preguntas evaluación de riesgos tecnológicos 2010
TRANSCRIPT
EVALUACION DEL PROCESO DEL NEGOCIO Y GERENCIA DE RIESGO.
C6-1 ¿Cuál de los siguientes es MAS probable que resulte de un proceso del proyecto de reingeniería de negocios (BPR)?
A Un mayor número de personas que usan tecnología.B Ahorros significativos de costo, a través de una reducción en la complejidad de la tecnología de información C Una estructura organizativa más débil y menos responsabilidad de rendir cuenta.D Mayor riesgo de protección de la información (IP).
A Un proyecto de BPR con más frecuencia conduce a un mayor número de personas que usan tecnología, y esto sería una causa de preocupación. Como BPR está frecuentemente orientada a la tecnología, y esta tecnología es por lo general más compleja y volátil que en el pasado, con frecuencia los ahorros de costo no se materializan en esta área. No hay razón para que IP entre en conflicto con un proyecto de BPR, a menos que el proyecto no sea ejecutado debidamente.
C6-2 Una compañía al por menor instaló recientemente software de clientes de almacenamiento de datos en diferentes sitios geográficos. Debido a diferencias de zonas de tiempo entre los sitios, las actualizaciones al almacén no están sincronizadas. ¿Cuál de los siguientes se verá MAS afectado?
A Disponibilidad de datos.B Totalidad de datos.C Redundancia de datos.D Inexactitud de datos.
B Las actualizaciones no sincronizadas generalmente causarán que la totalidad de los datos se vea afectada; por ejemplo, los datos de ventas provenientes de un sitio no coinciden con los costos incurridos en otro sitio.
C6-3 Una compañía ha implementado un nuevo sistema Cliente-servidor de planeación de empresas (ERP). Las sucursales locales transmiten órdenes de clientes a una instalación central de fabricación. ¿Cuál de las siguientes opciones aseguraría MEJOR que las órdenes sean ingresadas correctamente y que se produzcan los productos correspondientes?
A Verificar la producción con las órdenes del cliente.B Registrar todas las órdenes del cliente en el sistema ERPC Usar totales hash en el orden que transmite el proceso.D Aprobar (supervisor de producción) órdenes antes de la producción
A La verificación asegurará que las órdenes de producción coincidan con las órdenes del cliente. El registro se puede usar para detectar inexactitudes, pero en sí mismo no garantiza un procesamiento exacto. Los totales hash asegurarán la transmisión precisa de las órdenes, pero no el procesamiento centralizado exacto. La aprobación de supervisión de producción es un proceso manual que consume tiempo que no garantiza un control apropiado.
C6-04 Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata con cómputo de pagos. El auditor encuentra que el 50 % de los cálculos no coinciden con los totales predeterminados. ¿Cuál de las siguientes opciones es MAS probable que sea el siguiente paso en la auditoría:
A Diseñar más pruebas de los cálculos que están con error.B Identificar variables que puedan haber causado que los resultados de prueba sean incorrectos.C Examinar algunos de los casos de prueba para confirmar los resultados.D Documentar los resultados y preparar un reporte de hallazgos, conclusiones y recomendaciones.
C El auditor de SI deberá luego examinar casos donde ocurrieron cálculos incorrectos y confirmar los resultados. Después de que los cálculos hayan sido confirmados, más pruebas pueden ser llevadas a cabo y revisadas. La preparación de reportes, hallazgos y recomendaciones no se haría hasta que todos los resultados fueran confirmados.
C6-5 Cuál de las siguientes opciones provee MEJOR información para detectar una entrada (input) no autorizada proveniente de una terminal:
A Un impreso del registro de la consola.B El diario de transacciones.C Un listado automatizado de archivos en suspenso.D Un reporte de error de usuario.
B El diario de transacciones registraría toda la actividad de transacciones, que luego podría ser comparado con los documentos fuente autorizados para identificar cualquier entrada no autorizada. Un impreso de registro de consola no es lo mejor porque no registraría actividad proveniente de una terminal específica. Un listado automatizado de archivos en suspenso enumeraría solamente la actividad de transacciones donde ocurrió un error de edición, y el reporte de error de usuario enumeraría solamente la entrada que tuvo como consecuencia un error de edición.
C6-6 A medida que un proceso del proyecto de reingeniería del negocio ( BPR) se establece se espera que:
A Las prioridades del negocio permanezcan estables.B Las tecnologías de la información no cambien.C El proceso mejore el producto, servicio y rentabilidad.D La retroalimentación de clientes y agentes ya no será necesario.
B Una fortaleza de un sistema de calidad implementado basado en ISO 9001 es que aumenta las mejoras en las actividades del ciclo de vida del software, la garantía de calidad y control de calidad. Las debilidades del sistema incluyen que puede dejar de proveer respuestas claras a preguntas respecto a la productividad, confiabilidad o efectividad de costo del sistema. Un sistema de calidad no es una garantía de soluciones de calidad para los problemas del negocio ya que los requerimientos de usuario definidos de manera deficiente afectarán adversamente el diseño del software. Dependiendo de la madurez del sistema de calidad implementado, las etapas pueden variar desde procedimientos no implementados a totalmente implementados.
C6-7 A medida que un proceso del proyecto de reingeniería del negocio (BPR) se establece, se espera que:
A Las prioridades del negocio permanezcan estables.B Las tecnologías de la información no cambien.C El proceso mejore el producto, servicio y rentabilidad.D La retroalimentación de clientes y agentes ya no será necesaria.
C A medida que un proceso de reingeniería se establece, ciertos resultados clave comenzarán a surgir, incluyendo una concentración sobre el proceso como un medio de mejorar el producto, el servicio y la rentabilidad. Además, las nuevas prioridades del negocio y enfoques del uso de información, así como también surgirán tecnologías de información poderosas y más accesibles. Con frecuencia, las funciones de clientes y agentes serán redefinidas proveyéndolos de más participación directa y activa en el proceso del negocio de la empresa.
C6-8 ¿Cuál de las siguientes opciones es una amenaza?
A La falta de seguridad.B La pérdida de plusvalía.C El corte de energía.D Los servicios de información
C Las amenazas, como por ejemplo un corte de energía, son posibles fuentes de peligro para los activos de una organización. La falta de seguridad es una vulnerabilidad. Las vulnerabilidades son un conjunto de circunstancias susceptibles a ataques. La pérdida de plusvalía es un impacto. Los servicios de información son activos, vulnerables a amenazas y a los impactos resultantes.
C6-9 Una secuencia de bits unidos a un documento digital que se usa para asegurar un correo electrónico enviado a través de la Internet, se denomina una:
A Firma resumida.B Firma electrónica.C Firma digital.D Firma hash
C Una firma digital a través de la llave criptográfica privada autentica una transmisión proveniente de un remitente por medio de la llave criptográfica privada. Es una hilera de bits que representa de manera única otra hilera de bits, un documento digital. Una firma electrónica se refiere a la hilera de bits que digitalmente representa una firma manuscrita captada por un sistema de computadora cuando una persona la aplica en una almohadilla de pluma electrónica, conectada al sistema.
C6-10 Los controles de compensación están destinados a:
A Reducir el riesgo de una debilidad de control existente o potencial.B Predecir problemas potenciales antes de que ocurran.C Remediar problemas descubiertos por los controles de detección.D Reportar errores u omisiones.
A Los controles de compensación están destinados a reducir el riesgo de una debilidad de control existente o potencial. Las opciones B, C y D son características de controles preventivos, correctivos y de detección respectivamente.
C6-11 ¿Cuál de los siguientes es una verificación (control) de totalidad?
A Dígitos de verificación B Bits de paridadC Verificación uno a uno.D Entrada (input) registrado previamente.
B Los bits de paridad se usan para verificar si hay totalidad de transmisiones de datos. La opción A es incorrecta porque los dígitos de verificación son una verificación de control de exactitud. La opción C es incorrecta porque en la verificación uno a uno, los documentos individuales se hacen coincidir con un listado detallado de documentos procesados por la computadora, pero no aseguran que todos los documentos hayan sido recibidos para procesamiento. La opción D (input registrado previamente) es un control de archivo de datos en el cual los campos seleccionados de información están preimpresos en formularios de entrada para reducir la oportunidad de errores de registro.
C6-12 ¿Cuál de los siguientes tipos de verificaciones de edición de datos se usa para determinar si un campo contiene datos, y no ceros o espacios en blanco?
A Dígito de verificación B Verificación de existencia.C Verificación de totalidadD Verificación de razonabilidad
C Una verificación de totalidad se usa para determinar si un campo contiene datos y no ceros o espacios en blanco. Un dígito de verificación es un dígito calculado matemáticamente para asegurar que los datos originales no fueron alterados. Una verificación de existencia verifica los datos ingresados contra criterios predeterminados. Una verificación de razonabilidad compara la entrada contra los límites razonables predeterminados o tasas de ocurrencia.
C6-13 Las ediciones de datos son un ejemplo de:
A Controles preventivos.B Controles de detección C Controles correctivos.D Controles de compensación
A Las ediciones de datos son controles preventivos ya que se usan en un programa antes que los datos sean procesados, previniendo así el procesamiento de datos que contengan errores.
C6-14 Cuál de los siguientes tipos de controles está diseñado para proveer la capacidad de verificar datos y registrar valores a través de las etapas de procesamiento de la aplicación?
A Verificación de rangos.B Totales de ejecución a ejecución. C Verificaciones de límite sobre sumas calculadas.D Reporte de excepción.
B Los totales de ejecución a ejecución proveen la capacidad de verificar valores de datos a través de las etapas de procesamiento de las aplicaciones. La verificación total de ejecución a ejecución asegura que los datos leídos en la computadora sean aceptados y luego aplicados en el proceso de actualización
C6-15 ¿Cuál de los siguientes está destinado a detectar la pérdida o duplicado de entradas?
A Los totales hash.B Los dígitos de verificación.C Verificaciones de límite sobre sumas calculadas.D Reportes de excepción.
A Los totales hash son el resultado de totalizar campos especificados en una serie de transacciones o registros. Si una suma posterior no tuviera como resultado el mismo número , entonces los registros se han perdido, o bien han sido ingresados o transmitidos incorrectamente, o han sido duplicados.
C6-16 La confiabilidad de las pistas de auditoría de un sistema de aplicación puede ser cuestionable si:
A Se registran identificaciones de usuario en las pistas de auditoría.B El administrador de seguridad tiene derechos de lectura solamente sobre el archivo de auditoría.C Los sellos de fecha y hora registran cuando ocurre una acción. D Los usuarios pueden enmendar registros de pistas de auditoría cuando corrigen errores de Sistema.
D Una pista de auditoría no es efectiva si los detalles en la misma pueden ser enmendados.
C6-17 La intención de los controles de aplicación es asegurar que cuando se ingresan datos inexactos al sistema, los datos sean:
A Aceptados y procesados.B Aceptados y no procesados.C No aceptados y no procesados.D No aceptados y procesados.
C Los controles de aplicación aseguran que solamente se ingresen datos completos, correctos y validos al sistema.
C6-18 ¿Cuál de las siguientes opciones es la PRIMERA cosa que un auditor de SI debería hacer después de descubrir un programa de caballo de Troya en un sistema de computadora?
A Investigar el autor.B Eliminar cualesquiera amenazas subyacentes.C Establecer controles de compensación. D Hacer que se elimine el código transgresor.
D La primera función de un auditor de SI es impedir que el caballo de Troya cause más daño. Después de eliminar el código transgresor, las acciones de seguimiento incluirán investigación y recomendaciones (las opciones B y C)
C6-19 ¿Cuál de las siguientes actividades del administrador de base de datos (DBA) es improbable que sea registrada en el registro de controles de detección?
A Eliminación de un registro.B Cambio de una contraseña.C Revelación de una contraseña.D Cambios a derechos de acceso.
C La revelación de contraseña no será detectada por ningún registro de base de datos o registro de sistema. Las actividades de cambio de contraseña pueden ser registradas en el registro del sistema dentro del software de control de acceso. Las actividades de base de datos serán registradas en el registro apropiado de base de datos.
C6-20 La edición /validación de datos ingresados en un sitio remoto sería realizada MAS efectivamente en el:
A Sitio central de procesamiento después de ejecutar el sistema de aplicación. B Sitio central de procesamiento durante la ejecución del sistema de aplicación. C Sitio remoto de procesamiento después de la transmisión de los datos al sitio central de procesamiento.D Sitio remoto de procesamiento antes de transmitir los datos al sitio central de procesamiento.
D Es importante que los datos entrados desde un sitio remoto sean editados y validados antes de ser transmitidos al sitio central de procesamiento.
C6-21 El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:
A Revisión visual detallada y análisis del código fuente de los programas de cálculo.B Recrear un programa lógico usando software generalizado de auditoría para calcular los totales mensuales.C Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados.D Creación automática del diagrama de flujo y análisis del código fuente de los programas de cálculo.
C Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el MEJOR método para probar que un cálculo de impuestos es correcto. La revisión visual detallada, la creación de diagramas de flujo y el análisis de código fuente no son métodos efectivos, y los totales mensuales no resolverían la exactitud de cálculos individuales de impuestos.
C6-22 Un registro de control básico de un sistema de aplicación en tiempo real es un:
A Registro de auditoría.B Registro de consola.C Registro de terminal.D Registro de transacción
D Como se trata de un sistema en tiempo real, la respuesta es un registro de transacción. Si el sistema fallara, y no se mantiene un registro de transacción, se incurriría en costos significativos para reingresar los datos de las transacciones. Un registro de transacción también permite al personal de operaciones determinar cuáles transacciones han sido ingresadas, y esto ayuda a reducir el tiempo de recuperación cuando ocurren fallas de sistema.
C6-23 Un programador incluyó, en una aplicación de pago de nómina, una rutina para buscar su código de empleado en nómina. Como consecuencia, si este número de código no aparece durante la ejecución del pago de la nómina, la rutina generará y colocará números aleatorios en cada cheque de pago. Esta rutina se conoce como:
A ScavengingB Fuga de datos.C PiggybackingD Caballo de Troya.
D Un caballo de Troya es un código malicioso escondido en un programa autorizado de computadora. El código escondido será ejecutado cada vez que el programa autorizado sea ejecutado. En este caso, mientras el número de planilla del perpetrador sea parte del proceso de planilla no ocurre nada, pero tan pronto el número de planilla desaparece ocurre la devastación.
C6-24 Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría:
A La eficiencia de la aplicación para cumplir con el proceso del negocio.B El impacto de cualquier exposición descubierta.C Los procesos del negocio atendidos por la aplicación. D La optimización de la aplicación.
B Un control de revisión de aplicaciones implica evaluación de los controles automatizados de la aplicación y una evaluación de cualesquiera exposiciones resultantes de las debilidades de control. Las otras opciones pueden ser objetivos de una auditoría de aplicación pero no forman parte de una auditoría restringida a una revisión de controles.
C6-25 Para reducir la posibilidad de perder datos durante el procesamiento, el PRIMER punto en el que se deberían implementar los totales de control es:
A Durante la preparación de datos.B En tránsito a la computadora.C Entre ejecuciones de programas relacionados de computadora.D Durante la devolución de los datos al departamento usuario.
A Durante la preparación de datos es la mejor respuesta porque establece control en el punto más temprano.
C6-26 Mientras copiaba archivos desde un disco floppy, un usuario introdujo un virus en la red. ¿Cuál de las siguientes opciones detectaría MAS efectivamente la existencia del virus? Un:
A Escaneo de todos los discos floppy antes de su uso.B Monitoreo de virus en el servidor de archivos de red
C Escaneo diario programado de todas las pistas de redD Monitoreo de virus en la computadora personal del usuario.
C Un escaneo diario programado de todas las pistas de red detectará la presencia de un virus después que haya ocurrido la infección. Todas las otras opciones son controles diseñados para prevenir que un virus de computadora infecte el sistema.
C6-27 Cuando dos o más sistemas están integrados, los controles de entrada/salida deber ser revisados por el auditor de SI en los:
A Sistemas que reciben salidas de otros sistemas.B Sistemas que envían salidas a otros sistemas.C Sistemas que envían y reciben datos.D Interfaces entre los dos sistemas.
C Ambos sistemas deben ser revisados para verificar si tienen controles de entrada/salida ya que la salida de un sistema es entrada para el otro.
C6-28 Los reconocimientos funcionales se usan:
A Como una pista de auditoría para las transacciones de EDI.B Descubrir funcionalmente el departamento de SI.C Documentar las funciones y responsabilidades del usuario.D Como una descripción funcional del software de aplicación.
A Los reconocimientos funcionales son transacciones estándar de EDI que dicen a los socios comerciales que sus documentos electrónicos fueron recibidos. Diferentes tipos de reconocimientos funcionales proveen diferentes niveles de detalle y, por lo tanto, pueden actuar como una pista de auditoría para Transacciones de EDI. Las otras opciones no son relevantes para la descripción de reconocimientos funcionales.
C6-29 Un Auditor de SI que ha descubierto transacciones no autorizadas durante una revisión de Transacciones de EDI es probable que recomiende mejorar:
A Los acuerdos de los socios comerciales de EDI.B Los controles físicos para las terminales.C Las técnicas de autenticación para enviar y recibir mensajes.D Los procedimientos de control de cambios de programa.
C Las técnicas de autenticación para enviar y recibir mensajes tienen una función clave para minimizar la exposición a transacciones no autorizadas. Los acuerdos de socios comerciales de EDI minimizarán la exposición a los problemas legales.
C6-30 Cuando se revisa un proceso de proyecto de reingeniería del negocio (BPR), ¿Cuál de los siguientes aspectos es MAS importante que un auditor de SI evalúe?
A El impacto de controles eliminados.B El costo de nuevos controles.C El proyecto de planes de BPR.D Los planes continuados de mejoramiento y monitoreo.
A La tarea de un auditor de SI es identificar los controles clave existentes a partir de los procesos previos al BPR y, determinar si aun existen controles en los nuevos procesos. La opción B es incorrecta porque a pesar de que un
auditor de SI puede revisar el costo de los controles esto no es lo más importante. Las opciones C y D son pasos clave en un proyecto exitoso de BPR.
C6-31 El impacto de EDI sobre los controles internos es:
A Que existen menos oportunidades para revisar y autorizar.B Una autenticación inherente.C Una distribución apropiada de las Transacciones de EDI mientras están en poder de terceros.D Que la gerencia de IPF tendrá mayores responsabilidades de controlar el centro de datos.
A EDI promueve un ambiente sin papeles más eficiente, pero al mismo tiempo, al haber menos intervención humana, se hace más difícil revisar y autorizar. La opción B es incorrecta ya que como la interacción entre las partes es electrónica, no ocurre una autenticación inherente. Los datos computadorizados pueden parecer los mismos, independientemente de la fuente, y no incluyen ningún elemento humano o firma que los distinga. La opción C es incorrecta por que es un riesgo de seguridad asociado con el EDI. La opción D es incorrecta porque hay relativamente pocos controles adicionales de EDI, si los hubiera. En vez de ello, será necesario que se ejerza más control por parte del sistema de aplicación del usuario para reemplazar los controles manuales, como por ejemplo revisiones de documentos en el sitio. Será necesario poner más énfasis en el control sobre la transmisión de datos (controles de administración de red)
C6-32 ¿Cuál de los siguientes perfiles de usuario sería de MAS preocupación para el auditor de SI, cuando realiza la auditoría de un sistema de EFT?
A Tres usuarios con la capacidad de capturar y verificar sus propios mensajes.B Cinco usuarios con la capacidad de capturar y enviar sus propios mensajes.C Cinco usuarios con la capacidad de verificar otros usuarios y enviar sus propios mensajes.D Tres usuarios con la capacidad de capturar y verificar los mensajes de otros usuarios y enviar sus propios mensajes.
A La capacidad de una persona de capturar y verificar mensajes representa una segregación inadecuada, ya que los mensajes se pueden tomar como correctos y como si ya hubieran sido verificados.
C6-33 ¿Cuál de las siguientes opciones es un control de edición y validación de datos?
A Totales hash.B Verificación de razonabilidad.C Controles de acceso en línea.D Reporte de imagen antes y después.
B Una verificación de razonabilidad es un control de edición y validación de datos, que se usa para asegurar que los datos se ajusten a criterios predeterminados. El reporte de imagen antes y después es un control sobre los archivos de datos que hace posible rastrear cambios. Los controles de acceso en línea están diseñados para impedir el acceso no autorizado al sistema y los datos. Un total hash es un total de cualquier campo de datos numéricos o serie de elementos de datos en un archivo de datos. Este total es verificado contra un total de control del mismo campo o campos para asegurar la totalidad del procesamiento.
C6-34 Un programa de cálculo de impuestos mantiene varias tasas de impuestos. El MEJOR control para asegurar que las tasas de impuestos ingresadas al programa sean correctas es:
A Una revisión independiente del listado de transacciones.B Una verificación de edición programada para impedir la entrada de datos inválidos.C Verificaciones programadas de razonabilidad con un rango del 20 por ciento del ingreso de datos.D Una verificación visual de datos entrados por el departamento de procesamiento.
A Las tasas de impuestos representan datos críticos que serán usados en numerosos cálculos y que deberían ser verificados de manera independiente por alguien que no sea la persona que los ingresa antes que ellos sean usados en el procesamiento. Las opciones B Y C son controles programados útiles para impedir errores graves, es decir, errores como por ejemplo un cero agregado o alfa en lugar de un número. Una tabla de impuestos debe ser 100 por ciento correcta, no solo legible. La opción permitirá que el personal de ingreso de datos verifique si la entrada es correcta, pero esto no es suficiente.
C6-35 Durante una auditoría del sistema de administración de cintas en un centro de datos, un auditor de SI descubrió que los parámetros están fijados para evadir o ignorar las etiquetas escritas en los registros de
encabezado de cintas. El auditor de SI también determinó que estuvieran implementados procedimientos efectivos para el establecimiento y preparación de los trabajos. En esta situación, el auditor de SI debería concluir que:
A Los encabezados de cintas deberían ser registrados manualmente y verificados por los operadores.B Los procedimientos para el establecimiento y preparación de trabajos no son controles apropiados de compensación C Los procedimientos para el establecimiento y preparación de trabajos compensan la debilidad de control de las etiquetas de la cinta.D Se deben fijar parámetros del sistema de administración de cintas para verificar todas las etiquetas.
C Los controles de compensación son una parte importante de una estructura de control. Se consideran adecuados, ayudan a lograr el objetivo de control y son efectivos en costos. En esta situación, el auditor de SI es probable que concluya que los procedimientos para el establecimiento y preparación de trabajos compensan la debilidad de control de etiquetas de cintas.
C6-36 Un auditor de SI, que revisa controles de base de datos, descubrió que los cambios a la base de datos durante horas laborales normales se manejaban a través de un conjunto de procedimientos estándar Sin embargo,
los cambios hechos después de horas normales requerían solamente un número abreviado de pasos. En esta situación, ¿cuál de las siguientes opciones se consideraría un conjunto de controles adecuados de compensación?
A Permitir que se hagan cambios solamente con la cuenta de usuario DBA.B Hacer cambios a la base de datos después de otorgar acceso a una cuenta de usuario normal.C Usar la cuenta de usuario de DBA para hacer cambios, registrar los cambios y revisar el registro de cambios al día siguiente.D Usar la cuenta normal de usuario para hacer cambios, registrar los cambios y revisar el registro de cambios al día siguiente.
C El uso de un administrador de cuenta de usuario de base de datos (DBA) es (debería ser) normalmente establecido para registrar todos los cambios hechos y es más apropiado para los cambios, hechos fuera de las horas normales. El uso de un registro que almacene los cambios permite que dichos cambios se revisen. El uso de la cuenta de usuario de DBA sin registrar los cambios permitiría que se hagan cambios no controlados a la base de datos una vez que se haya obtenido el acceso a la cuenta. El uso de una cuenta de usuario normal sin restricciones permitiría cambios no controlados a cualquiera de las bases de datos. El registro solamente proveería información sobre los cambios hechos, pero no limitaría los cambios solamente a los que fueron autorizados. Por ello, el registro junto con la revisión forman un conjunto apropiado de controles de compensación.
C6-37 Con referencia al proceso de administración de riesgo, ¿Cuál de las siguientes afirmaciones es la correcta?
A Las vulnerabilidades pueden ser explotadas por una amenaza.B Las vulnerabilidades son eventos que tienen el potencial de causar daño a los recursos de SI.C La vulnerabilidad existe a causa de amenazas asociadas con el uso de los recursos de información D La falta de conocimiento del usuario es un ejemplo de una amenaza.
A Las vulnerabilidades son características de los Recursos de SI que pueden ser explotadas teniendo como consecuencia algún daño. Las amenazas, no las vulnerabilidades, son eventos que tienen el potencial de causar daño. Una amenaza ocurre a causa de una vulnerabilidad asociada con el uso del recurso de información. La falta de conocimiento del usuario es un ejemplo de vulnerabilidad
C6-38 La gerencia de SI ha informado recientemente al auditor de SI sobre su decisión de inhabilitar ciertos controles de integridad referencial en el sistema de planilla, para proveer a los usuarios un generador más rápido
de reportes. Es MAS probable que esta situación aumente el riesgo de:
A Ingreso de datos por usuarios no autorizados.B Que se le pague a un empleado no existente.C Que un empleado reciba un aumento no autorizado.D Que el ingreso de datos sea duplicado por usuarios no autorizados.
B Los controles de integridad referencial impiden que ocurran valores clave extraños que no coincidan. Dado que un empleado que no existe no aparece en la tabla de empleados, nunca tendrá una entrada correspondiente en la tabla de pagos de salarios. Las otras opciones no pueden ser detectadas por los controles de integridad referencial.
C6-39 ¿Cuál de los siguientes servicios de mensaje da protección más fuerte de que ha ocurrido una acción específica?
A Prueba de entrega.B No repudio.C Prueba de sometimiento.D Autenticación de origen de mensaje.
B Los servicios de no repudio proveen evidencia de que ocurrió una acción especifica. Los servicios de no repudio son similares a sus contrapartes más débiles de prueba. (i.,e., prueba de sometimiento, prueba de entrega, y autenticación de origen de mensaje). Sin embargo, el no repudio provee protección más fuerte porque la prueba puede ser demostrada a un tercero. Las firmas digitales se usan para proveer no repudio. La autenticación de origen de mensaje solamente confirmará la fuente del mensaje y no confirma la acción especifica que se ha realizado.
C6-40 La razón PRIMARIA de reemplazar los cheques con un sistema de EFT en el área de cuentas por pagar es.:
A Hacer el proceso de pagos más eficiente.B Cumplir con las normas internacionales de banca EFT.C Reducir el número de formularios de pagos basados en papel.D Reducir el riesgo de cambios no autorizados a las transacciones de pago.
A El proceso de pago es más eficiente porque implica que virtualmente no hay intervención. Esto reduce la posibilidad de que ocurran errores de transcripción ya que la información es ingresada al sistema de cuentas por pagar. Las normas internacionales de banca de EFT no dictan la forma en que se deban hacer las transacciones- La disminución en el número de formularios de pagos basados en papel hace el proceso más sencillo, pero la mayoría de las compañías aceptará el pago en cualquier forma que el cliente esté dispuesto a usar. La reducción en los cambios no autorizados a las transacciones de pago no es una razón importante para ir a EFT.
C6-41 Un auditor de SI recomienda que se programe una validación inicial a una aplicación de captación de transacciones de tarjeta de crédito. Es MAS probable que el proceso de validación inicial:
A Realice verificaciones para asegurar que el tipo de transacción es válido para el tipo de tarjeta.B Verifique el formato del número ingresado y luego lo coloque en la base de datos.C Asegure que la transacción ingresada esté dentro del límite de crédito del tarjetahabiente.
D Confirme que la tarjeta no aparezca como perdida o robada en el archivo maestro.
B La validación inicial debería confirmar si la tarjeta es valida. Esta validez se establece a través del número de tarjeta y del PIN entrado por el usuario. Basado en esta validación inicial, se procederá con todas las otras validaciones. Un control de validación en la captación de datos asegurará que los datos ingresados sean válidos (i.e., pueden ser procesados por el sistema). Si los datos captados en la validación inicial no son válidos (si el número de tarjeta o PIN no coincide con el de la base de datos), entonces la tarjeta será rechazada o captada por los controles establecidos. Una vez que se realiza la validación inicial, se realizarían las otras validaciones específicas de la tarjeta y del tenedor de la tarjeta.
C6-42 Una aplicación propuesta de procesamiento de transacciones tendrá muchas fuentes de captación de datos y salidas tanto en papel como en forma electrónica. Para asegurar que las transacciones nose pierdan durante el procesamiento, el auditor de SI debería recomendar la inclusión de:
A Controles de validación B Verificaciones de credibilidad interna.C Procedimientos control de oficina.D Balanceo automatizado del sistema.
D El balanceo automatizado del sistema sería la mejor forma de asegurar que no se pierda ninguna transacción ya que cualquier desbalance entre el total de entradas y el total de salidas se reportaría para investigación y corrección. Los controles de validación y certificaciones de credibilidad interna son ciertamente controles validos, pero no detectarán ni reportarán las transacciones perdidas. Además, a pesar de que se podría usar un procedimiento de oficina para sumar y comparar entradas y salidas, un proceso automatizado es menos susceptible de error.
C6-43 Un programador logró acceso a la biblioteca de producción, modificó un programa que luego fueusado para actualizar una tabla importante en la base de datos de planilla y restauró el programa original. ¿Cuál de los siguientes métodos detectaría MAS efectivamente este tipo de cambios no autorizados?
A Comparación de código fuente.B Comparación de código ejecutable.C Instalaciones integradas de prueba (ITF )D Revisión de archivos de registro de transacciones.
D Los cambios hechos a la tabla de la base de datos de planilla aparecería en los archivos de registro de transacciones. Como el programa original fue restaurado, la comparación de códigos fuente y ejecutables no es inefectiva. ITF es menos efectivo que la comparación de código fuente, porque es difícil saber qué buscar.
C6-44 Dando seguimiento a la reorganización del legado de base de datos de una compañía, se descubrió que accidentalmente se borraron algunos registros. ¿Cuál de los siguientes controles hubiera detectado MAS
efectivamente este incidente?
A Verificación de rango.B Inspección de tablasC Totales de ejecución a ejecución D Verificación uno a uno.
C Los totales de ejecución a ejecución hubieran sido un control efectivo del procesamiento en esta situación. Las inspecciones de tabla y la verificación de rangos se usan para validar datos antes del ingreso, o tan cerca del punto de origen como sea posible. La verificación uno a uno consume mucho tiempo y por lo tanto es menos efectiva.
C6-45 Recientemente una compañía ha ampliado la capacidad de su sistema de compras para incorporar transmisiones de EDI ¿cuál de los siguientes controles se debería implementar en lal interfaz de EDI para proveer un mapeo eficiente de datos?
A Verificación de llave.B Verificación uno a uno.C Recálculos manuales.D Reconocimientos funcionales.
D Actuando como una pista de auditoría para Transacciones de EDI, los reconocimientos funcionales son una de los controles principales que se usan en el mapeo de datos. Todas las otras opciones son controles manuales de entrada, mientras que el mapeo de datos se ocupa de la integración automática de datos en la compañía que recibe.
C6-46 En un almacén de datos ( data warehouse), la calidad de datos se logra mediante la:
A Limpieza.B Reestructuración C Credibilidad de datos fuente.D Transformación
C En un sistema de almacén de datos la calidad de datos depende de la calidad de la fuente que los origina. Las opciones A, B, y D se relacionan con la composición de un almacén de datos y no afectan la calidad de los datos. La reestructuración, transformación y limpieza se relacionan todas con la reorganización de los datos existentes dentro de la base de datos.
C6-47 Las órdenes de venta son numeradas automáticamente en forma secuencial en cada uno de los puntos de venta múltiple de un vendedor minorista. Las órdenes pequeñas son procesadas directamente en los puntos de
venta, enviándose las órdenes grandes a una instalación central de producción. El control más apropiado para asegurar que todas las órdenes transmitidas a producción sean recibidas y procesadas sería:
A Enviar y conciliar los conteos y totales de producción. B Hacer que los datos sean transmitidos de regreso al sitio local para comparación. C Comparar los protocolos de comunicaciones de datos con la verificación de paridad.D Rastrear y dar cuenta de la secuencia numérica de las órdenes de venta en la instalación de producción.
A Enviar y conciliar totales de transacción no solamente asegura que las órdenes fueron recibidas, sino que también fueron procesadas por el lugar central de producción. Transmitir los datos de la transacción de regreso al sitio local confirma que el lugar central la recibió, pero no que las hayan procesado realmente. Rastrear y dar cuenta de la secuencia numérica solamente confirma que las órdenes están a la mano y no si las mismas se han efectuado realmente. El uso de verificación de paridad solamente confirmaría que la orden no fue cambiada durante la transmisión
C6-48 ¿Cuál de los siguientes es un control para compensar que un programador tenga acceso a datos de producción de cuentas por pagar?
A Controles de procesamiento como por ejemplo verificación de rangos y ediciones lógicas.B Revisar los reportes de cuentas por pagar, de las salidas por ingreso de datos.C Revisar los reportes producidos por el sistema en busca de cheques por una suma declarada.D Hacer que el supervisor de cuentas por pagar haga coincidir todos los cheques con las facturas aprobadas.
D Para asegurar que el programador no pudo generar un cheque, sería necesario que alguien confirmara todos los cheques generados por el sistema. Las verificaciones de rango y lógicas podrían fácilmente ser evadidas por un
programador ya que son exclusivas de los controles que has sido integrados al sistema La revisión de los reportes de cuentas por pagar por ingreso de datos solamente identificaría los cambios que podrían haberse efectuado al momento de ingresar los datos. No identificaría la información que podría haber sido cambiada en los archivos maestros. Revisar los reportes en busca de cheques sobre una cierta suma no permitiría la identificación de ningún cheque por valor bajo no autorizado ni atraparía alteraciones a los mismos cheques reales.
C-49 Un almacén de datos.
A Está orientado a objeto.B Está orientado a sujeto.C Es específico del departamento.D Es una base de datos volátil.
B Los almacenes de datos están orientados a sujeto. El almacén de datos está destinado a ayudar en la toma de decisiones cuando la o las funciones a ser afectadas por la decisión pasan por todos los departamentos dentro de una organización. No son volátiles. La orientación a objeto y la volatilidad son irrelevantes par un sistema de almacén de datos.
C6-50 El uso de un diagrama de GANTT puede:
A Ayudar a hacer un cronograma de tareas de proyecto.B Determinar los puntos de verificación del proyecto.C Asegurar las normas de documentación D Dirigir la revisión posterior a la implementación
A U n diagrama de GANTT se usa en el control de proyectos. Puede ayudar a identificar los puntos de verificación que se necesitan pero su uso primario es la creación de un cronograma. No asegurará la realización de documentación no proveerá indicación para la revisión posterior a la implementación
C6-51 ¿Cuál de las siguientes pruebas realizadas por un auditor de SI sería MAS efectiva para determinar el cumplimiento de los procedimientos de control de cambios de una organización ?
A Revisar los registros de migración de software y verificar las aprobaciones.B Identificar los cambios que hayan ocurrido y verificar las aprobaciones.C Revisar el control de documentación de cambios y verificar las aprobaciones.D Asegurarse que solamente el personal apropiado pueda migrar cambios a producción
B El método más efectivo es determinar, a través de comparaciones de códigos, qué cambios se han efectuado y luego verificar que los mismos hayan sido aprobados. Los registros de control de cambios y los registros de migración de software no pueden tener en lista todos los cambios. Asegurar que solamente el personal apropiado pueda migrar cambios a producción es un proceso de control de llave, pero en sí mismo no verifica el cumplimiento.
C6-52 ¿Cuál de las siguientes opciones es un riesgo de implementación dentro del proceso de sistema de soporte de decisiones?
A Control de gerencia.B Dimensiones semiestructuradas.C Incapacidad para especificar el propósito y los patrones de uso.D Cambios en los proceso de decisión
C La incapacidad para especificar el propósito y los patrones de uso es un riesgo que los desarrolladores necesitan anticipar mientras implementan un sistema de soporte de decisiones (DSS). Las opciones A, B y D no son riesgos, sino características de un DSS.
C6-53 Un auditor de SI que realiza una clasificación independiente de sistemas debería considerar la clasificación de una situación en la que las funciones podrían realizarse manualmente a un costo tolerable por un período de tiempo prolongado, que se conoce como sistema:
A Crítico.B Vital.C Sensitivo.D No crítico.
C Las funciones sensitivas se describen mejor como las que pueden ser realizadas manualmente a un costo tolerable por un período de tiempo prolongado. Las funciones críticas son las que no pueden ser realizadas a menos que sean reemplazadas por capacidades idénticas y no pueden ser realizadas por medios manuales. Las funciones vitales se refieren a las que se pueden realizar manualmente pero solamente por un período de tiempo breve. Esto está asociado con costos más bajos de interrupción que con funciones críticas. Las funciones no críticas pueden ser interrumpidas por un período de tiempo prolongado, con poco o ningún costo para la compañía, y requieren poco tiempo o costo restaurar.
C6-54 Cuando una organización ha terminado el proceso de reingeniería del negocio (PBP) de todas sus operaciones críticas, es MAS probable que el auditor de SI se concentre en una revisión de:
A Diagramas de flujo previos al proceso de BPR.B Diagramas de flujo posteriores al proceso.C Proyecto de planes de BPR.D Planes continuado de mejoramiento y monitoreo.
B La tarea de un auditor de SI es identificar y asegurarse que se hayan incorporado controles clave en el proceso de reingeniería. La opción A es incorrecta porque el auditor de SI debe revisar el proceso como está actualmente, no como estaba en el pasado. Las opciones C y D son incorrectas porque son pasos dentro de un Proyecto de BPR.
C6-55 Un auditor de SI que realiza una revisión de las operaciones de EFT de una compañía minorista verificaría que el límite de crédito de los clientes sea verificado antes que los fondos sean transferidos mediante la revisión de:
A La interfaz del sistema.B La instalación de conmutador.C Procedimiento de generación de número de identificación personal.D Procedimientos de operaciones de respaldo.
A En el procesamiento de nivel de aplicación, el auditor de SI debería revisar la interfaz entre el sistema de EFT sistema y el sistema de aplicación que procesa las cuentas desde las que se transfieren fondos. La opción B es incorrecta porque un conmutador de EFT es la instalación que provee el enlace de comunicación para todos los equipos de la red. Las opciones C y D son procedimientos que no ayudarían a determinar si el límite de crédito del cliente se verifica antes de que los fondos sean transferidos.
C6-56 Un fabricante ha estado comprando materiales y suministros para su negocio a través de una aplicación de comercio electrónico. ¿En cuál de los siguientes debería basarse este fabricante para probar que las transacciones se hicieron realmente?
A Reputación B Autenticación
C Encripción D No repudio.
D No repudio puede asegurar que una transacción sea ejecutada. Implica crear prueba del origen o de la entrega de datos para proteger al remitente contra negación falsa por el destinatario del recibo de los datos o viceversa. La opción A es incorrecta porque la reputación de la compañía por sí misma, no probaría que se hizo una transacción a través de Internet. La opción B no es correcta ya que los controles de autenticación son necesarios para establecer la identificación de todas las partes de una comunicación. La opción C es incorrecta ya que la encripción puede proteger los datos transmitidos a través de la Internet, pero no puede probar que se hicieron las transacciones.
C6-57 Una compañía utiliza un banco para procesar su planilla semanal. Los formularios de hojas de tiempo y de ajuste de planilla (e.g. cambios de tarifa por hora, terminaciones) son efectuados y entregados al banco, el cual prepara los cheques y reporta para su distribución. Para asegurar MEJOR que los datos de la planilla son correctos:
A Los reportes de planilla deberían ser comparados con los formularios de entrada.B La planilla bruta debería ser recalculada manualmente.C Los cheques deberían ser comparados con los formularios de entrada.D Los cheques deberían ser conciliados con los reportes de salida.
A La mejor forma de confirmar que los datos son correctos, cuando la entrada es suministrada por la compañía y la salida es generada por el banco, es verificar los datos ingresados con los resultados de entrada (reportes de planilla). Por ello, comparar reportes de planilla con formularios de entrada es el mejor mecanismo para verificar que los datos son correctos. Recalcular manualmente la planilla bruta solo verificaría si el procesamiento es correcto y no la exactitud de los datos de entrada.Comparar los cheques con los formularios de entrada no es factible ya que los cheque tienen información procesada y los formularios de entrada tienen los datos de entrada. Conciliar cheque con los reportes de salida solo confirma que los cheques han sido emitidos según los reporte de salida.
C6-58 Los precios se cargan sobre la base de una tarifa estándar de archivo maestro que cambia a medida que aumenta el volumen. Cualesquiera excepciones deben ser aprobadas manualmente. ¿Cuál es control automatizado MAS efectivo para ayudar a asegurar que todas las excepciones de precios sean aprobadas?
A Verificación visual, por el empleado de ingreso de datos, de todas las sumas mostradas de vuelta .B Los precios fuera del rango normal deberían ser ingresados dos veces para verificar la corrección de los datos ingresados.C El sistema pita cuando se ingresan excepciones de precios e imprime dichos incidentes en un reporte.D Una contraseña de segundo nivel debe ingresarse antes de que se pueda procesar una excepción de precio.
D El control automatizado debería asegurar que el sistema procese las excepciones de precio solo previa aprobación de otro usuario que este autorizado a aprobar dichas excepciones. Una contraseña de segundo nivel aseguraría que las excepciones de precios fueran aprobadas por un usuario que haya sido autorizado por la gerencia. La verificación visual de todas las sumas por un empleado de ingreso de datos no es control, sino un requerimiento básico para cualquier ingreso de datos. Que el usuario pueda verificar visualmente lo que ha digitado es un control manual básico. El hecho que el sistema pite al ingresarse una excepción de precios solo es una advertencia al empleado de ingreso de datos, no impide que se siga procesando. Imprimir estas excepciones en un reporte es un control (manual) de detección.
C6-65 ¿Cuál de los siguientes es el primer paso en un proceso de proyectos de reingeniería del negocio(BPR)?
A Definir las áreas a ser revisadas.B Desarrollar un plan de proyecto.C Entender el proceso de Revisión D Reingeniería y modernización del proceso de Revisión
A Sobre la base de la evaluación de todo el proceso del negocio, definir correctamente las áreas a ser revisadas es el primer paso en un Proyecto de BPR. Sobre la base de la definición de las áreas a ser revisadas, se desarrolla el plan del proyecto. Entender el proceso en Revisión es importante, pero el sujeto de la Revisión debe estar definido primero. De ahí en adelante, el proceso puede ser reestructurado, modernizado, implementado y monitoreado en pos de un mejoramiento continuo.
C6-66 ¿Cuál de los siguientes elementos es el MAS crítico y contribuye MAS a la calidad de datos en un almacén de datos?
A Corrección de los datos fuente.B Credibilidad de los datos fuente.C Corrección del proceso de extracción. D Corrección de los datos de transformación
A La corrección de los datos fuente es un prerrequisito para la calidad de los datos en un almacén de datos. La credibilidad de los datos fuente es importante, los procesos correctos de extracción son importantes y las rutinas correctas de transformación son importantes, pero no cambiarían los datos incorrectos en datos de calidad (correctos)
C6-67 Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para proyectar las pérdidas financieras que podrían resultar del riesgo. Para evaluar las pérdidas potenciales el equipo debería:
A Computar la amortización de los activos relacionados.B Calcular un rendimiento de la inversión (ROI)C Aplicar un enfoque cualitativo.D Emplear el tiempo necesario para definir exactamente la suma perdida.
C La practica común, cuando es difícil calcular las pérdida financiera, es tomar un enfoque cualitativo, en el que el gerente afectado por el riesgo define la pérdida financiera en términos de un factor ponderado (e.g., 1 es un impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es computado cuando hay ahorros o ingresos predecibles, que pueden ser comparados con la inversión que se necesita para realizar los ingresos. La amortización se usa en un estado de ganancias y pérdidas, no para computar las pérdidas potenciales. Emplear el tiempo necesario para definir exactamente la suma total es por lo general un enfoque incorrecto. Si ha sido difícil estimar las pérdidas potenciales (e.g., pérdidas derivadas de la erosión de la imagen pública debido a un ataque de hacker) situación que no es probable que cambie, al final del día, uno llegará a una evaluación que no está bien respaldada.
C6-68 En un proceso EDI, el dispositivo que transmite y recibe los documentos electrónicos es el:A Manejador de comunicaciones.B Traductor de EDI.C Interfaz de aplicaciones.D Interfaz de EDI.
A Un manejador de comunicaciones transmite y recibe documentos electrónicos entre socios comerciales y o redes de área amplia;
C6-73 Funcionalidad es una característica asociada con evaluar la calidad de los productos de software durante todo su ciclo de vida, y se describe MEJOR como el conjunto de atributos que recaen sobre:
A existencia de un conjunto de funciones y sus propiedades especificas.B capacidad de software de ser transferido de un ambiente a otro.C. Capacidad de software de mantener su nivel e desempeño bajo condiciones establecidas
D. Relación entre el desempeño del software y la cantidad de recursos usados
A. Funcionalidad es el conjunto de atributos que recae sobre la existencia de un conjunto de funciones y sus propiedades específicas. Las funciones son as que satisfacen las necesidades establecidas o implícitas. La opción B se refiere a la portabilidad, la opción C se refiere a la confiabilidad y la opción D. Se refiere a la eficiencia.
C6-74 Como resultado de un proceso de proyecto de reingeniería del negocio (BPR):
A Un auditor de SI estaría preocupado por los controles clave que existían en el proceso anterior del negocio y no por los del nuevo proceso.B Los procesos de sistema son automatizados en tal forma que hay más intervenciones manuales y controles manuales.C Los procesos recién diseñados del negocio por lo general no implican cambios en la forma de hacer negocios.D Las ventajas, por lo general, se obtienen cuando el proceso de reingeniería se ajusta de manera apropiada al negocio y al riesgo.
D BPR es el proceso de responder a presiones competitivas, económicas y a las demandas de los clientes para sobrevivir en el corriente entorno del negocio. Las ventajas de BPR por lo general se experimentan cuando el proceso de reingeniería se ajusta de manera apropiada a las necesidades del negocio. La opción A no es correcta, porque en un BPR un auditor de SI debería preocuparse porque todos los controles, en especial tanto los del nuevo proceso como los controles clave que puedan haber sido reestructurados de un proceso del negocio. La opción B no es correcta porque lo que busca BPR es tener menos intervenciones y controles manuales. La opción C es también incorrecta porque en BPR los procesos recién diseñados del negocio, implican inevitablemente cambios en la forma de hacer negocios.
C6-75 Los rubros de fecha de nacimiento y fecha de matrimonio fueron cambiados cuando se ingresaban los datos. ¿Cuál de las siguientes verificaciones de validación de datos podría detectar esto?A Relación lógica.B Secuencia.C RazonabilidadD Validez
A Si una condición en particular es cierta, entonces una o más condiciones adicionales o relaciones de ingreso de datos pueden requerirse que sean ciertas y entonces la entrada podrá ser considerada válida. La fecha de matrimonio tiene que seguir a la fecha de nacimiento más un cierto periodo. Una verificación de relación lógica sería útil para detectar este error de ingreso de datos. Una verificación de secuencia verificaría una serie ascendente o descendente de ingresos. Una verificación de razonabilidad se usa para comparar datos de entrada con límites razonables predeterminados y una verificación de validez validaría datos en conformidad con criterios predeterminados.