos.
C. desarrollar el plan de auditora en base a la evaluacin detallada del riesgo. Explicacin: Monitorear el tiempo (A) y los programas de auditora (D), as como tambin una capacitacin adecuada (B) mejorar la productividad del personal de auditora de SI (eficiencia y desempeo), pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se estn dedicando y que estn concentrados en las reas de mayor riesgo.
59. En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un hallazgo, el auditor de SI debe: A. solicitar al auditado que firme un formulario de liberacin aceptando plena responsabilidad legal. B. elaborar sobre la significacin del hallazgo y los riesgos de no corregirlo. C. reportar el desacuerdo al comit de auditora para su resolucin. D. aceptar la posicin de los auditados ya que ellos son los propietarios del proceso.
B. elaborar sobre la significacin del hallazgo y los riesgos de no corregirlo. Explicacin: Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importante que el auditor de SI elabore y aclare los riesgos y exposiciones, ya que es posible que los auditados no aprecien totalmente la magnitud de la exposicin. La meta debe ser explicar a los auditados o descubrir nueva informacin de que el auditor de SI puede no haber estado en conocimiento. Cualquier cosa que parezca amenazar a los auditados reducir las comunicaciones efectivas y establecer una relacin adversa. Por la misma razn, el auditor de SI no debe aceptar automticamente porque los auditados expresen un punto de vista alterno.
60. Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar: A. los umbrales razonables objetivo. B. las reas de alto riesgo dentro de la organizacin. C. la ubicacin y el formato de los archivos de output. D. las aplicaciones que proveen la ms alta retribucin (payback) potencial.
B. las reas de alto riesgo dentro de la organizacin. Explicacin: El primer paso y el ms crtico en el proceso es identificar las reas de alto riesgo dentro de la organizacin. Los gerentes del departamento de negocios y altos ejecutivos estn en las mejores posiciones para ofrecer una opinin respecto a estas reas. Una vez que las reas potenciales de implementacin hayan sido identificadas, se debera realizar una evaluacin del impacto potencial para identificar las aplicaciones que proveen el mayor payback potencial a la organizacin. En este punto las pruebas y los umbrales razonables objetivo deberan determinarse antes de la programacin. Durante el desarrollo de sistemas, se debe definir la ubicacin y el formato de los archivos de salida (output) generados por los programas de monitoreo.
61. Un elemento clave en un anlisis de riesgo es /son: A. la planeacin de auditora. B. los controles. C. las vulnerabilidades. D. las responsabilidades.
C. las vulnerabilidades. Explicacin: Las vulnerabilidades son un elemento clave en la realizacin de un anlisis de riesgo. La planeacin de la auditora est constituida por procesos de corto y largo plazo que pueden detectar amenazas a los activos de informacin. Los controles mitigan los riesgos asociados con amenazas especficas. Las responsabilidades son parte del negocio y no son un riesgo en forma inherente.
62. Cul de los siguientes describe MEJOR una prueba integrada (integrated test facilityITF)? A. Una tcnica que permite al auditor de SI probar una aplicacin de computadora con el fin de verificar si hay un procesamiento correcto. B. La utilizacin de hardware y/o software para revisar y probar el funcionamiento de un sistema de computadora. C. Un mtodo para usar opciones especiales de programacin para permitir que se imprima la ruta a travs de un programa tomado para procesar una transaccin especifica. D. Un procedimiento para marcar y extender transacciones y registros maestros que son usados por una auditor de SI para pruebas.
A. Una tcnica que permite al auditor de SI probar una aplicacin de computadora con el fin de verificar si hay un procesamiento correcto. Explicacin: La respuesta A describe mejor una prueba integrada (integrated test facilityITF), que es un proceso de auditora especializado asistido por computadora que permite que auditor de SI pruebe una aplicacin de manera continua. La respuesta B es un ejemplo de un archivo de revisin de control de sistemas; las respuestas C y D son ejemplos de instantneas.
63. Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos siguientes? A. Inherentes. B. De deteccin. C. De control. D. De negocio.
B. De deteccin. Explicacin: Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditora. Los riesgos inherentes por lo general no estn afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compaa. Los riesgos financieros no estn afectados por el auditor de SI.
64. La ventaja PRIMARIA de un enfoque continuo de auditora es que: A. no requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est teniendo lugar el procesamiento. B. requiere que el auditor de SI revise y d un seguimiento de inmediato a toda la informacin recolectada. C. puede mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran nmero de transacciones. D. no depende de la complejidad de los sistemas de computadora de una organizacin.
C. puede mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran nmero de transacciones. Explicacin: El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran numero de transacciones, pero dejan muy pocas pistas de papel. La opcin A es incorrecta ya que el enfoque de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est llevando a cabo el procesamiento. La opcin B es incorrecta ya que un auditor de SI normalmente revisara y dara seguimiento slo a las deficiencias materiales o errores detectados. La opcin D es incorrecta ya que el uso de tcnicas de auditora continua depende efectivamente de la complejidad de los sistemas de computadora de una organizacin.
65. Un Auditor de sistemas que trate de determinar si el acceso a la documentacin de programas est restringido a
B. entreviste a los programas para averiguar los procedimientos que se estn siguiendo corrientemente.
las personas autorizadas, lo MS probable es que: A. evale los planes de retencin de registros para almacenarlos fuera de la facilidad. B. entreviste a los programas para averiguar los procedimientos que se estn siguiendo corrientemente. C. compare los registros de utilizacin para programacin de operaciones. D. revise los registros de acceso de archivos de datos para probar la funcin de biblioteca.
Explicacin: Preguntar a los programadores sobre los procedimientos que se estn siguiendo actualmente es til para determinar si el acceso a la documentacin de programas est restringido a las personas autorizadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la documentacin de programas. Probar los registros de utilizacin no resolver la seguridad de acceso a la documentacin de programas. Probar la seguridad de acceso a archivos de datos no resuelve la seguridad de la documentacin de programas.
66. Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las investigaciones? A. La preservacin de la cadena de custodia para la evidencia electrnica B. Ahorros en tiempo y en costo C. Eficiencia y eficacia D. Capacidad para investigar violaciones de los derechos de propiedad intelectual
A. La preservacin de la cadena de custodia para la evidencia electrnica Explicacin: El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las reglas de evidencia. Los ahorros en tiempo y en costos, opcin B, y la eficiencia y la eficacia, opcin C, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opcin D, es un ejemplo de un uso de software forense.
67. Al llevar a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el siguiente paso del auditor de SI? A. Observar el mecanismo de respuesta. B. Sacar el virus de la red. C. Informar de inmediato al personal apropiado. D. Asegurar que se elimine el virus.
C. Informar de inmediato al personal apropiado. Explicacin: Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar sobre su presencia a la organizacin, luego esperar la respuesta de sta. La opcin A se debe emprender despus de la opcin C. Esto permitir al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El auditor de SI no debe hacer cambios al sistema que est siendo auditado, y asegurar la eliminacin del virus es una responsabilidad de la gerencia.
68. Cul de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada una muestra de programas para determinar si las versiones fuentes y las versiones objeto son las mismas? A. Una prueba sustantiva de los controles de la biblioteca de programas B. Una prueba de cumplimiento de controles de la biblioteca de programas C. Una prueba de cumplimiento de los controles del compilador de programas D. Una prueba sustantiva de los controles de compilador de programas
B. Una prueba de cumplimiento de controles de la biblioteca de programas Explicacin: Una prueba de cumplimiento determina si los controles estn operando como se disearon y si estn siendo aplicados en tal forma que cumplan con las polticas y procedimientos de gerencia. Por ejemplo, si al auditor de SI le preocupa si los controles de biblioteca de programas estn funcionando correctamente, el auditor de SI podra seleccionar una muestra de programas para determinar si las versiones fuente y las versiones objeto son las mismas. En otras palabras, el principal objetivo de cualquier prueba de cumplimiento es proveer a los auditores una garanta razonable de que un control en particular en el que el auditor planea basarse est operando como el auditor lo percibi en la evaluacin preliminar.
69. Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro de un proceso, un auditor de SI debera estar consciente:
A. del punto en que los controles son ejercidos como flujos de datos a travs del sistema. Explicacin:
A. del punto en que los controles son ejercidos como flujos de datos a travs del sistema. B. de que solo los controles preventivos y de deteccin son relevantes. C. de que los controles correctivos solo pueden ser considerados como compensatorios. D. de que la clasificacin permite a un auditor de SI determinar que controles faltan.
Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos pueden ser tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. La opcin D es incorrecta e irrelevante ya que la existencia y funcin de los controles es importante, no la clasificacin.
70. Los anlisis de riesgos realizados por los auditores de SI son un factor crtico para la planeacin de la auditora. Se debe hacer un anlisis del riesgo para proveer: A. garanta razonable de los puntos materiales de SI sern cubiertos durante el trabajo de auditora. B. garanta suficiente de que los puntos materiales sern cubiertos durante el trabajo de auditora. C. garanta razonable de que todos los puntos sern cubiertos durante el trabajo de auditora. D. garanta suficiente de que todos los puntos sern cubiertos durante el trabajo de auditora.
A. garanta razonable de los puntos materiales de SI sern cubiertos durante el trabajo de auditora. Explicacin: La directriz para la auditora de SI sobre la planeacin de la auditora de SI establece: "Se debe hacer un anlisis de riesgo para proveer garanta razonable de que se abarcaran adecuadamente los puntos materiales. Este anlisis debe identificar reas con riesgo relativamente alto de existencia de problemas materiales". Garanta suficiente de que se abarcaran los puntos materiales durante el trabajo de auditora es una proposicin impractica. Garanta razonable de que se abarcaran todos los puntos durante el trabajo de auditora no es la respuesta correcta ya que es necesario que los puntos materiales sean cubiertos, no todos los puntos.
71. Cul de los siguientes es una ventaja de una prueba integrada (ITF)? A. Usa archivos maestros reales o dummies y el auditor de SI no tiene que revisar la fuente de la transaccin B. Las pruebas peridicas no requieren procesos separados de prueba C. Valida los sistemas de aplicacin y prueba la operacin del sistema que se est realizando D. Elimina la necesidad de preparar datos de prueba
B. Las pruebas peridicas no requieren procesos separados de prueba Explicacin: Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin.
72. El objetivo PRIMARIO de una funcin de auditora de SI es: A. determinar si todos usan los recursos de SI de acuerdo con su descripcin del trabajo B. determinar si los sistemas de informacin salvaguardan activos, y mantienen la integridad de datos C. examinar libros de contabilidad y evidencia documentaria relacionada para el sistema computarizado D. determinar la capacidad de la organizacin para detectar fraude.
B. determinar si los sistemas de informacin salvaguardan activos, y mantienen la integridad de datos Explicacin: La razn primaria para llevar a cabo auditoras de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. Examinar libros de contabilidad es uno de los procesos involucrados en una auditora de SI pero no es el propsito primario. Detectar fraudes podra ser una consecuencia de una auditora de SI pero no es el propsito para el que se realiza una auditora de SI.
73. Cul de las siguientes es una prueba sustantiva? A. Verificar una lista de reportes de excepcin B. Asegurar la aprobacin para cambios de parmetros C. Usar una muestra estadstica para inventariar la biblioteca de cintas D. Revisar los reportes histricos de contrasea
C. Usar una muestra estadstica para inventariar la biblioteca de cintas Explicacin: Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una prueba de cumplimiento determina si se estn aplicando los controles de una forma consistente con
las polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la autorizacin para cambiar parmetros y revisar los reportes histricos de contrasea son todas pruebas de cumplimiento.
74. En un enfoque de auditora basado en el riesgo, un auditor de SI debera realizar primero una: A. evaluacin del riesgo inherente. B. evaluacin del riesgo de control. C. prueba de evaluacin de control. D. evaluacin de prueba sustantiva.
A. evaluacin del riesgo inherente. Explicacin: El primer paso en un enfoque de auditora basada en el riesgo es recolectar informacin sobre el negocio y la industria para evaluar los riesgos inherentes. Despus de realizar la evaluacin de los riesgos inherentes, el siguiente paso sera realizar una evaluacin de la estructura de control interno. Los controles serian entonces probados sobre la base de los resultados de prueba, se realizaran las pruebas sustantivas y serian evaluadas.
75. Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento? A. Muestreo de atributos. B. Muestreo de variables. C. Media estratificada por unidad. D. Estimacin de la diferencia.
A. Muestreo de atributos. Explicacin: El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una poblacin y se usa en la comprobacin de cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobacin de detalles o cantidad.
76. Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de controles (control self-assessmentCSA), es que ella: A. puede identificar las reas de alto riesgo que pudieran necesitar una revisin detallada mas tarde. B. permite al auditor de SI que evale el riesgo de manera independiente. C. se puede usar como reemplazo de las auditoras tradicionales. D. permite que la gerencia delegue la responsabilidad de control.
A. puede identificar las reas de alto riesgo que pudieran necesitar una revisin detallada mas tarde. Explicacin: La CSA se predica sobre la revisin de las reas de alto riesgo que o bien necesitan atencin inmediata o una revisin ms exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la participacin de tanto los auditores como la gerencia de lnea. Lo que ocurre es que la funcin de auditora interna pasa algunas de las responsabilidades de monitoreo de control a las reas funcionales. La respuesta C es incorrecta porque la CSA no es un reemplazo de las auditoras tradicionales. La CSA no pretende reemplazar las responsabilidades de la auditora, sino aumentarlas. La respuesta D es incorrecta porque la CSA no permite que la gerencia delegue su responsabilidad de controlar.
77. Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados estn completos se lleva a cabo: A. Comparar los totales de control de los datos importados con los totales de control de los datos originales B. Clasificando (sorting) los datos para confirmar si los datos estn en el mismo orden que los datosoriginales C. Revisando la impresin de los primeros 100 registros de los datos originales con los primeros 100 registros de los datos importados D. Filtrando los datos para diferentes categoras y comparndolos con los datos originales.
A. Comparar los totales de control de los datos importados con los totales de control de los datos originales Explicacin: Comparar los totales de control de los datos importados con los totales de control de los datos originales es el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la totalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en el orden de clasificacin. Adems la clasificacin no provee totales de control para verificar la totalidad (completeness). Revisar una impresin de 100 registros de datos originales con 100 registros de datos importados es un proceso de verificacin fsica y
confirma la correccin de estos registros solamente. Filtrar datos para diferentes categoras y compararlos con los datos originales an requerira que se desarrollen los totales de control para confirmar la totalidad de los datos.
78. La funcin PRIMARIA de un auditor de SI durante la fase de diseo del sistema de un proyecto de desarrollo de aplicaciones es: A. asesorar sobre los procedimientos de control especfico y detallado. B. asegurar que el diseo refleje exactamente el requerimiento. C. asegurar que todos los controles necesarios estn incluidos en el diseo inicial. D. asesorar a la gerencia de desarrollo sobre la adherencia al cronograma.
C. asegurar que todos los controles necesarios estn incluidos en el diseo inicial. Explicacin: La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. A menos que est presente especficamente como un consultor, el auditor de SI no debera participar en diseos detallados. Durante la fase de diseo, la funcin primaria del auditor de SI es asegurar que estn incluidos los controles. A menos que haya algn desvo potencial que reportar, al auditor de SI no le concierne el control de proyecto en esta etapa.
79. Cul de las siguientes herramientas de auditora es la MS importante para un auditor de SI cuando se requiere una pista de auditora? A. Prueba Integrada (ITF) B. Simulacro continuo e intermitente (CIS) C. Ganchos de auditora (Audit hooks) D. Instantneas (Snapshots)
D. Instantneas (Snapshots) Explicacin: Una herramienta de instantnea (snapshot) es ms til cuando se requiere una pista de auditora. ITF puede usarse para incorporar transacciones de prueba en una corrida normal de produccin. CIS es til cuando las transacciones que renen ciertos criterios necesitan ser examinadas. Los ganchos de auditora son tiles cuando slo se necesita examinar transacciones o procesos escogidos.
80. Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa en pruebas cambia? A. Listados de la biblioteca de prueba B. Listados de programas fuente C. Solicitudes de cambio de programas D. Listados de la biblioteca de produccin
D. Listados de la biblioteca de produccin Explicacin: La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es el sistema automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay ninguna garanta de que hayan sido elaboradas las solicitudes para todos los cambios. Los listados de biblioteca de prueba no representan los ejecutables aprobados y autorizados.
81. Revisar los planes estratgicos a largo plazo de la gerencia ayuda al auditor de SI a: A. lograr un entendimiento de las metas y objetivos de una organizacin. B. probar los controles internos de la empresa. C. determinar si la organizacin puede confiar en los sistemas de informacin. D. determinar el nmero de recursos de auditora que se necesitan.
A. lograr un entendimiento de las metas y objetivos de una organizacin. Explicacin: La planeacin estratgica pone en movimiento los objetivos corporativos o departamentales. La planeacin estratgica est orientada al tiempo y al proyecto, pero debe tambin tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Revisar los planes estratgicos a largo plazo no alcanzara los objetivos expresados por las otras opciones.
82. El MEJOR mtodo de probar la exactitud de un sistema de clculo de impuestos es: A. revisin visual detallada y anlisis del cdigo fuente de los programas de clculo.
C. preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados. Explicacin: Preparar transacciones simuladas para procesar y comparar
B. recrear un programa lgico usando software generalizado de auditora para calcular los totales mensuales. C. preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados. D. creacin automtica de diagrama de flujo y anlisis del cdigo fuente de los programas de clculo.
los resultados con resultados predeterminados es el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no resolveran la exactitud de clculos individuales de impuestos.
