Primero traten de contestarlas...
DISFRÚTENLAS !!!
1.- Los análisis de riesgos realizados por los auditores de SI son un factor crítico para la planeación de
A. garantía razonable de los puntos materiales de SI serán cubiertos durante el trabajo de auditoría.
B. garantía suficiente de que los puntos materiales serán cubiertos durante el trabajo de auditoría.
C. garantía razonable de que todos los puntos serán cubiertos durante el trabajo de auditoría.
D. garantía suficiente de que todos los puntos serán cubiertos durante el trabajo de auditoría.
2.- Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a:
A. lograr un entendimiento de las metas y objetivos de una organización.
B. probar los controles internos de la empresa.
C. determinar si la organización puede confiar en los sistemas de información.
D. determinar el número de recursos de auditoría que se necesitan.
3.- El departamento de SI de una organización quiere asegurarse de que los archivos de computadora usados en la instalación de procesamiento de información, estén respaldados adecuadamente para permitir la recuperación apropiada. Este es un:
A. procedimiento de control.
B. objetivo de control.
C. control correctivo.
D. control operativo.
4.- Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había procedimientos de seguridad documentados. El auditor de SI debe:
A. crear el documento de procedimientos.
B. dar por terminada la auditoría.
C. llevar a cabo pruebas de cumplimiento.
D. identificar y evaluar las prácticas existentes.
5.- En un enfoque de auditoría basado en el riesgo, un auditor de SI debería realizar primero una:
A. evaluación del riesgo inherente.
B. evaluación del riesgo de control.
C. prueba de evaluación de control.
D. evaluación de prueba sustantiva.
6.- La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de los sistemas de información están debidamente documentadas en una carta o contrato de auditoría (Audit Charter) y DEBEN ser:
A. aprobadas por el más alto nivel de la gerencia.
B. aprobadas por la gerencia del departamento de auditoría.
C. aprobadas por la gerencia del departamento de los usuarios.
D. cambiadas cada año antes del inicio de las auditorías de SI.
7.- Un Contrato de auditoría debería:
A. Ser dinámico y cambiar con frecuencia para coincidir con la naturaleza cambiante de la Tecnología y la profesión de auditoría.
B. Establecer claramente los objetivos de la auditoría para la delegación de autoridad para el mantenimiento y revisión de los controles internos.
C. Documentar los procedimientos de auditoría designados para lograr los objetivos planeados de auditoría.
D. Descubrir la autoridad, alcance y responsabilidades generales de la función de auditoría.
8.- Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar:
A. los umbrales razonables objetivo.
B. las áreas de alto riesgo dentro de la organización.
C. la ubicación y el formato de los archivos de output.
D. las aplicaciones que proveen la más alta retribución (payback) potencial.
9.- Cuando se está desarrollando una estrategia de auditoría basada en el riesgo, un auditor de SI debe llevar a cabo una evaluación del riesgo para asegurar que:
A. los controles necesarios para mitigar los riesgos están instalados.
B. las vulnerabilidades y amenazas están identificadas.
C. los riesgos de auditoría están considerados.
D. un análisis de brecha es apropiado.
10.- La evaluación de riesgos es un proceso:
A. subjetivo.
B. objetivo.
C. matemático.
D. estadístico.
11.- Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles (control self-assessment—CSA), es que ella:
A. puede identificar las áreas de alto riesgo que pudieran necesitar una revisión detallada mas tarde.
B. permite al auditor de SI que evalúe el riesgo de manera independiente.
C. se puede usar como reemplazo de las auditorías tradicionales.
D. permite que la gerencia delegue la responsabilidad de control.
12.- Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas:
A. implementó un control específico durante el desarrollo del sistema de aplicación.
B. diseño un módulo integrado de auditoría exclusivamente para auditar el sistema de aplicación.
C. participó como miembro del equipo del proyecto del sistema de aplicación, pero no tuvo responsabilidades operativas.
D. suministró asesoramiento en relación con las mejores prácticas del sistema de aplicación.
13.- La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la implementación de los controles necesarios. El auditor de SI debería:
A. rehusar la asignación ya que no es la función del auditor de SI
B. informar a la gerencia de su incapacidad para llevar a cabo futuras auditorías.
C. realizar la asignación y las futuras auditorías con debido cuidado profesional.
D. obtener la aprobación de la gerencia usuaria para realizar la implementación y seguimiento.
14.- El riesgo general del negocio para una amenaza en particular se puede expresar como:
A. un producto de la probabilidad y de la magnitud del impacto si una amenaza explotara exitosamente una vulnerabilidad
B. la magnitud del impacto si una fuente de amenaza explotara exitosamente la vulnerabilidad.
C. la probabilidad de que cierta fuente de amenaza explotara cierta vulnerabilidad.
D. la opinión colectiva del equipo de evaluación de riesgos.
15.- ¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI?
A. No reportar un ataque exitoso en
B. No
C. La falta de examen periódico de derechos de acceso
D. La falta de notificación al público sobre un intruso
16.- El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen cuando en realidad existen, es un ejemplo de:
A. riesgo inherente.
B. riesgo de control.
C. riesgo de detección.
D. riesgo de auditoría.
17.- El éxito de la autoevaluación de control (CSA) depende en gran medida de:
A. hacer que los gerentes de línea asuman una parte de la responsabilidad del monitoreo del control.
B. asignar a los gerentes de personal la responsabilidad de crear, pero no monitorear, controles.
C. la implementación de una política estricta de control y controles impulsados por reglas.
D. la implementación de supervisión y el monitoreo de controles de tareas asignadas.
18.- La función tradicional de un auditor de SI en una autoevaluación de control (control self-assessment—CSA) debe ser la de
A. facilitador.
B. administrador.
C. socio.
D. accionista.
19. ¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión de seguridad del centro de datos?
A. Evaluar los resultados de prueba de acceso físico
B. Determinar los riesgos/amenazas al lugar del centro de datos
C. Revisar los procedimientos de continuidad del negocio
D. Probar si hay evidencia de acceso físico en los lugares sospechosos
20. ¿Cuál de las siguientes opciones sería normalmente
A. Una carta de confirmación recibida de un tercero verificando un saldo de cuenta.
B. Garantía de la gerencia de línea de que una aplicación está funcionando como se la diseño.
C. Los datos de tendencia obtenidos de fuentes de
D. Los análisis de ratio desarrollados por el auditor de SI a partir de los informes suministrados por la gerencia de línea.
