Auditoria

¿Cuál de las siguientes afirmaciones es cierta al comparar una auditoría interna y una auditoría externa?. La auditoría externa, a diferencia de la interna, se realiza de forma continua para mejorar los procesos de la organización. La auditoría interna, a diferencia de la externa, se realiza por razones obligatorias, que podrían ser el cumplimiento legal y/o normativo. Todas las respuestas son falsas. Una auditoría interna, a diferencia de una externa, es realizada por una organización independiente externa a la empresa.

De acuerdo con los beneficios y retos de una auditoría interna, ¿cuál de las siguientes respuestas es FALSA?. La auditoría interna proporciona más credibilidad ante los clientes que la auditoría externa debido a la independencia en la asignación de personal a las auditorías. Uno de los problemas de la auditoría interna es la dificultad para asignar recursos a las auditorías dentro de la empresa. La auditoría interna identifica oportunidades de mejora dentro de la organización, tanto en el sistema de control interno como en los procesos. La auditoría interna puede ayudar a preparar a la empresa para una auditoría externa.

El propósito principal de una auditoría interna es: Ninguna de las anteriores es correcta. Obtener pruebas previamente desconocidas para la empresa, ya que la empresa no debería conocer los objetivos a auditar de antemano para mantener la independencia de la auditoría. Evaluar la eficacia de los sistemas de control interno para asegurar que se están cumpliendo los objetivos establecidos. Generar una guía documentada de todas las posibles recomendaciones de mejora para evitar la interrupción del negocio.

El derecho a la protección de datos puede verse limitado por: Todas las respuestas anteriores. Infracciones deontológicas. Seguridad y defensa nacional. Casos penales o civiles.

El Principio de licitud del tratamiento definido en la normativa de protección de datos se centra en: Todas las anteriores. La exactitud de los datos recopilados. El consentimiento informado del interesado. La limitación de los datos recopilados.

Elige la opción FALSA con respecto a los posibles beneficios de la certificación ISO 27001 de una organización: Proporciona una ventaja competitiva al demostrar a los clientes que la seguridad de la información es primordial. Verificar que los riesgos están correctamente identificados y evaluados. Su implementación garantiza el uso correcto de los controles internos de la organización. Establece un Marco Integrado de Control Interno con diferentes objetivos en la estructura y componentes de la organización.

Indica qué opción es FALSA con respecto a las herramientas TAAC (o CAAT en inglés): Las herramientas CAAT dependen del sistema a auditar y deben ser modificadas para adaptarse a ese sistema. Las herramientas CAAT se utilizan principalmente para analizar grandes volúmenes de datos que no sería posible analizar manualmente. Las herramientas CAAT permiten ejecutar pruebas automatizadas para riesgos específicos. Las herramientas CAAT son ampliamente utilizadas en auditorías financieras porque permiten verificar transacciones y saldos irregulares de manera sencilla y automática.

El departamento de TI quiere añadir un sistema de control preventivo contra posibles ataques de fuga de datos de clientes. ¿Qué recomendarías como auditor interno?. Todas las opciones son válidas. Una copia de seguridad de todos los datos sensibles de los clientes. Un sistema para controlar el acceso a todos los sistemas de información sensibles que contengan datos de clientes. Generar un registro (log) cada vez que un usuario acceda a los datos de clientes.

Cuando se detectan irregularidades o deficiencias en una organización durante la realización de una auditoría: Es aconsejable recopilarlas en una lista de problemas y abordarlas todas al final de la auditoría. Es conveniente recopilarlas en una lista de problemas y dejar que el cliente las resuelva cuando quiera. Todas las respuestas anteriores son falsas. Es aconsejable recopilarlas en una lista de problemas y discutirlas con el cliente lo antes posible.

Considerando los criterios para seleccionar áreas de enfoque (qué auditar) en un plan de auditoría, ¿cuál de las siguientes afirmaciones es FALSA?. El cliente puede solicitar áreas específicas para ser auditadas, y estas deben ser consideradas en el plan de auditoría. Es importante anotar todas las posibles áreas a auditar y luego clasificarlas por orden de importancia, siendo las más importantes aquellas con mayor riesgo y mayor valor para la organización. Las áreas que ya tienen problemas conocidos deben recibir una puntuación más baja en el ranking de importancia (áreas no importantes a añadir) ya que son problemas ya reconocidos por la organización y por tanto de poco interés. Las áreas que pueden aportar el mayor beneficio a la empresa deben recibir una puntuación más alta en el ranking de importancia y por tanto deben ser consideradas como áreas importantes a auditar.

En la auditoría de TI en TechForward Inc. se descubrió que los desarrolladores podían subir cambios de software al código de producción sin la aprobación previa de un revisor. La documentación de la auditoría debe describir este hallazgo encontrado. Selecciona la respuesta más adecuada: Se debe indicar en la documentación la justificación de este hallazgo (riesgo). Es decir, indicar que uno de los cambios de software no aprobados podría haber generado un error de software (bug) en el código de producción. Se debe indicar en la documentación que este hallazgo es una violación específica de las políticas internas de control de calidad del software. Se debe documentar la descripción de este hallazgo (evidencia), es decir, mostrar un cambio de software en el sistema de control de versiones que fue subido al código de producción sin la aprobación de ningún revisor. Todas las opciones anteriores son elementos necesarios para documentar este hallazgo.

Durante la etapa de investigación de la auditoría interna en Globex Corp, enfocada en procedimientos de seguridad de la información, ¿cuál de las siguientes técnicas sería correcta y aplicable?. Realizar pruebas para verificar cómo se ejecuta un proceso, como revisar la aplicación efectiva de las políticas de contraseñas. Evitar entrevistas con empleados para no influir en sus respuestas y mantener la objetividad de la auditoría. Utilizar solo cuestionarios genéricos que no estén adaptados a procesos específicos de seguridad de la información para no alterar las posibles respuestas de los empleados. Observar exclusivamente la ejecución de los procesos sin interactuar con los empleados ni revisar la documentación de los procesos para mantener la independencia del auditor.

Las auditorías de seguridad de la información se pueden clasificar: Todas las respuestas son correctas. Dependiendo del conocimiento del sistema a auditar, el alcance y el nivel de madurez. Dependiendo del conocimiento del sistema a auditar, el tamaño de la empresa y si son externas o internas. Dependiendo del conocimiento del sistema a auditar, sus objetivos y los riesgos a identificar (de seguridad o internos).

Elige la opción FALSA con respecto a las certificaciones individuales de auditoría: Las certificaciones CISA y CISM son otorgadas por la organización ISACA. La certificación CEH está enfocada principalmente en pruebas de penetración de software. La certificación CCSP está destinada a profesionales dedicados a la gestión de riesgos de sistemas de información. La certificación CISSP está orientada a profesionales de seguridad en la Nube.

Marca la opción correcta con respecto a la iniciativa conjunta COSO: Desarrolla certificaciones profesionales ampliamente reconocidas. Ninguna de las anteriores. Define un Marco Internacional para la Práctica Profesional de la Auditoría Interna (IPPF). Desarrolló el Marco Integrado de Control Interno, que tiene la representación gráfica de un cubo.

Marca la opción correcta con respecto a la asociación internacional IIA (Institute of Internal Auditors): Define la certificación profesional CISM. (Es de ISACA). Define un Marco Integrado de Control Interno para Auditorías Internas. (Es de COSO). Ninguna de las anteriores. Define un Marco Internacional para la Práctica Profesional de la Auditoría Interna (MIPP/IPPF).

Marca la opción correcta en relación a la norma ISO 27001: Ninguna de las anteriores. Desarrolló el Marco Integrado de Control Interno, que tiene la representación gráfica de un cubo. Define un Marco Internacional para la Práctica Profesional de la Auditoría Interna. Desarrolla certificaciones profesionales ampliamente reconocidas.

Con respecto al esquema de ciberseguridad ENS (Esquema Nacional de Seguridad), elige la opción más adecuada: Las auditorías del ENS deben seguir la norma ISO 27000 y deben realizarse cada tres años. El ENS es una normativa de ciberseguridad que debe cumplirse tanto en empresas públicas como en empresas privadas que trabajen para el sector público. Todas las respuestas son verdaderas. El ENS es una normativa de ciberseguridad definida por INCIBE y proporciona un marco integral para la ciberseguridad en España. (Definida por el RD, CCN-CERT como organismo competente).

Una empresa multinacional Acme quiere adoptar el marco MIPP (IPPF) para la gestión de auditorías. ¿Qué necesita la empresa para adaptar este marco?. Si Acme quiere adaptar este marco, debe seguir la guía de implementación definida en MIPP, que se considera una guía obligatoria. Acme deberá seguir las normas y estándares internacionales que son requisitos obligatorios para los auditores que siguen el marco MIPP. El Código de Ética definido en MIPP no es obligatorio sino opcional. Acme debe asegurar que los principios fundamentales del MIPP se apliquen tanto en auditorías externas como internas.

Una empresa quiere aplicar la norma ISO 27001 para mejorar la seguridad en sus sistemas de información. Elige la respuesta correcta: La certificación será emitida por ENAC una vez hayan verificado mediante una auditoría externa que cumplen los requisitos definidos en la norma ISO 27001. Para que una empresa se certifique en la norma ISO 27001, debe implementar también los controles de seguridad definidos en la norma ISO 27002. Una vez que una empresa se certifica en la norma 27001, debe renovar su certificación cada cinco años. Todas las respuestas son falsas.

Con respecto al marco de ciberseguridad ISA 62443, elige la respuesta correcta: Proporciona un marco integral para la ciberseguridad definido por la agencia NIST y basado en 5 funciones: Identificar, Proteger, Detectar, Responder y Recuperar. Proporciona un marco integral para la seguridad industrial para sistemas de automatización y control industrial. ISA 62443 es un conjunto de estándares de seguridad definidos por CIS que representan mejores prácticas para prevenir y mitigar las amenazas más comunes en el mundo de la ciberseguridad. Todas las respuestas son falsas.

Cuál de las siguientes afirmaciones es incorrecta con respecto a las 3 líneas de defensa del Marco MIPP?. Las tres líneas de defensa definen la estructura organizativa necesaria para una gestión eficaz del riesgo dentro de una organización. La motivación para la definición de estas tres líneas de defensa proviene de la experiencia y las ineficiencias detectadas en la gestión de riesgos en diferentes organizaciones (independientemente de su tamaño y complejidad) por el IIA. El modelo de auditoría continua refuerza las tres líneas de defensa proporcionando información y herramientas que mejoran la eficiencia de estas líneas de defensa. Las tres líneas de defensa son también parte del modelo COSO para la gestión eficaz del sistema de control interno y gestión de riesgos de una organización.

¿Cuál de las siguientes afirmaciones sobre la etapa de seguimiento en el proceso de auditoría es correcta?. La etapa de seguimiento incluye recopilar evidencias de riesgos potenciales y documentarlos. La etapa de seguimiento termina tras enviar el informe de auditoría a los directivos. El resultado de la etapa de seguimiento es el informe con el listado de problemas detectados en la etapa de Detección. Es recomendable contactar con el cliente periódicamente antes de que venza el plazo para subsanar el problema.

¿Cuáles son los modelos de auditorías de IT sobre madurez?. COSO y ITIL. COBIT y ISO 27001. NIST y PCI-DSS. BPMM y CMMI.

¿Cuál de las siguientes afirmaciones sobre los tipos de auditorías de seguridad es correcta?. En una auditoría de caja blanca, el sistema se audita sin ningún conocimiento previo y por tanto es una aproximación más realista. En el pentesting externo, se simula un atacante interno que ha conseguido acceso a la red de la empresa. Una auditoría de alcance es de tipo caja gris en el que se tiene cierto conocimiento del sistema a auditar. Hay dos tipos de auditorías de seguridad según el conocimiento del sistema a auditar y según el alcance.

¿Cuál de las siguientes afirmaciones sobre las auditorías financieras es correcta?. El objetivo principal de una auditoría financiera es evaluar las prácticas de gestión de la organización y sus procesos operacionales. En una auditoría financiera solo se utilizan auditores internos porque son los que mejor conocen la empresa. Un ejemplo de auditoría financiera sería la evaluación de la eficiencia y efectividad de los procesos internos de una empresa. El objetivo principal de una auditoría financiera es evaluar la exactitud y la conformidad de los estados financieros con las normativas y principios contables aplicables.

Según los beneficios y desafíos de una auditoría interna, ¿cuál de las siguientes respuestas es FALSA?. La auditoría interna puede ayudar a preparar a la empresa para una auditoría externa. Uno de problemas de la auditoría interna es la dificultad para asignar recursos a las auditorias dentro de la empresa. La auditoría interna proporciona más credibilidad hacia clientes que una auditoría externa debido a independencia a la hora de asignar personal a las auditorías. La auditoría interna permite identificar oportunidades de mejora dentro de la organización tanto del sistema de control interno como de procesos.

¿Cuál de las siguientes afirmaciones sobre las certificaciones de ISACA es correcta?. La certificación CISM está dirigida a consultores de seguridad dedicados a pruebas de penetración. La certificación CRISC está orientada a gestores de seguridad de la información que evalúen, diseñen o gestionan la seguridad de las empresas. La certificación CISA está dirigida a profesionales en auditoría, jefes auditoría o consultores. La certificación CISM está orientada a profesionales de IT dedicados a la gestión de riesgos de sistemas de información.

¿Cuál de las siguientes afirmaciones describe correctamente el rol de la Auditoría Interna (3era línea de defensa) en el modelo de tres líneas de defensa propuesto por el IIA?. El grupo de Auditoría Interna es responsable de identificar, analizar y mitigar los riesgos diarios. El grupo de Auditoría Interna establece las funciones de gestión de riesgo y cumplimiento para su correcta ejecución. El grupo de Auditoria Interna se llama Tercera Línea de Defensa porque su responsabilidad es transversal entre distintos sistemas o departamentos. El grupo de Auditoría Interna monitoriza que las dos primeras líneas alcancen sus objetivos a través de evaluaciones independientes de la gestión de riesgos, controles internos y procesos de gobierno.

¿Cuál de las siguientes afirmaciones sobre el Marco Internacional de Prácticas Profesionales (MIPP) es correcta?. El MIPP es generado por ISACA para proporcionar una estructura de control interno y auditoría de TI. El objetivo principal del MIPP es la certificación CSIM para auditores internos a nivel mundial. La guía de obligado cumplimiento en el MIPP es la guía de implementación. Uno de los requisitos básicos de la guía obligatoria del MIPP es demostrar integridad en la auditoría interna.

La ideología del interesado en materia de protección de datos es tratada con un nivel: Medio. Básico. Grave. Alto.