Auditoria de Sistemas

Un área de unidad de auditoría interna (UAI), que se encuentra físicamente alojada en la empresa, necesita relevar un procedimiento interno, pero, en paralelo, el organismo recibe una visita de auditores para relevar otros procedimientos. En este caso, ¿qué auditorias estarían implicadas? Seleccione las 2 (dos) opciones correctas. Consultoría. Auditoría externa. Auditoría titular. Auditoría interna. Gestión de auditores.

Una auditoría detecta sistemas críticos sin respaldo ni plan de contingencia. ¿Cuál es la primera decisión técnica-metodológica del auditor?. Emitir informe final sin pruebas adicionales. Ignorar el hallazgo por no ser parte del software. Implementar el backup directamente sin informar. Cambiar al responsable del área sin evidencia. Registrar el riesgo, ajustar el alcance/prioridades y definir pruebas específicas sobre continuidad operativa.

Debe auditar a un área en la cual hay personal que es de confianza y existe un vínculo de amistad. Al momento de realizar el informe, ¿qué deberá tener presente como auditor?. A - Deberá ocultar dicha situación a los superiores de niveles jerárquicos. B - Tener un poco de consideración sobre los incumplimientos detectados. C - En dicho caso, el informe debe ser lo más genérico posible sin comprometer al área auditada. D - Ser imparcial y tomar la tarea con profesionalidad. E - En dicho caso, no se realiza el informe.

Una empresa necesita llevar a cabo un relevamiento para el área de IT. Como auditores, nos enfocaremos en auditar lo referido a la ubicación e instalaciones del datacenter. ¿Qué papeles de trabajo se han de solicitar?. A - Reglamento interno de la organización que se va a auditar y el manual de procedimientos del área de IT. B - Aspectos de licencias informáticas. C - Documentación de ingreso/egreso a la sala datacenter, cuestionarios a los involucrados en los procedimientos relativos al datacenter, verificación de licencias y elementos involucrados del espacio. D - Documentos del personal que ingresa y egresa al data center, sin tener presente a la auditoría. E - Manual de procedimientos del área de IT.

¿Qué tipos de controles internos podemos tener en una auditoría?. A - Controles internos y externos. B - Controles mixtos e internos. C - Controles técnicos y mixtos. D - Controles horizontales y verticales. E - Controles generales, operativos y técnicos.

¿Cuáles son los elementos fundamentales a tener en cuenta a la hora de identificar el rol que debe cubrir una auditoría? Seleccione las 4 (cuatro) opciones correctas. A - Debe determinar si presenta adecuadamente la realidad o ésta responde a las expectativas que le son atribuidas, es decir su fiabilidad. B - Ha de mostrar los papeles de trabajo. C - Debe contar con opinión técnica profesional. D - Debe estar sustentada en determinados procedimientos. E - Debe contar con determinada información obtenida en un cierto soporte.

En un sistema de control interno, ¿qué tipo de control tiene como objetivo evitar que ocurra un error o irregularidad?. A - Control preventivo. B - Control documental. C - Control detectivo. D - Control correctivo. E - Control contractual.

¿Qué marco de control interno es ampliamente utilizado para estructurar componentes y objetivos del control interno?. A - E-RISK. B - EDI. C - TEF. D - COSO. E - OSI.

¿Qué son los riesgos control?. A - Son aquellos que hacen referencia a la probabilidad de que existan controles que no permitan detectar y corregir los errores a tiempo. B - Son aquellos que hacen referencia a la probabilidad de que los controles de la entidad fallen. C - Son aquellos propios de la naturaleza de la entidad. Son independientes de su sistema de control interno. D - Son los que están relacionados a normativas tanto internas de la organización que se audita. E - Son los que están relacionados a normativas tanto internas como externas de la organización que se audita.

¿Cuál es el objetivo de un control correctivo dentro del control interno?. A - Definir estándares de documentación. B - Corregir o mitigar efectos luego de detectarse un incidente o desviación. C - Impedir que ocurra un incidente. D - Sustituir auditorías externas. E - Describir legalmente un contrato.

Nos encontramos llevando a cabo una auditoría frente a dos procedimientos sumamente delicados a la hora de emitir una opinión frente a la gerencia de la organización. ¿Qué es lo que no debe faltar en la recopilación de evidencia?. A - En toda auditoría la evidencia obtenida debe evidenciar las funciones que desempeñan cada uno de los auditados, como así también en qué medida se encuentran involucrados con los procedimientos. B - En toda auditoría la evidencia obtenida puede ser la brindada por los auditados y/o solicitada a éstos. C - En toda auditoría es importante recopilar los nombres, apellidos y cargos de las personas auditadas como evidencia. D - En toda auditoría la evidencia obtenida puede ser la brindada por los auditados. E - En toda auditoría la evidencia obtenida debe establecerse en papeles de trabajo a modo de justificación y soporte del trabajo relevado a los auditados, como así cualquier documentación que respalde el procedimiento.

¿Cuál es un objetivo clave del informe provisorio en auditoría de sistemas?. A - Eliminar la necesidad de evidencia en papeles de trabajo. B - Comunicar hallazgos preliminares para validación y discusión antes del informe definitivo. C - Sustituir el dictamen final y cerrar la auditoría. D - Aplicar sanciones disciplinarias en forma inmediata. E - Ocultar hallazgos para reducir impacto institucional.

Para reducir el riesgo de transacciones no autorizadas en un sistema de información, ¿qué controles preventivos resultan apropiados? Seleccione las 4 (cuatro) opciones correctas. A - Autorización por roles/permisos (qué puede hacer cada usuario). B - Segregación de funciones (separación de responsabilidades). C - Autenticación robusta (identificación del usuario). D - Compartir contraseñas para agilizar operaciones. E - Registro de accesos y transacciones para trazabilidad.

El enfoque de la auditoría interna en agregar valor al desarrollo de las actividades de una empresa, ¿qué permite?. A - Permite el cumplimiento de los objetivos en mediano plazo, pero sin mitigación de errores. B - Permite el cumplimiento de los objetivos y metas trazados en los planes estratégicos. C - Permite que se lleven a cabo planes organizacionales a corto y mediano plazo. D - Permite el cumplimiento de todos los procedimientos tanto internos como externos. E - Permite el cumplimiento de los objetivos en corto plazo, pero sin mitigación de errores.

Encinosa define algunas consideraciones sobre los principios de control interno en los sistemas informáticos. Una de estas es: Un adecuado sistema de control interno comienza por la definición clara y sin cuestionamiento alguno, de la responsabilidad de diseñarlo y mantenerlo, para que produzca información confiable y oportuna. Verdadero. Falso.

En una intervención de consultoría, ¿qué rol es más adecuado para el consultor?. A - Emitir dictámenes obligatorios y vinculantes para la gerencia. B - Asumir control total del sistema y ejecutar cambios sin autorización. C - Auditar el cumplimiento legal y aplicar sanciones disciplinarias. D - Sustituir al responsable de TI durante la intervención. E - Recomendar mejoras y alternativas basadas en diagnóstico, sin ejecutar decisiones por la organización.

La empresa tiene que hacer una auditoria. Actualmente no cuentan con mucha solvencia económica, por lo que prestan mucha atención a los gastos que esta acción les va conllevar, además, quieren tener un programa concreto de evaluación en apoyo a las autoridades de la empresa, ¿qué tipo de auditoría deberían hacer?. A - Auditoría externa mix. B - Auditoría interna. C - Auditoría gratuita. D - Auditoría externa. E - Auditoría de desviaciones.

¿Cuántos grupos de técnicas, métodos y procedimientos de auditoría de sistemas podemos tener? Seleccione las 3 (tres) opciones correctas. A - Técnicas para la auditoría interna de IT. B - Instrumentos de recopilación de datos aplicables en la auditoría de sistemas. C - Técnicas de evaluación aplicables en la auditoría de sistemas. D - Técnicas para la auditoría externa de IT. E - Técnicas especiales para la auditoría de sistemas computacionales.

¿Qué son las técnicas de auditoría asistida por computadoras (TAAC)?. A - Son herramientas para culminar un informe técnico de auditoría. B - Son herramientas para controlar la trazabilidad de la auditoría realizada. C - Son una de las herramientas básicas del auditor que se realizan con software. D - Son métodos que utilizan los auditores externos para un mejor seguimiento. E - Son el alcance de un procedimiento.

¿Cuál de las siguientes afirmaciones describe mejor un objetivo de control en el contexto de la auditoría de sistemas?. Proporcionar una descripción detallada de los pasos necesarios para llevar a cabo una tarea de auditoría. Definir el resultado deseado o la meta que se pretende alcanzar mediante la implementación de procedimientos de control específicos en un área o proceso tecnológico. Evaluar el cumplimiento de las políticas y normativas internas de la organización por parte del personal de TI. Establecer las directrices para la selección y adquisición de herramientas de software de auditoría.

¿Cuál es la diferencia fundamental entre una auditoría con informática y una auditoría de sistemas?. La auditoría con informática se centra en la revisión de los estados financieros de una organización utilizando herramientas tecnológicas, mientras que la auditoría de sistemas se enfoca en evaluar la eficiencia de los procesos de negocio en general. La auditoría con informática se enfoca en evaluar la infraestructura tecnológica de una organización, mientras que la auditoría de sistemas se centra en la revisión de los controles internos de las aplicaciones de software. La auditoría con informática utiliza herramientas tecnológicas para auditar cualquier área, mientras que la auditoría de sistemas evalúa la infraestructura, controles y seguridad de los propios sistemas de información. La auditoría con informática se realiza de forma interna por el personal de la organización, mientras que la auditoría de sistemas es llevada a cabo exclusivamente por auditores externos independientes.

La Norma ISO 19011 proporciona directrices para: La implementación de un sistema de gestión de seguridad de la información. La auditoría de sistemas de gestión, incluyendo los principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas de gestión. La gestión de riesgos de TI. El desarrollo de software seguro.

¿Qué se entiende por "Controles Detectivos" en el contexto de la auditoría de sistemas?. Son aquellos controles diseñados para prevenir que ocurran errores o irregularidades en los sistemas de información. Son aquellos controles que se activan automáticamente para corregir los errores identificados en los procesos tecnológicos. Son aquellos controles diseñados para identificar errores, omisiones o irregularidades después de que han ocurrido, permitiendo tomar medidas correctivas oportunas. Son aquellos controles que establecen las políticas y directrices generales para el uso de la tecnología en la organización.

¿Cuál es la función principal del "Plan de Auditoría" en el proceso de auditoría de sistemas?. Detallar los hallazgos y recomendaciones resultantes de la evaluación de los sistemas de información. Definir el marco metodológico y los estándares internacionales que se aplicarán durante la auditoría. Establecer el alcance, los objetivos, el cronograma y los recursos asignados para la ejecución de una auditoría específica. Documentar los procedimientos de control interno implementados por la organización en el área de TI.

¿Cuál de las siguientes opciones describe mejor el concepto de "Mejora Continua" en el marco del Ciclo PHVA (Planificar, Hacer, Verificar, Actuar)?. Un proceso que se realiza una sola vez para corregir las fallas detectadas en los sistemas de información. Un enfoque que busca automatizar todos los procesos tecnológicos de la organización para reducir costos. Un esfuerzo cíclico y sistemático para optimizar los procesos, productos o servicios de la organización a lo largo del tiempo, basándose en la evaluación y retroalimentación constante. Una metodología exclusiva para el desarrollo de software que garantiza la entrega de productos sin errores.

¿Qué aspecto es fundamental evaluar en la "Gestión de Backups y Recuperación" durante una auditoría de sistemas?. La velocidad de conexión a internet utilizada para realizar las copias de seguridad. La existencia de políticas claras, la periodicidad de los respaldos, el almacenamiento en lugares seguros y, fundamentalmente, la realización de pruebas periódicas de restauración. La marca y el modelo de los dispositivos de almacenamiento físico utilizados para los backups. El costo económico de las licencias del software de backup implementado en la organización.

En la metodología COBIT 4.1, los objetivos de control se organizan en cuatro dominios principales. ¿Cuáles son?. Planificación, Organización, Ejecución y Control. Planificación y Organización; Adquisición e Implementación; Entrega y Soporte; Monitoreo y Evaluación. Estrategia, Diseño, Transición y Operación. Evaluación, Dirección, Monitoreo y Gestión.

¿Cuál es la finalidad del "Informe de Auditoría"?. Sancionar al personal de TI que cometió errores en la gestión de los sistemas. Comunicar de manera formal a la alta dirección los hallazgos de auditoría, las conclusiones alcanzadas y las recomendaciones para mejorar los controles internos y mitigar riesgos. Modificar directamente las configuraciones de los sistemas para corregir las vulnerabilidades detectadas. Aprobar el presupuesto del área de tecnología para el próximo período fiscal.

¿Qué caracteriza a los "Controles Preventivos" en un entorno informático?. Actúan antes de que ocurra un evento no deseado, buscando impedir que se materialicen los riesgos o errores. Se ejecutan únicamente de manera manual por parte de los administradores de sistemas. Tienen como único propósito generar alertas cuando se detecta un acceso no autorizado. Son implementados exclusivamente a nivel de hardware, como los sistemas de alimentación ininterrumpida (UPS).

¿A qué tipo de control corresponde la implementación de perfiles de acceso (usuarios y contraseñas) para ingresar a los sistemas de una organización?. Control Preventivo. Control Correctivo. Control de Continuidad. Control Detectivo.

¿Cuál es el propósito fundamental de los "Controles Detectivos" en un sistema de información?. Modificar automáticamente los datos erróneos detectados en las bases de datos transaccionales. Evitar de manera absoluta que usuarios no autorizados puedan acceder físicamente al centro de cómputos. Identificar la ocurrencia de un error, omisión o evento no deseado una vez que este ya ha sucedido. Diseñar los diagramas de flujo y la documentación técnica antes de la fase de desarrollo del software.

¿Qué tipo de control se aplica cuando, tras detectarse una falla en el servidor, el equipo de soporte restaura la última copia de seguridad (backup) para volver a operar con normalidad?. Control Preventivo. Control Correctivo. Control de Planificación. Control Directivo.

En el marco de la Auditoría de Sistemas, ¿cuál es el objetivo principal de la fase de "Planificación"?. Corregir de forma inmediata los errores de programación encontrados en el sistema central de la empresa. Reemplazar al personal del área de sistemas que no cumpla con las expectativas técnicas de la gerencia. Establecer el alcance, los objetivos, los tiempos y los recursos necesarios para llevar a cabo la auditoría de manera eficiente. Configurar los parámetros de seguridad de los firewalls y servidores de la organización.

¿Cuál de las siguientes acciones se realiza principalmente durante la fase de "Ejecución" de una auditoría?. Definir el presupuesto anual que se asignará a todo el departamento de auditoría interna. Redactar la carta de presentación final que se enviará a la junta directiva de la corporación. Diseñar el cronograma tentativo de actividades para el próximo año fiscal. Recolectar evidencias, realizar pruebas de control y aplicar técnicas de muestreo sobre los sistemas evaluados.

¿Qué elemento metodológico NO debe faltar en un "Informe de Auditoría de Sistemas" formal?. El código fuente completo de todas las aplicaciones de software que fueron analizadas durante el proceso. Los hallazgos detectados, las conclusiones fundamentadas y las recomendaciones de mejora correspondientes. La firma de conformidad de cada uno de los clientes externos de la empresa auditada. El listado detallado con las contraseñas de los administradores de las bases de datos de producción.

¿Cómo impacta una auditoría de sistemas bien ejecutada en la "Gestión y Mejora Continua" de una organización?. Garantiza que la empresa nunca más requerirá actualizaciones de hardware o software en el futuro. Incrementa de forma automática y directa las ventas de los productos de la compañía en el mercado. Permite identificar debilidades en los procesos tecnológicos, optimizar el uso de recursos y mitigar riesgos operativos de manera sistemática. Asegura que el cien por ciento de los empleados administrativos se conviertan en expertos en ciberseguridad.

¿Cuál de las siguientes opciones describe mejor el concepto de "Riesgo Tecnológico"?. La posibilidad de que una organización compre licencias de software a un precio menor que el de la competencia. La probabilidad de que ocurra un evento negativo relacionado con el uso de la tecnología que afecte el logro de los objetivos del negocio. El tiempo total que demora un programador en escribir una línea de código en un lenguaje específico. El proceso mediante el cual se cambia el hardware viejo de las oficinas por computadoras de última generación.

¿Qué se busca evaluar principalmente al auditar el proceso de "Gestión de Backups y Recuperación"?. La marca y el costo de los dispositivos físicos de almacenamiento que se adquirieron en el último mes. La integridad, disponibilidad y capacidad real de la organización para restaurar la información crítica ante una contingencia. La velocidad de navegación por internet que tienen los empleados de menor jerarquía en la empresa. El diseño gráfico de la interfaz de usuario del sistema operativo utilizado por las secretarias.

¿Cuál es la función del estándar COBIT en el ámbito de la informática y los sistemas?. Proveer un lenguaje de programación estructurado para el desarrollo seguro de aplicaciones web y móviles. Definir las especificaciones eléctricas necesarias para la instalación física de un nuevo centro de cómputos. Brindar un marco de referencia de buenas prácticas para el gobierno, la gestión y el control de las Tecnologías de la Información (TI). Actuar como un programa antivirus automatizado que elimina amenazas en tiempo real en redes corporativas.