Auditoría en entornos informatizados - Sistemas Tecnología de la Información (2)

¿Cuál es la principal distinción entre los objetivos de la auditoría informática desde una perspectiva interna versus una externa?. La auditoría interna prioriza la eficacia y eficiencia, mientras que la externa se enfoca en la salvaguarda de activos e integridad de datos. No existe distinción alguna, ya que los cuatro objetivos (salvaguarda, integridad, eficacia y eficiencia) son iguales para cualquier auditor. La perspectiva interna se centra exclusivamente en la prevención de fraudes, mientras que la externa solo en el hardware. La auditoría externa busca maximizar el beneficio mediante el uso de recursos, mientras que la interna busca el cumplimiento legal.

En el contexto de la auditoría informática, ¿cómo se define específicamente la 'integridad de los datos'?. Como un estado que garantiza que los datos son completos, claros, consistentes y veraces. Como la capacidad del sistema para evitar que el hardware sufra daños físicos por siniestros. Como el procesamiento de la información utilizando el menor coste posible. Como la garantía de que solo el personal de informática tiene acceso a los ficheros maestros.

¿Qué disciplina aporta a la auditoría informática los conocimientos necesarios sobre el comportamiento de las organizaciones ante el cambio?. La gestión de sistemas de información. La auditoría tradicional. Las técnicas de organización. La ciencia informática.

Cuando un auditor utiliza el ordenador como un instrumento para realizar su trabajo con mayor rigor y seguridad, ¿en qué etapa de la evolución de la auditoría se encuentra?. Auditoría asistida por ordenador. Auditoría alrededor del ordenador. Auditoría del ordenador. Auditoría a través del ordenador.

¿Cuál de las siguientes es una incidencia negativa de la informática en el control interno tradicional?. La descentralización de oficinas que permite una mayor distribución de la carga de trabajo. El aumento de la fiabilidad de las medidas automatizadas al ser menos influenciables por humanos. La creación de registros cronológicos en la consola que permiten auditar los accesos. La concentración de datos y funciones en pocas manos, lo que facilita colusiones o manipulaciones.

¿Qué caracteriza a los 'controles generales' en un entorno informatizado?. Tienen como único fin la corrección de errores una vez que estos han sido detectados por el sistema. Se relacionan con la mayoría de las actividades de los sistemas y establecen un marco de control global. Son exclusivamente manuales y se realizan fuera del departamento de informática. Se aplican individualmente a cada programa de registro contable, como los límites de crédito.

Un 'listado de excepción' que muestra transacciones que superan un límite autorizado se clasifica como un control de tipo: Correctivo. Detectivo. Alternativo. Preventivo.

¿Cuál es el objetivo primordial de los controles sobre las entradas de datos?. Impedir el acceso al sistema de datos con errores o deficiencias. Asegurar que el hardware no falle durante el procesamiento nocturno. Garantizar que los informes de salida lleguen al usuario correcto. Realizar copias de seguridad de los ficheros al final del día.

En la auditoría de ficheros, ¿por qué es importante la norma de 'no utilización de ficheros reales para pruebas'?. Para cumplir con la ley de protección de datos que prohíbe copiar archivos maestros. Porque el coste de tiempo máquina es mayor cuando se usan datos reales. Para evitar la alteración accidental o pérdida de la integridad de la información operativa real. Debido a que el software de auditoría no puede leer formatos de ficheros maestros.

¿Qué pregunta debe ser capaz de responder un sistema de control de salidas eficiente?. ¿Existen extintores de fuego cerca de la unidad central de proceso?. ¿El programador ha documentado correctamente las líneas de código?. ¿Se ha calculado el total de lotes antes de la introducción de los datos?. ¿El informe realizado es íntegro y está ordenado claramente para el usuario autorizado?.

¿Qué ocurre en la fase de 'ejecución' del trabajo de auditoría informática?. Se evalúa el control interno, se identifican riesgos potenciales y se aplican las pruebas técnicas seleccionadas. Se discute el borrador del informe con los responsables del área auditada. Se emite el informe definitivo y se distribuye a la dirección de la entidad. Se define el alcance del trabajo y se seleccionan los recursos humanos necesarios.

Para evaluar el control interno, ¿por qué es vital disponer de una fuente de alimentación ininterrumpida (SAI/UPS)?. Para evitar que el personal de informática abandone su puesto durante un apagón. Porque permite que el sistema funcione durante días sin conexión a la red eléctrica. Para reducir el consumo eléctrico del centro de proceso de datos. Porque los fallos de energía durante el procesamiento pueden producir alteraciones o pérdidas de datos.

En relación con los passwords o claves de acceso, ¿cuál es una recomendación de seguridad fundamental?. Deben ser anotados en una etiqueta adhesiva pegada al monitor para evitar olvidos. No es necesario cambiarlos si el empleado no ha rotado de función en el último año. Solo deben existir claves para el departamento de contabilidad y no para el de ventas. Deben cambiarse, como mínimo, trimestralmente y no ser visibles para terceros.

¿Cuál es un riesgo típico de la 'seguridad lógica' en un sistema informático?. El fallo de los grupos electrógenos durante una tormenta eléctrica. La inundación del sótano donde se encuentran los servidores centrales. El acceso no autorizado a programas y datos que comprometa su fiabilidad o exactitud. El robo de los ordenadores portátiles de los directivos.

¿Por qué el auditor debe prestar especial atención a la 'ausencia de rastro de las transacciones'?. Debido a que el ordenador no puede procesar transacciones similares de forma uniforme. Porque el rastro manual es siempre más fiable que cualquier registro generado por ordenador. Porque algunos sistemas solo mantienen la evidencia útil para la auditoría durante un periodo muy corto de tiempo. Porque el rastro de transacciones solo es necesario en auditorías forenses, no en las de cuentas anuales.

Si un ordenador procesa uniformemente todas las transacciones, ¿cuál es el riesgo 'sistemático' para el auditor?. Que el rastro de auditoría sea demasiado largo y complejo de analizar manualmente. Que cada transacción sea procesada de una forma distinta según el operador de turno. Que un error de programación se repita mecánicamente en todas las transacciones similares. Que el sistema decida de forma aleatoria qué transacciones autorizar y cuáles no.

¿Qué implica la 'vulnerabilidad de acceso a los archivos de datos y programas' en el diseño de un sistema?. Que el departamento de informática puede leer los correos personales de los empleados. Que el servidor central es robado fácilmente debido a la falta de personal de seguridad. Que existe la posibilidad de que personas no autorizadas alteren datos sin dejar pruebas visibles físicamente. Que los ficheros están siempre expuestos a virus si el ordenador no se apaga por las noches.

¿Cuál es el propósito de los controles sobre el procesamiento de los ficheros informáticos?. Evitar que los usuarios realicen consultas excesivas que ralenticen el sistema. Garantizar que el papel utilizado por la impresora sea de la calidad adecuada. Asegurar que las transacciones no sean objeto de pérdida, duplicación o manipulación durante el proceso. Verificar que el manual de usuario esté actualizado y sea fácil de leer.

¿Qué debe hacer un auditor si estima que necesita conocimientos específicos que no posee para cubrir aspectos informáticos del trabajo?. Realizar un curso intensivo de programación durante la fase de ejecución de la auditoría. Ignorar esos aspectos y centrarse solo en la verificación de documentos físicos manuales. Delegar toda la responsabilidad de la auditoría en el jefe del departamento de informática de la entidad. Obtener asesoramiento de otros profesionales especializados, siguiendo normas como la NIA-ES 620.

En la planificación de la auditoría, ¿qué factor define que una aplicación informática sea considerada 'compleja'?. Cuando requiere que todos los empleados usen pantallas de alta resolución. Si el manual de instrucciones del programa tiene más de mil páginas. Cuando el ordenador genera automáticamente transacciones significativas que no pueden ser validadas independientemente. Cuando el hardware tiene más de cinco años de antigüedad y falla frecuentemente.

¿Cuál es la función de los controles de 'segregación de funciones' en un entorno informático?. Permitir que el departamento de informática pueda corregir errores contables directamente. Asegurar que cada empleado trabaje en una oficina física distinta para evitar distracciones. Evitar que una misma persona tenga acceso a los programas, a los procesos y a la vez a los datos reales. Garantizar que el auditor tenga su propio despacho dentro de la empresa auditada.

¿Qué se busca verificar con los controles de 'comprobación de campos de datos claves'?. Que el teclado funcione correctamente y no repita caracteres al azar. Que la pantalla del ordenador no tenga reflejos que dificulten la lectura. Que la información esencial (como un NIF o código de cliente) sea exacta y esté presente antes de procesar. Que el color de fondo de la aplicación sea el corporativo de la empresa.

En el contexto de la seguridad física, ¿por qué se recomienda evitar la proximidad de campos magnéticos?. Debido a que atraen el polvo y esto sobrecalienta los ventiladores del servidor. Para evitar que los cables de comunicación se enreden entre sí. Porque pueden alterar o borrar los registros almacenados en soportes magnéticos de datos. Porque provocan que el personal de informática sufra dolores de cabeza recurrentes.

¿Qué finalidad tienen los controles de 'razonabilidad' (importes máximos y mínimos)?. Detectar errores de bulto o datos ilógicos que se salen de los parámetros normales de operación. Asegurar que el sistema solo funcione durante las horas laborales razonables. Garantizar que el precio de venta sea siempre el más alto posible para maximizar el beneficio. Limitar el salario de los altos directivos para cumplir con las políticas de austeridad.

Dentro de la seguridad informática, ¿qué se entiende por 'caballo de Troya'?. Un empleado desleal que físicamente roba información de la empresa en un maletín. Un programa que parece legítimo pero que contiene código oculto para realizar acciones no autorizadas o fraudulentas. Una técnica de auditoría que permite entrar en el sistema sin que el departamento de informática lo note. Un ordenador muy potente que se utiliza para romper claves de acceso por fuerza bruta.