Examen Auditoría informática

Incluye tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.

Son los datos en todas sus formas de entrada, procesados y generados por los sistema de ifnormacion, en cualquier forma en que son utilizados por el negocio.

Es la tecnología y las instalaciones que permiten el procesamiento de las aplicaciones.

Son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de infromación.

Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. Verdadero. Falso.

La informacion son los datos en todas sus formas de entrada, procesados y generados por los sistema de ifnormacion, en cualquier forma en que son utilizados por el negocio. Verdadero. Falso.

La infraestructura tiene que ver solo con las instalaciones que permiten el procesamient de las aplicaciones. Verdadero. Falso.

Cualquier cosa que tenga valor para la organización.

Preservación de la confidencialidad, integridad y disponibilidad de la información.

Es un medio para gestionar el riesgo.

Combinación de la probabilidad de un acontecimiento y su consecuencia.

Uso sistemático de la información para identificar fuentes y estimar el riesgo.

Una causa potencial de un incidente indeseado.

Una debilidad de un activo o de un grupo de activos que puede ser explotada por una o más amenazas.

Virtud, actividad, fuerza para poder obrar.

Virtud, y falcultad para lograr un efecto determinado.

Intención y dirección general expresada formalmente por la dirección.

Poder lograr lo planeado con los menores recursos.

Poder lograr los objetivos.

Es un proceso sistemático de obtención y evaluación objetiva de evidencias respecto a afirmaciones o aseveraciones acerca de hechos y eventos económicos, para determinar el grado de correspondencia entre tales aseveraciones y los criterios establecidos.

Es la actividad consistente en la emision de una opinion profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y cumple con las condiciones que le han sido prescritas.

Normas internacionales de Auditoría. (Elija tres). COBIT. NIIF. NIC. ISO 27000. ITIL.

Clases de Auditoría. (Elija 3). Pública. Financiera. Gestion. Privada. Cumplimiento.

El propósito de este tipo de auditoría es determinar la exactitud de los estados financieros de una organización.

Esta diseñada para evaluar la estructura del control interno en un proceso o área determinada.

Está orientada a evaluar aspectos relacionados con la eficiencia de la productividad operativa dentro de una organización.

Ha sido definida como una auditoría especializada en descubrir, revelar y hacer seguimiento a fraudes y crímenes.

Este proceso recolecta y evalúa la evidencia pra determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y la disponibilidad de los datos y del sistema.

Ciencia del tratamiento sistemático y eficaz, realizado especialmente mediante máquinas automáticas, de la información contempplada como vehículo del saber humano.

Es una serie de datos clasificados y ordenados con un objetivo común.

Símbolo, signo o una serie de letras o números, sin un objetivo que dé un significado a esa serie de símbolos, signos, letras o números.

Está orientada a reducir la incertidumbre del receptor y tiene la característica de poder duplicarse practicamente sin costo.

Niveles de la información. (Elija dos). Confidencial. Medio. Pragmático. Técnico.

Niveles de la información. (Elija dos). Público. Semántico. Organizacional. Normativo.

Considera aspectos de la eficiencia y capacidad de ls canales de transmisión.

Se ocupa de la información desde el punto de vista de su significado.

Considera al receptor en un contexto dado.

Cosidera cuándo, dónde y a quién se destina la información o la difisión que se le dé.

Considera los aspectos de eficiencia y capacidad de los canales de transmisión. Nivel normativo. Nivel técnico. Nivel pragmático.

Se ocupa de la información desde el punto de vista de su significado. Nivel técnico. Nivel normativo. Nivel semántico.

Considera al receptor enun contexto dado. Nivel pragmático. Nivel semántico. Nivel técnico.

Considera cuándo, dónde y a quién se destina la información o la difusión que se le dé. Nivel técnico. Nivel normativo. Nivel semántico.

No es necesario que la informática abarque los cuatro niveles de la información. Verdadero. Falso.

La auditoría informática es la revisión y evaluación de los controles, sistemas, procedientos de informática. Verdadero. Falso.

Es la revisión y evaluación de los controles, sistemas, procedientos de informática.

Es el proceso de recoger, agrupar y evaluar las evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Son objetivos del auditoría en informática (Elija 2). Salvaguardar los activos. Que los sistemas esten escritos en el mismo lenguaje. Que los sistemas usen arquitectura cliente/servidor. Seguridad y confidencialidad.

Son objetivos del auditoría en informática. (Elija 3). Efectividad de los sistemas. Que el departamento de TI no este en el mismo edificio de la empresa. Eficiencia de los Sistemas. Integridad de los datos.

Es la evaluación de la eficiencia técnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los programas, su seguridad y confiabilidad.

Auditoria realizada con recursos materiales y personas que pertenecen a la empresa auditada.

Auditoría realizada por personas afines a la empresa auditada; es siempre remunerada.

Comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su informacion financiera, etc.

Son controles informáticos: (Elija dos). Controles detectivos. Controles correctivos. Controles de alto nivel. Controles de bajo nivel.

Son controles informáticos: (Elija dos). Controles a corto plazo. Controles preventivos. Controles a largo plazo. Controles correctivos.

Controles utilizados para tratar de evitar el hecho.

Controles utilizados cuando fallan los preventivos para tratar de conocer cuánto antes el evento.

Controles que facilitan la vuelta a la normalidad cuando se han producido incidencias.

Controles utilizados para evitar el hecho. Controles detectivos. Controles preventivos. Controles correctivos.

Controles utilizados cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Controles detectivos. Controles correctivos. Controles preventivos.

Controles que facilitan la vuelta a la normalidad cuando se han producido incidencias. Controles detectivos. Controles preventivos. Controles correctivos.

Son objetivos básicos del control interno. Protección de los activos de la empresa. La obtención de información financiera veraz, confiable y oportuna. La promoción de la eficiencia en la operación del negocio. Lograr que se cumplan las políticas establecidas en las operaciones. Todas son correctas.

Son objetivos básicos del control interno: (Elija 2). La obtención de información financiera veraz, confiable y oportuna. Lograr que la empesa implemente más tecnología. La promoción de la eficiencia en la operación del negocio. Incentivar a los administradores a desempeñarse mejor.

Objetivos de control interno que abarcan los aspectos de CONTROLES INTERNOS CONTABLES: (Elija 2). La proteccion de los activos de la empresa. La promoción de la eficiencia en la operación del negocio. La obtención de información financiera veraz, confiable y oportuna. Lograr el cumplimiento de las políticas establecidas en la ejecución de las operaciones.

Objetivos de control interno que se refieren a los CONTROLES INTERNOS ADMINISTRATIVOS. (Elija 2). Lograr el cumplimiento de las políticas establecidas en la ejecución de las operaciones. La obtención de información financiera veraz, confiable y oportuna. La protección de los activos de la empresa. La promoción de la eficiencia en la operación del negocio.

Niveles de los objetivos de los controles contables internos: (Elija 2). Objetivos generales de control interno aplicables a todos los sistemas. Objetivos de control interno aplicables a todos los sistemas. Objetivos generales de control interno aplicables a ciclos de transacciones. Objetivos de control interno aplicables a ciclos de transacciones.

Los objetivos generales de control interno aplicables a todos los sistemas se desarrollan a partir de los objetivos básicos de control interno. Verdadero. Falso.

Los objetivos de control de ciclos se desarrollan a partir de los objetivos generales de control de sistemas. Falso. Verdadero.

Son algunos objetivos generales de control interno de sistemas: Objetivos de Autorización. Objetivos de procesamiento y clasificación de transacciones. Todas son correctas. Objetivo de salvaguarda física. Objetivo de verificación y evaluación.

El área de informática puede interactuar de dos maneras en el control interno: (Elija 2). Relizando ellos mismos la auditoría. Servir de herramienta para llevar a cabo un adecuado control interno. Proporcionar las herramientas necesarias para realizar la auditoría. Tener un control interno del área y del departamento de informática.

El campo de acción de la auditoría en informática es: Evaluación administrativa del área de informática. Aspectos legales de los sistemas y de la información. Evaluación de los sistemas y procedimientos. Seguridad y confidencialidad. Evaluación del proceso de datos y de los equipos de computo. Todas son correctas.

Es el primer paso en el desarrollo de la auditoría, después de la planeación. Pruebas sustantivas. Revisión preliminar. Revisión detallada.

Su objetivo es obtener la información necesaria para que el auditor pueda tomar la decision de cómo proceder en la auditoría. Revisión detallada. Pruebas de consentimiento. Revisión preliminar.

Posibes caminos a seguir despues de termianar la revisión preliminar: (Elija 3). Diseño de la auditoría. Decidir no confiar en los controles internos. Revisión detallada de los controles internos. Avandonar la auditoría.

Significa la recoleccion de evidencias por medio de entrevistas con el personal de la instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar.

La Revisión Preliminar realizada por un Auditor interno difiere de la realizada por un Auditor externo en: (Elija tres). El Auditor externo se enfoca más en las causas de las perdidas. El Auditor interno normalmente requiere menos revisiones y trabajos. Si el audotr interno supone serias debilidades en los controles internmos, en lugar de proceder directamente con las pruebas sustantivas deberá continuar con la fase de revisión detallada. Si el audotr interno supone serias debilidades en los controles internmos, en lugar de proceder directamente con las pruebas sustantivas deberá continuar con la fase de Examen y evaluacion de la información.

Su objetivo es obtener la información necesaria para que le auditor tenga un profundo entendimiento de los controles usados dentro del área de informática.

Aquí el auditor decide: ¿Pruebas de consentimiento o pruebas sustantivas?.

En esta fase es importante para el auditor identificar las causas de las pérdidas existentes dentro de la instalación y los controles para reducir las pérdidas y los efectos causados por esta.

El objetivo de la REVISIÓN PRELIMINAR es obtener la información necesaria para que le auditor tenga un profundo entendimiento de los controles usados dentro del área de informática. Verdadero. Falso.

Después de la REVISIÓN PRELIMINAR el auditor decide si aplica Pruebas de consentimiento o Pruebas sustantivas. Verdadero. Falso.

La revisión preliminar y la revisión detallada utilizan los mismos métodos para obtener la información. Verdadero. Falso.

¿Qué debe hacer el auditor si los controles internos no son satisfactorios?. Proceder directamente a revisar. Probar controles alternos. Hacer recomendaciones para mejorar los controles. Realizar pruebas sustantivas y procedimientos.

¿Quién es el encargado de realizar el programa de auditoría?. El departamento de informática. La gerencia. El director de auditoría. Un profesional de infomática.

El director de auditoría informática debera establecer y mantener un programa de control de calidad. Verdadero. Falso.

Un programa de control de calidad deberá incluir: (Elija tres). Supervisión. Un mecanismo de ayuda. Revisiones externas. Revisiones internas.

Su objetivo es determinar si los Controles Internos operan como fueron diseñados para operar.

Su objetivo es obtener evidencia suficiente que permita al auditor emitir un juicio en la conclusiones acerca de cuando puede ocurrir pérdidas materiales durante el procesamiento de la información.

Existen 8 pruebas sustantivas. Verdadero. Falso.

Si el auditor decide no confiar en los controles internos, ¿Se realizará una investigación detallada?. Verdadero. Falso.

Requerimientos de la auditoría a Nivel Organizacional. Objetivos a corto y largo plazo. Misión, visión y valores. Antecedentes de la empresa. Organigrama. Todas son correctas.

Requerimientos de la auditoría a Nivel del Area de Informática. Objetivos a corto y largo plazo. Todas son correctas. Manual de funciones. Manual de políticas, reglamentos internos y lineamientos generales. Número de personas y puestos en el área.

Requerimientos de la auditoría a Nivel de Recursos y Materiales técnicos. Todas son correctas. Solicitar documentos sobre los equipos. Estudio de viabilidad. Fechas de instalación de los equipos. Contratos vigentes de compras.

Requerimientos de la auditoría a Nivel de Sistemas. Descripción general de los sistemas instalados. Manual de procedimientos de los sistemas. Todas son correctas. Descripción genérica. Diagramas de entrada, archivos y salidas.

Es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados y las evidencias que satisfacen dichos objetivos.

Constituye una guía del auditor para documentar los pasos de acción y para señalar la ubicación del material de evidencia o papeles de trabajo.

Un proceso de auditoría típico incluye: (Elija 4). Antecedentes generales. Ninguna es correcta. Objetivo general de la auditoría. Objetivos específicos de la auditoría. Identificación de recursos.

Identificación de la industria, empresa, conocimiento general del sistema u objeto de estudio en donde se desenvolverá la auditoría.

Los principales objetivos de la auditoría informática comprenden: (Elija 4). El control de la funcion informática. Aumentos de seguridad y fiabilidad. La verificación de la implantación de la normativa. La revisión de la gestion de los recursos informáticos. Aumento de la calidad. El análisis de la eficacia del sistema informático.

Identifica el entorno específico o unidades de la organizacion que se han de incluir en la revisión; o aplicaciones o módulos a auditar en un sistema computacional.

No es necesario incluir el alcance de la auditoría en el el informe final. Verdadero. Falso.

Tipos de recursos materiales utilizados por un auditor. (Elija 2). Recursos humanos. Recursos materiales de software. Recursos materiales. Recursos materiales de hardware.

Programas propios de la auditoría.

Metodologías de la auditoría informática: (Elija 3). ROA. COBIT, ISO, ITIL. Checklist. Auditoría de Productos.

Una(s) persona(s) vista(s) como posible fuente de peligro o catástrofe.

La fuente de daño potencial o situacion que potencialmente cause pérdidas.

Metodologías utilizadas para evaluar los sistemas de información. (Elija 2). COBIT. Análisis de riesgo. ITIL. Auditoría informática.

La auditoría ifnormática solo identifica el nivel de exposición por falta de controles. Verdadero. Falso.

El análisis de riesgo facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de las mismas. Verdadero. Falso.

La situación creada pro falta de uno o varios controles, con la que la amenaza pudiera acaecer y así afectar el entorno informático.

Es la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.

La posibilidad que un evento específico ocurra, medida por la rata de eventos específicos o resultados de un número total de posibles eventos o resultados.

Es la evaluación del efecto del riesgo.

Es verificar, supervisar, observar o registrar el progreso de una actividad, acción o sistema.

Es el uso sistemático de información disponible para determinar con que frecuencia un determinado evento puede ocurrir y la magnitud de sus consecuencias.

Es la cultura, los procesos y las estructuras que estan dirigidas hacia una efectiva administración de potenciales oportunidades y efectos adversos.

La aplicación sistemática de políticas gerenciales, procedimientos y prácticas, en las actividades para establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos.

Son las personas y las organizaciones quienes pueden ser afectadas, son afectadas por, o perciben que ellos mismos peuden ser afectados por un a decision o actividad.

En todos los riesgos que se presentan podemos: (Elija 4). Evitarlos. Reducirlos. Eliminarlos. Asumirlos. Transferirlos.

Elementos que conforman el PROCESO DE ADMINISTRACIÓN DEL RIESGO. (Elija 5). Establecer el contexto. Identificar riesgos. Analizar riesgos. Eliminar riesgos. Evaluar riesgos. Tratar riesgo.

Implica establecer el contexto estratégico, organizacional y de la administración del riesgo, dentro del cual el resto de procesos tienen lugar.

Abarca identificar qué, cómo y por qué se pueden originar los hechos como base para su posterior análisis.

Determina los controles existentes y analiza los riesgos en terminos de consecuencia y probabilidad en el contexto de dichos controles.

Comparar el nivel estimado del riesgo contra un criterio establecido.

Implica aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos desarrollar e implantar un plan específico de administración el cual involucra consideraciones sobre la inversion requerida.

Monitorear y revisar el desempeño del sistema de administración del riesgo y los cambios que pueden afectarlo de manera considerable.

Implica comunicarse y consultar tanto con los stakeholders internos comoo externos en la medida que sea apropiado.

La administración del riesgo puede ser aplicada tanto a nivel estratégico como a nivel operacional. Verdadero. Falso.

La administración del riesgo no es un proceso iterativo. Verdadero. Falso.

Permite el desarrollo de políticas y buenas practicas para el control de las tecnologías en toda organización.

Es un conjunto de objetivos de control aplicables a un ambiente de tecnologías.

Siete categorías en las que agrupa los requerimientos del negocio COBIT: (Elija 3). Efectividad, Eficiencia, Confidencialidad. Monitoreo, Supervision. Integridad, Disponibilidad, Cumplimiento. Confiabilidad de la información.

Se refiere a que la información debe ser relevante y pertinente para los procesos de negocio. Debe ser oportuna, correcta, consistente y utilizable.

Se refiere a proveer información mediante el empleo óptimo de los recursos.

Se refiere a la protección de la información sensitiva contra la divulgación no autorizada.

Se refiere a lo exacto y completo de la información así como su validez de acuerdo a los valores y espectativas de la organización.

Se refiere a la accesibilidad de la información cuando sea requerida por los procesos de negocio, ahora y en el futuro.

Se refiere al cumplimiento de las leyes, regulaciones y compromisos contractuales a los cuales está comprometida la organización.

Se refiere a proveer la información apropiada para que la administración opere la organización.

Niveles jerárquicos en los que COBIT clasifica los proceso de trabajo: (Elija 3). Dominios. Actividades o tareas. Planeacion. Procesos.

Cuatro dominios que utiliza COBIT: (Elija 4). Planeación y organización. Adquisicion e implementación. Entrega de servicios y soporte. Administración. Monitoreo.

Enumere los cinco libros que utiliza ITIL: (Elija 2). Estrategia de servicios, Diseño de servicios, Transición de servicios. Mejora operacional, Disminucion del riesgo. Operación de servicios, Mejora continua de servicios. Proteccion de los activos, Mejora de los procesos.

Es un conjunto de buenas prácticas destinadas a mejorar la gestión y provisión de los servicios de TI.

Su objetivo último es mejorar la calidad de los servicios de TI ofrecidos, evitar los problemas asociados a los mismos...

Es un esfuerzo por redefinir el concepto de control interno utilizado por auditores internos y externos.

Ha establecido un modelo común de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.

Identifique algunas áreas de inspección de la auditoría informática. (Elija 3). Auditoria general. Auditoría física, De la dirección tecnológica, De explotación. Auditoria de empresas. Auditoría de desarrollo, Auditoría de mantenimiento. Auditoría de BD, De seguridad, de Redes.

Garantiza la integridad de los activos humanos, lógicos y materiales del Centro de datos.

Es el control de actividades de los procesos de direccion de sistemas de informacion.

Es el control que se realiza sobre las funciones del Sistema de Información para asegurar que las mismas se efectuan de forma regular, ordenada y que satisfagan los requisistos empresariales.

Trata de verificar la existencia y aplicación de procedimientos de control adecuados que permitan garantizar que el desarrollo de SI se ha lelvado a cabo según los principios de ingeniería.

Determina que el mantenimiento del activo de la organización este bien implementado.

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en la base de datos.

Es el proceso que trata de evaluar en conjunto todos los elementos que cooperan enun todo armónico. Es la técnica de sistemas que analiza la totalidad del proceso informático.

Analiza los procesos relacionados únicamente con la seguridad.

Se centra en evaluar la seguridad de los sistemas de protección perimetral situados en la red interna de la organización.

Su objetivo es evaluar la posibilidad de fallos de elementos que intervienen en el proceso informático, en el terreno de una aplicación informática.