TALLER DE AUDITORIA DE SISTEMAS.

TALLER AUDITORIA DE SISTEMAS
UNIVERSIDAD DE MEDELLIN.
______________________________________________________________
Selección múltiple con única respuesta.
1. El Proceso mediante el cual se califica y evalúan los riesgos para
determinar la capacidad de la entidad para su aceptación o tratamiento
se conoce como:
a. Auditoria
b. Análisis de riesgos
c. Control
d. Mapa de riesgos.
2. Es función de la auditoria:
a. Escuchar los problemas de una empresa
b. Obtener y evaluar evidencia objetivamente
c. Calificar o descalificar las actuaciones de un grupo de personas
d. Ninguno de los anteriores
3. La herramienta organizacional que unida al Mapa de Procesos facilita la
visualización y entendimiento de los riesgos y la definición de una
estrategia para su apropiada administración se conoce como.
a. Auditoria
b. Administración de riesgos
c. Control
d. Mapa de riesgos
4. Un proceso es:
a. Es un conjunto de actividades que recibe uno o mas insumos y crea
un producto o servicio de valor para el cliente
b. Sistema conformado por varios procesos que se integran
sistemáticamente para alcanzar un objetivo propuesto.
c. Un conjunto de actividades que permiten obtener un producto o
servicio de valor para el cliente
d. Ninguna de las anteriores.
5. La integridad es un elemento importante de la seguridad de la
información y tiene por objeto:
a. Garantizar que la información no ha sido alterada en su contenido.
b. asegurar que sólo la persona correcta acceda a la información que
queremos distribuir.
c. garantizar que la información llegue en el momento oportuno.
d. Ninguna de las anteriores.
6. Una definición de indicador es:
a. Bombillos instalados en los procesos y subprocesos, dan
sintomatología del riesgo.
b. Una consecuencia generada en un proceso inestable.
c. Una ayuda para que el auditor de sistemas genere los informes de
auditoria.
d. Ninguna de las anteriores.
7. Dentro de las medidas globales de la seguridad para la administración del
riesgo se tienen las políticas de seguridad y consisten en:
a. Instruir la correcta implementación de un nuevo ambiente
tecnológico
b. Buscar establecer los estándares de seguridad en el uso y
mantenimiento de los activos. Es una forma de suministrar un
conjunto de normas para guiar a las personas en la realización de
sus trabajos.
c. rastrear vulnerabilidades en los activos que puedan ser explotados
por amenazas. Da como resultado un grupo de recomendaciones
para que los activos puedan ser protegidos.
d. Ninguna de las anteriores.
8. Las normas personales, normas de ejecución del trabajo y normas
relacionadas con la información hacen parte:
a. La calidad del software
b. La calidad de un centro de cómputo
c. Un sistema de calidad
d. La auditoria
9. Las sugerencias, contrastadas y plasmadas en el correspondiente
informe de auditoria reciben el nombre de:
a. Recomendaciones
b. Normas de estricto cumplimiento
c. Ayudas especializadas
d. Ninguna de los anteriores
10. Una definición de riesgo es:
a. Minimizar, reducir, eliminar, evitar y neutralizar una perdida.
b. Peligro de no lograr los objetivos
c. Es el plan de contingencia para evitar una perdida
d. A y C
11. Cuando se altera la información que riesgo se hace presente
a. La integridad
b. Confidencialidad
c. Disponibilidad
d. Disponibilidad
12. Las claves de acceso son controles:
a. Detectivos
b. Correctivos
c. Preventivos
d. El B y C
13. Dentro de las principales responsabilidades del auditor informatico
están:
a. Revisar e informar a la dirección de la organización sobre el
diseño y funcionamiento de los controles implantados y sobre la
fiabilidad de la información suministrada.
b. Diseñar e implementar los controles para evitar la materialización
de riesgos
c. Implementar los cambios requeridos por el área de TI de la
organización.
d. Ninguno de los anteriores.
14. La misión del control interno informatico consiste en:
a. Asegurarse de que las medidas que se obtienen de los mecanismos
implantados por cada responsable sean correctas y validas.
b. Verificar la correcta aplicación de estándares para el desarrollo
de la TI
c. Asegurar una adecuada comunicación entre las áreas funcionales
de la organización y las áreas de tecnología.
d. Asegurar la implementación de reglas de negocio en los diferentes
sistemas que soportan los procesos de la organización.
15. Son objetivos del control interno informatico:
a. Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse
del cumplimiento de las normas legales.
b. Asesorar sobre el conocimiento de las normas
c. Colaborar Y apoyar el trabajo de auditoria informática, así como
de las auditorias externas al grupo.
d. Todas las anteriores.
16. La creación de un sistema de control informatico es una responsabilidad
de:
a. La Gerencia
b. La dirección de TI
c. Los usuarios de los sistemas
d. Ninguno de los anteriores
17. La validación de datos es un control:
a. Preventivos
b. Correctivos
c. Detectivos
d. El B y C
18. La confidencialidad de la información define:
a. Que no sea alterada indebidamente
b. Confidencialidad, disponibilidad, integridad
c. Que no sea accedida por terceros
d. Autenticación, integridad, exactitud
19. Asegurar que sólo la persona correcta acceda a la información que
queremos distribuir, es un principio de seguridad de:
a. Confidencialidad y disponibilidad
b. Disponibilidad
c. Confidencialidad
d. Integridad
20. La seguridad de la información tiene como propósito proteger:
a. La información y el control
b. La información y el riesgo
c. La información
d. El control y el riesgo
21. Que es un control?
a. Un plan para poner en marcha el ciclo productivo de una empresa
b. Un mecanismo que sirve para maximizar un riesgo.
c. Un mecanismo que sirve para administrar un riesgo
d. Un mecanismo que sirve para eliminar un riesgo
22. La integridad de la información define:
a. Que no sea alterada indebidamente
b. Que no sea accedida por terceros
c. Que siempre este disponible
d. Solo B y C
23. Que la información llegue en el momento oportuno, que se utilice cuando
sea necesario, y se pueda acceder en el momento en que necesiten
utilizarla es un principio de seguridad de:
a. Integridad
b. Confidencialidad
c. Disponibilidad
d. Recuperación
24. Las normas de auditoria son
a. Sugerencias y planes de acción para eliminar las disfunciones o
debilidades encontradas.
b. Requisitos de calidad relativa a la personalidad del auditor y al
trabajo que desempeña
c. Conjunto de reglas que deben regir en la empresa auditada.
d. Ninguno de los anteriores
25. Al “Proceso sistemático e independiente, que tiene como fin determinar
si las actividades y los resultados relativos a la calidad satisfacen las
disposiciones previamente establecidas y si éstas se han implementado
efectivamente y son adecuadas para el logro de los objetivos
propuestos” se conoce como :
a. Auditoria
b. Administración de riesgos
c. Control
d. Mapa de riesgos
26. No hace parte de las normas de la auditoria:
a. Normas personales
b. Normas para la ejecución del trabajo
c. Normas para la preparación del informe
d. Normas de urbanidad
27. Los auditores de Control Interno deben cumplir y aplicar:
a. Los principios de Integridad, objetividad, confidencialidad,
responsabilidad y competencia; en el desarrollo de sus funciones
b. Administración de riesgos NO inherentes al cargo
c. Directrices especiales del Consultor
d. Todo el peso de la ley
28. Las auditorias pueden ser:
a. Internas, externas, fiscales
b. Internas- Externas
c. De control fiscal y financiero
d. Ninguno de los anteriores
29. EL concepto “Registro y/o declaraciones de hechos o cualquier otra
información que son pertinentes para los criterios de auditoria y que son
verificables.” Es conocida como
a. Efecto del hallazgo
b. Evidencia
c. Indicador
d. Control
30. Una de las técnicas de auditoria es la observación y consiste en:
a. Presenciar personalmente la forma como determinados
procedimientos operativos y de control se llevan a cabo en las
empresas.
b. Directamente leen los procedimientos operativos con los que
cuenta la empresa auditada.
c. Mediante el estudio de documentos enviados por la empresa se
toman elementos y se establecen juicios
d. Ninguno de los anteriores
31. Se puede concluir que el “Informe del auditor” puede catalogarse como:
a. Una asesoría
b. Un relato de la evidencia
c. Una opinión
d. Una resumen ejecutivo
32. En auditoria de sistemas un tipo de prueba es la de cumplimiento la cual
consiste en:
a. Determinar si los controles se ajustan a las políticas y
procedimientos de la Organización.
b. Determinar si los controles se realizan de manera periódica.
c. Determinar la relación existente entre los controles y riesgos
identificados.
d. Ninguna de las anteriores.
33. Aspectos que debe considerar el auditor de sistemas de información en
el momento de la planificación:
a. Conocimiento del negocio
b. Conocimiento del ámbito el negocio
c. Evidencia de auditoria y auditabilidad
d. Todos los anteriores
34. El termino viabilidad financiera se refiere a:
a. Capacidad de una organización de mantener una entrada de
recursos financieros mayor que los recursos que se gastan
b. La medida en la cual las conclusiones de una evaluación son
justificadas por los datos presentados.
c. Una variable que se considera afectada o influida por un programa.
d. Una variable que se considera afectada o influida por un programa.
35. La primera barrera de seguridad que se establece para reducir los
riesgos es:
a. Control Preventivo
b. Control Detectivo
c. Control de Protección
d. Control Correctivo.
36. Se define un procedimiento de auditoria como:
a. Las actividades de auditoria que deben desarrollarse para obtener
evidencia.
b. Conjunto de reglas que le permiten al auditor sacar conclusiones.
c. Un manual de usuario final
d. Ninguno de los anteriores
37. El objetivo “Recomendar sobre el diseño de controles en el desarrollo
de aplicaciones, mejoras en el control interno del área de procesamiento
de datos y verificación del cumplimiento de las normas de control en
procesamiento de datos y seguridad general” es de:
a. Auditoria financiera
b. Auditoria Informática
c. Oficial de cumplimiento de control interno
d. Oficial de control interno
38. Elaborar, dirigir y controlar el plan anual de auditoria de sistemas es :
a. Un perfil del oficial de cumplimiento
b. Una función del auditor informático
c. Un conocimiento del Jefe de Sistemas
d. Una forma de ocio auditable
39. Conocer los diferentes elementos administrativos de manera que le
permita planear, ejecutar, coordinar y controlar todas las actividades
propias del área de responsabilidad.
a. Una experiencia del auditor informático
b. Una función del Jefe de sistemas
c. Un conocimiento del Auditor informático
d. Actitudes del auditor informático
40. No es un componente metodológico de la auditoria:
a. Conocimiento del área
b. Evaluación del sistema de control externo
c. Diseño de papeles de trabajo
d. Ninguno de los anteriores
41. La auditoria utiliza una metodología basada en:
a. Métodos deductivos
b. Métodos Inductivos
c. La obtención de resultados
d. La obtención de resultados
42. Capacidad de convencimiento, creativo y liderazgo
a. Un perfil del oficial de cumplimiento
b. Una Habilidad del Auditor informático
c. Un conocimiento del Jefe de sistemas
d. Una forma de ocio auditable
43. Los papeles de trabajo según su uso se dividen en:
a. Archivo permanente - Archivo corriente
b. Temporales - fijos
c. Vigentes - obsoletos
d. Solo A y B
44. Análisis financiero y Administración de sistemas
a. Un perfil del oficial de cumplimiento
b. Una experiencia del auditor informático
c. Un conocimiento del Auditor informático
d. Una forma de ocio auditable
45. Lealtad ; Alto sentido de responsabilidad; Prudente, discreto, reservado
Alto sentido de ética profesional son :
a. Actitudes del auditor informático
b. Habilidades del auditor informático
c. Conocimientos del auditor informático
d. Funciones del auditor informático
46. El concepto de caja negra se utiliza en:
a. Sistemas cuando no sabemos que elementos o cosas componen al
sistema o proceso
b. Ocasiones cuando queremos proteger algo de la luz
c. En navegación aérea para registrar las causas de un accidente
Aéreo..
d. Ninguna de las anteriores
47. De acuerdo a las opciones la profesión recomendada para un auditor de
sistemas ó informático puede ser:
a. Contador e Ingeniero
b. Contador con especialización en auditoria
c. Ingeniero de sistemas con especialización en Finanzas ó Auditoria
d. Ingeniero con especialización en auditoria
48. Los tipos de auditoria son:
a. Cualitativas
b. Cuantitativas
c. Cualitativas y cuantitativas
d. Positivistas y estructuralistas.
49. Dependiendo de los fines perseguidos en una auditoria esta puede ser:
a. Auditoria publica y auditoria privada
b. Auditoria operativa y de soporte
c. Auditoria interna y auditoria externa
d. Ninguna de las anteriores
50. El área responsable de evaluar la efectividad del sistema de control
establecido en el ambiente informático es:
a. Auditoria informática
b. Control interno informático
c. Auditoria Financiera
d. Departamento de sistemas
51. La auditoria realizada con recursos materiales y personas que
pertenecen a la Empresa auditada se denomina:
a. Auditoria publica
b. Auditoria externa
c. Auditoria interna
d. Ninguna de las anteriores
52. Elija la opción que significa una FUNCION del Auditor
informático.
a. Participar en los proyectos de sistemas y emitir su concepto
b. Análisis financiero y Administración de sistemas
c. Comprensión clara sobre los distintos tópicos generales y
especializados en el Área de Sistemas
d. Capacidad para identificar riesgos
53. La información que describe, explica e informa sobre fenómenos
utilizando números se asocia a:
a. Datos cualitativos
b. Datos cuantitativos
c. Datos aleatorios
d. Ninguna de las anteriores
54. Un indicador es:
a. Un medio para medir lo que realmente sucede en comparación
con lo que se ha planificado en términos de calidad
b. Una medida explícita utilizada para determinar el desempeño
c. Una señal que revela el progreso hacia los objetivos
d. Todas las anteriores
55. La diferencia entre certificación y acreditación es :
a. La certificación es voluntaria y la acreditación NO
b. Certificación de procesos y Acreditación de instituciones
c. NO existe diferencia
d. Solo se puede tener una de las dos (Son excluyentes)
PARA LAS SIGUIENTE PREGUNTAS ELIJA LA CLASIFICACION DE
LA POLITICA DE ACUERDO AL DOCUMENTO DE “GUIA PARA
POLITICAS DE SEGURIDAD INFORMATICA”
56. Cuando un usuario recibe una cuenta, debe firmar un documento
donde declara conocer las políticas y procedimientos de seguridad
informática y acepta sus responsabilidades con relación al uso de
esa cuenta.
a.
b.
c.
d.
Cuentas de Usuarios
Internet
Correo Electrónico
Directrices especiales
a.
b.
c.
d.
Cuentas de Usuarios
Internet
Correo Electrónico
Directrices especiales
57. Los Privilegios especiales de borrar o depurar los archivos de
otros usuarios, sólo se otorgan a los encargados de la
administración en la Gerencia de Informática.
58. Las claves de acceso se deben memorizar y no anotar además al
tercer intento de acceso fallido, el sistema bloqueará la cuenta.
a.
b.
c.
d.
Cuentas de Usuarios
Internet
Correo Electrónico
Directrices especiales
a.
b.
c.
d.
Cuentas de Usuarios
Internet
Correo Electrónico
Directrices especiales
59. Se suspenderá el servicio de correo electrónico a los
funcionarios que no hagan uso de este durante un período mayor o
igual a dos meses.
60. La clave de acceso o password debe cambiarse cada noventa
(90) días.
a.
b.
c.
d.
Cuentas de Usuarios
Internet
Correo Electrónico
Directrices especiales
61. Se filtrará el tráfico de extensiones *.avi,*.bat,*.bmp, *.exe,
*.mdb,*.mp3,*.wma.
a.
b.
c.
d.
Cuentas de Usuarios
Internet
Correo Electrónico
Directrices especiales
62. Queda prohibido distribuir, acceder o guardar material
ofensivo, abusivo, obsceno, racista, ilegal o no laboral, utilizando los
medios electrónicos de la empresa.
a.
b.
c.
d.
Cuentas de Usuarios
Internet
Correo Electrónico
Directrices especiales
63. Existen tres grandes problemas que amenazan la mensajería
instantánea, estos son:
a. Correo Electrónico, Administración de riesgos, Control
b. Internet, Cuentas de Usuarios, Los gusanos y virus.
c. Los gusanos y virus; Denegación de servicio; Programas de puertas
traseras o troyanos
d. Directrices especiales; Correo Electrónico; los virus
64. No se puede instalar ni conectar dispositivos o partes
diferentes a las entregadas en los equipos. Es competencia de la
Gerencia de Informática, el retiro o cambio de partes.
a.
b.
c.
d.
Cuentas de Usuarios
Internet
Correo Electrónico
Directrices especiales
e.
f.
g.
h.
Cuentas de Usuarios
Internet
Correo Electrónico
Directrices especiales
65. No saldrá de oficinas centrales ningún equipo, impresora,
escáner, UPS o demás elemento tecnológico, sin la autorización
directa de la Gerencia de Informática.
PREGUNTAS DE ANÁLISIS DE RELACIÓN
Si la afirmación y la razón son VERDADERAS y la razón
es
una
explicación
CORRECTA
de
la
afirmación...................................... A
Si la afirmación y la razón son VERDADERAS pero la
razón NO es una explicación correcta de la afirmación,
marque la ...................... B
Si la afirmación es VERDADERA pero la razón es una
proposición
FALSA
marque
la
.................
................................................... C
Si la afirmación es FALSA pero la razón es una
proposición
VERDADERA,
marque
la
.......................................................... D
Si tanto la afirmación como la razón son proposiciones
FALSAS,
marque
la
.................................................................................. E
66.
La auditoria es un proceso para obtener y evaluar evidencias de
manera objetiva con el fin de determinar la extensión en que se
cumplen los requisitos establecidos
PORQUE
Cumple con las disposiciones establecidas y si éstas se han aplicado en
forma efectiva permitiendo alcanzar los objetivos.
A
B
C
D
E
RESPUESTA A
67. El propósito de las políticas de seguridad informática es velar
por que existan procedimientos de planificación controlados con
métodos simples y funcionales
PORQUE
Cada funcionario debe cumplir las políticas y directrices de la empresa,
A
B
C
D
E
RESPUESTA E
68. Se dice que la evidencia debe reunir condiciones de calidad y
cantidad
PORQUE
La evidencia tiene características de calidad cuando es "competente", es
decir, válida y relevante. Además, en materia de cantidad, la evidencia debe
ser "suficiente", aspecto que se determina a través de un juicio de
auditoría.
A
B
C
D
E
RESPUESTA A
69. La actividad de Auditoría de Sistemas de Información debe
contar con la existencia de fuentes verificables de evidencia de
auditoría.
PORQUE
Son necesarias para probar los controles o para realizar procedimientos de
pruebas de sustanciación.
A
B
C
D
E
RESPUESTA A
70. La evidencia de auditoria es un factor que no afecta la
efectividad de una auditoria de sistemas de información.
PORQUE
Existen situaciones en que las expectativas respecto de los resultados de la
autoridad exceden los requerimientos para detectar errores relevantes,
tales como un análisis de la eficiencia del procedimiento de la información.
A
B
C
D
E
RESPUESTA E
71. Al planificar una Auditoría de Sistemas de Información, el auditor
se puede enfrentar ante la disyuntiva de tener que seleccionar o
establecer prioridades con respecto a qué área de la auditoría, o
cuál o cuáles aplicaciones comenzar a auditar.
PORQUE
El auditor no puede auditar todos los sistemas al, mismo tiempo. Se deben
establecer criterios que faciliten ese ordenamiento.
A
B
C
D
E
RESPUESTA A