1.

Un auditor de SI est revisando el acceso a una aplicacin para determinar si las 10 nuevas cuentas nuevas
ms recientes fueron apropiadamente autorizadas. Esto es un ejemplo de.

C. Pruebas de coexistencia: determina si los controles se aplican en conformidad con la poltica.

2. Las decisiones y acciones de un auditor de SI son las ms susceptibles de afectar a cualquiera de los
siguientes riesgos.

B- deteccin: riesgo de deteccin

Al examinar las solicitudes de cambio de programa, un auditor de SI encontr que la poblacin de cambios era
demasiado pequea para proporcionar un nivel razonable de seguridad. Cul es la accin ms apropiada para
el auditor?

3. El riesgo general de negocio para una amenaza particular se puede expresar como:

A- un producto de la probabilidad y magnitud de impacto si una amenaza con xito exhala una
vulnerabilidad.

4. Cul es el paso ms crtico a seguir al planificar una auditora de SI?

D. Realizar una evaluacin del riesgo

5. Cul de los siguientes mtodos de muestreo es ms til cuando se prueba el cumplimiento.

A. Muestreo de atributos

6. Toma en consideracin la probabilidad y la magnitud del impacto y proporciona la mejor medida del riesgo para
un activo.

A. Desarrolle un procedimiento de prueba alternativo.

B. Reportar el hallazgo a la gerencia como una deficiencia.
C. Realizar un recorrido del proceso de gestin del cambio.
D. Crear cambios de muestra adicionales en los programas.

Si el objetivo del tamao de la muestra no puede ser satisfecho con los datos dados, el auditor no podra
proporcionar la seguridad con respecto al objetivo de la prueba. En este caso, el auditor de SI debe desarrollar
(con la aprobacin de la administracin de auditora) un procedimiento de prueba alternativo. No hay suficiente
evidencia para reportar el hallazgo como una deficiencia. No debera iniciarse un paseo hasta que se realice un
anlisis para confirmar que esto podra proporcionar la garanta requerida. No sera apropiado que un auditor de
SI creara datos de muestra para el propsito de la auditora.

7. Se asigna un auditor de SI para realizar una revisin post implementacin de un sistema de aplicacin. Cul
de las siguientes situaciones puede haber alterado la independencia del auditor de SI? El auditor de SI:

A. implement una funcionalidad especfica durante el desarrollo del sistema de aplicacin.

B. dise un mdulo de auditora integrado exclusivamente para la auditora del sistema de aplicacin.
C. particip como miembro del equipo de proyecto del sistema de solicitud, pero no tena
responsabilidades operacionales.
D. prest asesoramiento sobre las mejores prcticas del sistema de aplicacin.

La independencia puede verse afectada si un auditor de SI est o ha estado involucrado activamente en el

desarrollo, adquisicin e implementacin del sistema de solicitud. Opciones La banda C son situaciones que no
afectan la independencia del auditor de SI. La opcin D es incorrecta debido a que la independencia del auditor
de SI no se ve afectada al proporcionar asesoramiento sobre las mejores prcticas conocidas.

8. La ventaja PRIMARIA de un enfoque de auditora continua es que:

A. no requiere que un auditor de SI recopile evidencia sobre la confiabilidad del sistema mientras se procesa.
B. requiere que el auditor de SI revise y haga un seguimiento inmediato de toda la informacin recopilada.
C. puede mejorar la seguridad del sistema cuando se utiliza en entornos de tiempo compartido que
procesan un gran nmero de transacciones.
D. no depende de la complejidad de los sistemas informticos de una organizacin.

El uso de tcnicas continuas de aUditing puede mejorar la seguridad del sistema cuando se usa en entornos de
tiempo compartido que procesan un gran nmero de transacciones, pero dejan un rastro de papel escaso. La
opcin A es incorrecta, ya que el enfoque de auditora continua requiere a menudo que un auditor de SI recoja
evidencia sobre la confiabilidad del sistema mientras se procesa. La opcin B es incorrecta ya que un auditor de
SI normalmente revisara y dara seguimiento slo a las deficiencias materiales o los errores detectados. La
opcin D es incorrecta ya que el uso de tcnicas de auditora continua depende de la complejidad de los
sistemas informticos de una organizacin.

9. El propsito PRIMARIO de las pistas de auditora es:

A. mejorar el tiempo de respuesta de los usuarios.
B. establecer la rendicin de cuentas y la responsabilidad de las transacciones procesadas.
C. mejorar la eficiencia operativa del sistema.
D. proporcionar informacin til a los auditores que deseen realizar un seguimiento de las transacciones.

B Habilitar pistas de auditora ayuda a establecer la rendicin de cuentas y la responsabilidad de las

transacciones procesadas mediante el rastreo de las transacciones a travs del sistema. El objetivo de permitir
que el software proporcione pistas de auditora no es mejorar la eficiencia del sistema ya que a menudo implica
un procesamiento adicional que, de hecho, puede reducir el tiempo de respuesta para los usuarios. Habilitar
pistas de auditora implica almacenamiento y, por tanto, ocupa espacio en disco. La opcin D tambin es una
razn vlida; Sin embargo, no es la razn principal.

10. Un auditor de SI est evaluando la evaluacin de riesgos de la administracin de los sistemas de

informacin. El auditor de SI debe PRIMERO revisar:
A. los controles ya existentes.
B. la eficacia de los controles en su lugar.
C. el mecanismo de seguimiento de los riesgos relacionados con los activos.
D. las amenazas / vulnerabilidades que afectan a los activos.

Uno de los factores clave a considerar al evaluar los riesgos relacionados con el uso de varios sistemas de
informacin son las amenazas y vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso
de los activos de informacin deben evaluarse independientemente de los controles instalados. Del mismo
modo, la efectividad de los controles debe ser considerada durante la etapa de mitigacin del riesgo y no
durante la fase de evaluacin del riesgo. Debe establecerse un mecanismo para monitorear continuamente los
riesgos relacionados con los activos durante la funcin de monitoreo de riesgos que sigue a la fase de
evaluacin del riesgo.

11. Al planificar una auditora, el paso ms importante es la identificacin de:

A. reas de alto riesgo.
B. conjuntos de habilidades del personal de auditora.
C. pasos de prueba en la auditora.
D. tiempo asignado para la auditora.

A Al disear un plan de auditora, es importante identificar las reas de mayor riesgo para determinar las reas a
ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haber sido considerados antes
de decidir y seleccionar la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar
las reas de riesgo y el tiempo asignado para una auditora es determinado por las reas a ser auditadas, las
cuales son seleccionadas principalmente sobre la base de la identificacin de riesgos.

12 Un beneficio PRIMARIO derivado de una organizacin que emplea tcnicas de autoevaluacin de control
(CSA) es que:
A puede identificar reas de alto riesgo que podran necesitar una revisin detallada ms adelante.
B. permite que los auditores de SI evalen de forma independiente el riesgo.
C. puede utilizarse como sustituto de las auditoras tradicionales.
D. permite a la gerencia renunciar a la responsabilidad del control.
La autoevaluacin de control (CSA) se basa en la revisin de reas de alto riesgo que necesitan atencin
inmediata o una revisin ms profunda en una fecha posterior. La opcin B es incorrecta porque CSA requiere la
participacin de los auditores y la administracin de lnea. Lo que ocurre es que la funcin de auditora interna
transfiere algunas de las responsabilidades de control de monitoreo a las reas funcionales. La opcin C es
incorrecta porque CSA no es un reemplazo para las auditoras tradicionales. CSA no pretende reemplazar las
responsabilidades de la auditora, sino mejorarlas. La opcin D es incorrecta porque CSA no permite a la
administracin renunciar a su responsabilidad de control.

13 La medida en que se recogern los datos durante una auditora de SI debe determinarse en base a:
A. disponibilidad de informacin crtica y requerida.
B. familiaridad del auditor con las circunstancias.
C. habilidad del auditado para encontrar evidencia relevante.
D. propsito y alcance de la auditora realizada.

La medida en que los datos se recogern durante una auditora de SI debe estar directamente relacionada con
el alcance y el propsito de la auditora. Una auditora con un propsito y un alcance estrechos resultara ms
probable en menos recopilacin de datos que una auditora con un propsito y alcance ms amplio. El alcance
de una auditora de SI no debe verse limitado por la facilidad de obtener la informacin o por la familiaridad del
auditor con el rea auditada. La recopilacin de toda la evidencia requerida es un elemento requerido de una
auditora de SI y el alcance de la auditora no debe estar limitado por la habilidad del auditado de encontrar
evidencia relevante.

14 Al planificar una auditora, se debe hacer una evaluacin del riesgo para proporcionar:
A. Garanta razonable de que la auditora abarcar temas materiales.
B. Garanta definitiva de que los temas materiales sern cubiertos durante el trabajo de auditora.
C. Una garanta razonable de que todos los temas sern cubiertos por la auditora.
D. Aseguramiento suficiente de que todos los tems sern cubiertos durante el trabajo de auditora.
A La Directriz G 15 de ISACA IS sobre la planificacin de la auditora de SI establece que "se debe hacer una
evaluacin del riesgo para proporcionar una seguridad razonable de que los temas materiales sern cubiertos
adecuadamente durante el trabajo de auditora. La existencia de problemas materiales ".
La garanta definitiva de que los temas materiales sern cubiertos durante el trabajo de auditora es una
propuesta poco prctica. La garanta razonable de que todos los artculos sern cubiertos durante el trabajo de
auditora no es la respuesta correcta, ya que los elementos materiales deben ser cubiertos, no todos los
artculos.

15 Un auditor de SI est revisando un procedimiento de prueba y ha concluido que los errores materiales no
fueron identificados. Qu tipo de riesgo representa?
A. Deteccin
B. Auditora
C. Control
D. Inherente

Este es un ejemplo de riesgo de deteccin, ya que el uso de procedimientos de prueba inadecuados puede no
detectar todos los errores materiales. El riesgo de auditora es la combinacin de deteccin, control y riesgos
inherentes para una asignacin de auditora determinada.
El riesgo de control es el riesgo de que exista un error material que no ser prevenido o detectado de manera
oportuna por el sistema de controles internos. El riesgo inherente es el riesgo de que exista un error en ausencia
de cualquier control de compensacin, un error que podra llegar a ser significativo cuando se combina con otros
errores.

16 Cul de los siguientes es lo ms importante para asegurar que se mantienen controles efectivos de la
aplicacin?
A. Reporte de excepciones
B. Participacin del Gerente
C. Autoevaluacin del control (CSA)
D. Revisin por pares
CSA es la revisin de objetivos de negocio y controles internos en un proceso de colaboracin formal y
documentado. Incluye probar el diseo de controles de aplicaciones automatizados. Los informes de excepcin
solo miran lo que no se ha logrado. La participacin del gestor es importante, pero puede no ser coherente o
bien definida.
Comparado con el CSA. La revisin por pares carece de la participacin directa de los especialistas en auditora
y la direccin.

17 Cul de las siguientes es la ventaja PRIMARIA de utilizar el software forense informtico para las
investigaciones?
A. La preservacin de la cadena de custodia para pruebas electrnicas
B. Ahorro de tiempo y de costes
C. Eficiencia y eficacia
D. Capacidad para buscar violaciones de derechos de propiedad intelectual

El objetivo principal del software forense es preservar la evidencia electrnica para cumplir con las reglas de la
evidencia.
La opcin B, el tiempo y los ahorros de costos, y la eleccin C, la eficiencia y la efectividad, son preocupaciones
legtimas que diferencian paquetes de software forenses buenos y malos. La opcin D, la capacidad de buscar
violaciones a los derechos de propiedad intelectual, es un ejemplo de uso de software forense.

18 Un auditor de SI ha importado datos de la base de datos del cliente. El siguiente paso, que confirma si los
datos importados estn completos, se realiza mediante:
A. Correspondencia de los totales de control de los datos importados para controlar los totales de los
datos originales.
B. la clasificacin de los datos para confirmar si los datos estn en el mismo orden que los datos originales.
C. revisar la impresin de los primeros 100 registros de datos originales con los primeros 100 registros de datos
importados.
D. filtrar datos para diferentes categoras y hacer coincidirlas con los datos originales.
A La coincidencia de los totales de control de los datos importados con totales de control de los datos originales
es el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. No es posible confirmar
la integridad ordenando los datos importados porque los datos originales pueden no estar ordenados. Adems,
la clasificacin no proporciona totales de control para verificar la integridad. Revisar una impresin de 100
registros de datos originales con 100 registros de datos importados es un proceso de verificacin fsica y
confirma la exactitud de slo estos registros. Filtrar datos para diferentes categoras y emparejarlos con los
datos originales requerira que se desarrollaran los totales de control para confirmar la integridad de los datos

19 El vicepresidente de recursos humanos ha solicitado una auditora para identificar los pagos excesivos de
nmina del ao anterior. Cul sera la MEJOR tcnica de auditora para usar en esta situacin?
A. Datos de prueba
B. Software de auditora generalizado
C. Instalacin de prueba integrada
D. Mdulo de auditora incorporado
Las caractersticas generalizadas del software de auditora incluyen clculos matemticos, estratificacin,
anlisis estadstico, comprobacin de secuencia, comprobacin de duplicados y recomputaciones. Un auditor de
SI, utilizando un software de auditora generalizado, podra disear pruebas apropiadas para recalcular la
nmina, determinando as si haba pagos en exceso ya quienes se hicieron. Los datos de prueba pondran a
prueba la existencia de controles que podran evitar pagos en exceso, pero no detectar errores de clculo
especficos anteriores. Ni una instalacin de prueba integrada ni un mdulo de auditora incorporado detectara
errores en un perodo anterior.

20. Durante una auditora de seguridad de los procesos de TI, un auditor de SI encontr que no haba seguridad
documentada
Procedimientos. El auditor de SI debe:
A. crear el documento de procedimientos.
B. Terminar la auditora.
C. realizar pruebas de cumplimiento.
D. Identificar y evaluar las prcticas existentes.

Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; Por lo tanto, el enfoque
ms proactivo sera identificar y evaluar las prcticas de seguridad existentes que estn siendo seguidas por la
organizacin. Los auditores de SI no deben preparar la documentacin, ya que esto podra poner en peligro su
independencia. Terminar la auditora puede impedir el logro de uno de los objetivos bsicos de la auditora, es
decir, la identificacin de riesgos potenciales. Dado que no existen procedimientos documentados, no hay
ninguna base para evaluar el cumplimiento.

21. En el curso de realizar un anlisis de riesgo, un auditor de SI ha identificado amenazas e impactos

potenciales. Siguiente,
El auditor de SI debe:
A. Identificar y evaluar el proceso de evaluacin de riesgos utilizado por la administracin.
B. Identificar los activos de informacin y los sistemas subyacentes.
C. divulgar las amenazas y los impactos a la gerencia.
D. identificar y evaluar los controles existentes.

Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que se
identifiquen las amenazas potenciales y los posibles impactos. Al finalizar una auditora, un auditor de SI debe
describir y discutir con la administracin las amenazas e impactos potenciales sobre los activos.

22. Cul de los siguientes debe ser de mayor preocupacin para un auditor de SI?
A. Falta de informes de un ataque exitoso en la red
B. No informar a la polica de un intento de intrusin
C. Falta de examen peridico de los derechos de acceso
D. Falta de notificacin al pblico de una intrusin

No informar de una intrusin es equivalente a un auditor de SI que oculta una intrusin maliciosa, lo que sera un
error profesional. Aunque la notificacin a la polica puede ser necesaria y la falta de un examen peridico de los
derechos de acceso puede ser una preocupacin, no representan una preocupacin tan grande como la falta de
denuncia del ataque. Informar al pblico no es un requisito y depende del deseo de la organizacin, o de su
falta, de hacer conocer la intrusin.

23Cul de los siguientes sera normalmente la evidencia ms confiable para un auditor de SI?
A. Una carta de confirmacin recibida de un tercero verificando un saldo de cuenta
B. Aseguramiento de la administracin de lnea de que una aplicacin est funcionando segn lo diseado
C. Datos de tendencias obtenidos de fuentes de la World Wide Web (Internet)
D. Anlisis de relacin desarrollado por el auditor de SI a partir de los informes suministrados por la direccin de
lnea.

Las pruebas obtenidas de terceros independientes casi siempre se consideran las ms confiables. Las opciones
B, C y D no se considerarn fiables.

24Al evaluar el efecto colectivo de los controles preventivos, detectives o correctivos dentro de un proceso, un
auditor de SI debe ser consciente de cul de los siguientes?
A. El punto en el cual los controles se ejercen como flujo de datos a travs del sistema
B. Slo los controles preventivos y de deteccin son relevantes
C. Los controles correctivos slo pueden considerarse compensadores
D. Clasificacin permite que un auditor de SI determine qu controles estn ausentes

Un auditor de SI debe centrarse en cuando los controles se ejercen como flujo de datos a travs de un sistema
informtico. La opcin B es incorrecta ya que los controles correctivos tambin pueden ser relevantes. La opcin
C es incorrecta, ya que los controles correctivos eliminan o reducen los efectos de errores o irregularidades y se
consideran exclusivamente controles compensatorios. La eleccin D es incorrecta e irrelevante, ya que la
existencia y la funcin de los controles es importante, no la clasificacin.
25Qu tcnica de auditora ofrece la MEJOR evidencia de la separacin de funciones en un departamento de
SI?
A. Discusin con la gerencia
B. Revisin del organigrama
C. Observacin y entrevistas
D. Pruebas de los derechos de acceso de los usuarios

C Al observar al personal de SI que realiza sus tareas, un auditor de SI puede identificar si estn realizando
operaciones incompatibles, y al entrevistar al personal de SI, el auditor puede obtener una visin general de las
tareas realizadas. Sobre la base de las observaciones y entrevistas, el auditor puede evaluar la segregacin de
funciones. La gerencia puede no ser consciente de las funciones detalladas de cada empleado en el
departamento de SI; Por lo tanto, la discusin con la gerencia proporcionara solamente informacin limitada
sobre la segregacin de deberes. Un organigrama no proporcionara detalles de las funciones de los empleados.
La prueba de derechos de usuario proporcionara informacin sobre los derechos que tienen dentro de los
sistemas IS, pero no proporcionara informacin completa sobre las funciones que desempean.

26 Despus de revisar el plan de recuperacin de desastres (DRP) de una organizacin, un auditor de SI solicita
una reunin con la direccin de la empresa para discutir los resultados. Cul de los siguientes MEJORES
describe el objetivo principal de esta reunin?
A. Obtener la aprobacin de la gerencia de las acciones correctivas
B. Confirmacin de la exactitud fctica de los resultados
C. Asistencia a la direccin en la implementacin de acciones correctivas
D. Clarificar el alcance y las limitaciones de la auditora

El objetivo de la reunin es confirmar la exactitud fctica de los hallazgos de la auditora y presentar una
oportunidad para que la direccin se ponga de acuerdo sobre la accin correctiva. No se requiere la aprobacin
por parte de la administracin de las acciones correctivas, ya que esta no es la funcin del auditor. La
implementacin de acciones correctivas debe hacerse despus de que se haya establecido la exactitud fctica
de los hallazgos, pero el trabajo de implementacin de medidas correctivas no suele asignarse al auditor de SI,
ya que esto perjudicara la independencia del auditor. Aclarar el alcance y las limitaciones de la auditora se
debe hacer durante la reunin de entrada, no durante la reunin de salida.

27 Cul de los siguientes sera la mejor poblacin para tomar una muestra de cuando se prueban los cambios
en el programa?
A. Listados de la biblioteca de pruebas
B. Lista de programas fuente
C. Solicitudes de cambio de programa
D. Lista de la biblioteca de produccin

La mejor fuente para dibujar cualquier muestra o prueba de informacin del sistema es el sistema automatizado.
Las bibliotecas de produccin representan ejecutables que estn aprobados y autorizados para procesar datos
organizativos. Los listados de programas de origen requeriran mucho tiempo. Las solicitudes de cambio de
programa son los documentos utilizados para iniciar el cambio; No hay garanta de que la solicitud se haya
completado para todos los cambios. Los listados de bibliotecas de prueba no representan los ejecutables
aprobados y autorizados.

28 Una instalacin de prueba integrada se considera una herramienta de auditora til porque:
A. es un enfoque rentable para la auditora de controles de aplicaciones.
B. permite a los auditores financieros y de SI integrar sus pruebas de auditora.
C. compara la salida de procesamiento con datos calculados independientemente.
D. proporciona al auditor de SI una herramienta para analizar una amplia gama de informacin.

C Una instalacin de prueba integrada se considera una herramienta de auditora til porque utiliza los mismos
programas para comparar el procesamiento utilizando datos calculados independientemente. Esto implica
establecer entidades ficticias en un sistema de aplicacin y procesar pruebas o datos de produccin contra la
entidad como un medio para verificar la exactitud del proceso.
CI-33 Los diagramas de flujo de datos son utilizados por los auditores de SI para:
A. ordenar los datos de forma jerrquica.
B. resaltar las definiciones de datos de alto nivel.
C. resumir grficamente rutas de datos y almacenamiento.
D. describir detalles paso a paso de la generacin de datos.

C Los diagramas de flujo de datos se usan como ayudas para graficar o graficar el flujo y el almacenamiento de
datos. Trazan los datos desde su origen hasta el destino, destacando los caminos y el almacenamiento de
datos. No ordenan datos en ninguna jerarqua. El flujo de datos no necesariamente coincide con ninguna
jerarqua o orden de generacin de datos.

34. Cul de las siguientes formas de evidencia un auditor de SI considerara la ms confiable?

A. Una declaracin oral del auditado
B. Los resultados de una prueba realizada por un auditor externo de SI
C. Un informe de contabilidad informtica generado internamente
D. Una carta de confirmacin recibida de una fuente externa

Una prueba independiente realizada por un auditor de SI siempre debe considerarse una fuente de evidencia
ms confiable que una carta de confirmacin de un tercero, ya que una carta no se ajusta a las normas de
auditora y es subjetiva. Una auditora debe consistir en una combinacin de inspeccin, observacin e
investigacin por un auditor segn lo determinado por el riesgo. Esto proporciona una metodologa estndar y
una garanta "razonable" de que los controles y los resultados de las pruebas son precisos. Las opciones A y C
son pruebas de auditora, pero no tan fiables como la opcin B.

35. Un auditor de SI revisa un organigrama PRIMERO para:

A. una comprensin de los flujos de trabajo.
B. investigar diversos canales de comunicacin.
C. Comprender las responsabilidades y la autoridad de las personas.
D. investigar la red conectada a diferentes empleados.

Un organigrama proporciona informacin sobre las responsabilidades y la autoridad de los individuos en la

organizacin. Esto ayuda a un auditor de SI a saber si existe una segregacin adecuada de funciones. Un
diagrama de flujo de trabajo proporcionara informacin sobre las funciones de diferentes empleados. Un
diagrama de red proporcionar informacin sobre el uso de varios canales de comunicacin e indicar la
conexin de los usuarios a la red.

36. Un auditor de SI est realizando una auditora de un sistema operativo de red. Cul de las siguientes es
una caracterstica de usuario que el auditor de SI debe revisar?
A. Disponibilidad de la documentacin de la red en lnea
B. Soporte de acceso a terminales a hosts remotos
C. Manejo de la transferencia de archivos entre los hosts y las comunicaciones entre los usuarios
D. Gestin del rendimiento, auditora y control

Las funciones de usuario del sistema operativo de red incluyen la disponibilidad en lnea de la documentacin de
la red. Otras caractersticas seran el acceso de los usuarios a varios recursos de los hosts de la red, la
autorizacin del usuario para acceder a recursos particulares y la red y los equipos host usados sin acciones o
comandos especiales del usuario. Las opciones B, C y D son ejemplos de funciones de sistemas operativos de
red.

37. Cul de las siguientes opciones BEST podra ayudar a detectar errores en el procesamiento de datos?
A. Controles de edicin programados
B. Pantallas de entrada de datos bien diseadas
C. Separacin de funciones
D. Totales de Hash

D El uso de totales de hash es un mtodo efectivo para detectar de forma fiable errores en el procesamiento de
datos. Los controles automatizados, como los controles de edicin programados o las pantallas de entrada de
datos bien diseadas, son controles preventivos. Hacer cumplir la segregacin de los deberes asegura
principalmente que una persona solitaria no tiene autoridad para crear y aprobar una transaccin; Esto no se
considera un mtodo para detectar errores, sino un mtodo para ayudar a prevenir errores.

38 Cul de las siguientes es una ventaja de una instalacin de prueba integrada (ITF)?
A. Utiliza archivos maestros reales o maniques, y el auditor de SI no tiene que revisar el origen de la transaccin
B. Las pruebas peridicas no requieren procesos de prueba separados
C. Valida los sistemas de aplicacin y prueba el funcionamiento continuo del sistema
D. Se elimina la necesidad de preparar los datos de prueba

Una instalacin de prueba integrada (ITF) crea una entidad ficticia en la base de datos para procesar
transacciones de prueba simultneamente con entrada en vivo. Su ventaja es que las pruebas peridicas no
requieren procesos de prueba separados.
Sin embargo, es necesaria una planificacin cuidadosa y los datos de prueba deben aislarse de los datos de
produccin. Un auditor de SI evala los resultados de la prueba de una modificacin a un sistema que se ocupa
del clculo del pago.

39El auditor encuentra que el 50 por ciento de los clculos no coinciden con los totales predeterminados. Cul
de los siguientes sera probablemente el siguiente paso en la auditora?
A. Disear pruebas adicionales de los clculos que estn en error
B. Identificar las variables que pueden haber causado que los resultados de la prueba sean inexactos
C. Examinar algunos de los casos de prueba para confirmar los resultados
D. Documentar los resultados y preparar un informe de conclusiones, conclusiones y recomendaciones

Un auditor de SI debe examinar los casos en que ocurrieron clculos incorrectos y confirmar los resultados. Una
vez confirmados los clculos, se pueden realizar y revisar ms pruebas. La preparacin del informe, las
conclusiones y las recomendaciones no se harn hasta que todos los resultados sean confirmados.

40 El MEJOR mtodo de probar la exactitud de un clculo del impuesto del sistema es:
A. revisin visual detallada y anlisis del cdigo fuente de los programas de clculo.
B. recrear la lgica del programa utilizando un software de auditora generalizado para calcular los totales
mensuales,
C. preparar transacciones simuladas para procesar y comparar los resultados con resultados
predeterminados.
D. diagrama de flujo automtico y anlisis del cdigo fuente de los programas de clculo.

La preparacin de transacciones simuladas para procesar y comparar los resultados con resultados
predeterminados es el mejor mtodo para probar la exactitud de un clculo de impuestos. Revisin visual
detallada, diagrama de flujo y anlisis del cdigo fuente no son mtodos eficaces, y los totales mensuales no
abordaran la exactitud de los impuestos individuales
Clculos.

41 Un auditor de SI que realiza una revisin de los controles de una aplicacin evaluara lo siguiente:
A. la eficiencia de la aplicacin en el cumplimiento de los procesos de negocio.
B. impacto de cualquier exposicin descubierta.
C. los procesos de negocio atendidos por la aplicacin.
D. optimizacin de la aplicacin.

B Una revisin de control de aplicaciones implica la evaluacin de los controles automatizados de la aplicacin y
una evaluacin de cualquier exposicin resultante de las debilidades de control. Las otras opciones pueden ser
objetivos de una auditora de aplicaciones, pero no son parte de una auditora restringida a una revisin de
controles.

42 Las medidas correctivas han sido tomadas por un auditado inmediatamente despus de la identificacin de
un hallazgo notificable. El auditor de SI debe:
A. incluir el hallazgo en el informe final, porque el auditor de SI es responsable de un informe preciso de
todos los hallazgos.
B. No incluir la conclusin en el informe final, ya que el informe de auditora debe incluir slo hallazgos no
resueltos.
C. No incluya la conclusin en el informe final, ya que las medidas correctivas pueden ser verificadas por el
auditor de SI durante la auditora.
D. incluir el hallazgo en la reunin de clausura para propsitos de discusin solamente.

Incluir el hallazgo en el informe final es una prctica de auditora generalmente aceptada. Si una accin es
tomada despus de que la auditora comenz y antes de que terminara, el informe de auditora debe identificar
el hallazgo y describir la accin correctiva tomada. Un informe de auditora debe reflejar la situacin, tal como
exista al inicio de la auditora. Todas las acciones correctivas tomadas por el auditado deben ser reportadas por
escrito.

43 Durante una revisin de implementacin de una aplicacin distribuida multiusuario, un auditor de SI

encuentra deficiencias menores en tres reas: la configuracin inicial de los parmetros se instala
incorrectamente, se utilizan contraseas dbiles y algunos informes vitales no se comprueban correctamente. Al
preparar el informe de auditora, el auditor de SI debe:
A. registrar las observaciones por separado con el impacto de cada una de ellas marcadas con respecto a cada
hallazgo respectivo.
B. asesorar al gestor de riesgos probables sin registrar las observaciones ya que las debilidades de control son
menores.
C. Registrar las observaciones y el riesgo derivado de las debilidades colectivas.
D. informar a los jefes departamentales interesados sobre cada observacin y documentarla adecuadamente en
el informe.

Individualmente, las debilidades son menores; Sin embargo, juntos tienen el potencial de debilitar
sustancialmente la estructura de control global. Las opciones A y D reflejan un fallo por parte del auditor de SI
para reconocer el efecto combinado de la debilidad de control. Asesorar al gerente local sin informar los hechos
y las observaciones ocultara las conclusiones de otras partes interesadas.

44 Al desarrollar una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo una
evaluacin de riesgos para asegurar que:
A. los controles necesarios para mitigar los riesgos estn en su lugar.
B. se identifican vulnerabilidades y amenazas.
C. Se consideran los riesgos de auditora.
D. un anlisis de la brecha es apropiado.

B Al desarrollar una estrategia de auditora basada en el riesgo, es fundamental entender los riesgos y las
vulnerabilidades. Esto determinar las reas a ser auditadas y el alcance de la cobertura. Entender si los
controles apropiados requeridos para mitigar los riesgos estn en su lugar es un efecto resultante de una
auditora. Los riesgos de auditora son aspectos inherentes a la auditora, estn directamente relacionados con
el proceso de auditora y no son relevantes para el anlisis de riesgos del medio ambiente a auditar. Un anlisis
de la brecha se hara normalmente para comparar el estado real con un estado esperado o deseable.

45 Durante una entrevista de salida, en los casos en que hay desacuerdo con respecto al impacto de una
conclusin, un auditor de SI debe:
A. Pida al auditado que firme un formulario de liberacin que acepta la responsabilidad legal.
B. Explicar la importancia de los hallazgos y los riesgos de no corregirlos.
C. reportar el desacuerdo al comit de auditora para su resolucin.
D. aceptar la posicin del auditado, ya que son los propietarios del proceso.
Si el auditado no est de acuerdo con el impacto de un hallazgo, es importante que un auditor de SI elabore y
aclare los riesgos y las exposiciones, ya que el auditado puede no apreciar completamente la magnitud de la
exposicin. El objetivo debe ser iluminar al auditado o descubrir nueva informacin de la cual un auditor de SI
puede no haber sido consciente. Cualquier cosa que aparente amenazar al auditado disminuir las
comunicaciones efectivas y establecer una relacin de antagonismo. Del mismo modo, un auditor de SI no debe
estar de acuerdo automticamente slo porque el auditado exprese un punto de vista alternativo.

46El xito de la autoevaluacin del control (CSA) depende altamente de:

A. que los gerentes de lnea asuman una parte de la responsabilidad del monitoreo del control.
B. asignar a los directores de personal la responsabilidad de construir, pero no supervisar, los controles.
C. la implementacin de una poltica de control estricta y controles controlados por reglas.
D. la aplicacin de la supervisin y el control de los controles de las funciones asignadas.

El objetivo primario de un programa de autoevaluacin de control (CSA) es aprovechar la funcin de auditora

interna desplazando algunas de las responsabilidades de supervisin de control a los gerentes de lnea de rea
funcional. El xito de un programa CSA depende del grado en que los gerentes de lnea asuman la
responsabilidad de los controles. Las opciones B, C y D son caractersticas de un enfoque de auditora
tradicional, no un enfoque CSA.

47 Para asegurar que los recursos de auditora ofrezcan el mejor valor a la organizacin, el PRIMER paso sera:
A. programar las auditoras y monitorear el tiempo empleado en cada auditora.
B. capacitar al personal de auditora de SI sobre la tecnologa actual utilizada en la empresa.
C. elaborar el plan de auditora sobre la base de una evaluacin de riesgos detallada.
D. monitorear el progreso de las auditoras e iniciar medidas de control de costos.

La supervisin del tiempo (opcin A) y los programas de auditora (opcin D), as como la capacitacin
adecuada (opcin B), mejorarn la productividad del personal de auditora de SI (eficiencia y desempeo), pero
lo que aporta valor a la organizacin son los recursos y Dedicado a las reas de mayor riesgo.

48 En una auditora de una aplicacin de inventario, cul enfoque proporcionara la MEJOR evidencia de que
los pedidos son vlidos?
A. Comprobacin de si el personal inapropiado puede cambiar los parmetros de la aplicacin
B. Seguimiento de rdenes de compra a una lista de ordenadores
C. Comparacin de los informes de recepcin con los detalles de la orden de compra
D. Revisar la documentacin de la solicitud

A Para determinar la validez de la orden de compra, los controles de acceso de prueba proporcionarn la mejor
evidencia. Las opciones Band C se basan en enfoques posteriores al hecho, mientras que la opcin D no sirve
porque el contenido de la documentacin del sistema puede no ser el mismo que lo que est sucediendo.

49 Un auditor de SI debe usar muestreo estadstico, y no muestreo de juicio (no estadstico), cuando:
A. la probabilidad de error debe ser cuantificada objetivamente.
B. el auditor desea evitar el riesgo de muestreo.
C. el software de auditora generalizado no est disponible.
D. no se puede determinar la tasa de error tolerable.

A Dada una tasa de error esperada y un nivel de confianza, el muestreo estadstico es un mtodo objetivo de
muestreo, que ayuda a un auditor de SI a determinar el tamao de la muestra ya cuantificar la probabilidad de
error (coeficiente de confianza). La opcin B es incorrecta porque el riesgo de muestreo es el riesgo de que una
muestra no sea representativa de la poblacin. Este riesgo existe tanto para el juicio como para las muestras
estadsticas. La opcin C es incorrecta porque el muestreo estadstico no requiere el uso de software de
auditora generalizado. La opcin D es incorrecta porque la tasa de error tolerable debe estar predeterminada
tanto para el juicio como para el muestreo estadstico.

50Cul de las siguientes tcnicas de auditora en lnea es MS eficaz para la deteccin temprana de errores o
irregularidades?
A. Mdulo de auditora incorporado
B. Instalacin de prueba integrada
C. Instantneas
D. Ganchos de auditora

D La tcnica de gancho de auditora implica incrustar cdigo en sistemas de aplicacin para el examen de
transacciones seleccionadas. Esto ayuda a un auditor de SI a actuar antes de que un error o una irregularidad
se salga de control. Un mdulo de auditora incorporado implica incrustar software especialmente escrito en el
sistema de aplicaciones de la organizacin para que los sistemas de aplicacin sean supervisados de forma
selectiva. Se utiliza una instalacin de prueba integrada cuando no es prctico usar datos de prueba, y las
instantneas se usan cuando se requiere una pista de auditora.

51 Al evaluar el diseo de los controles de monitoreo de la red, un auditor de SI debe revisar primero la red:
A. diagramas de topologa.
B. uso del ancho de banda.
C. informes de anlisis de trfico.
D. ubicaciones de cuello de botella.

A El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la idoneidad de la
documentacin de la red, especficamente los diagramas de topologa. Si esta informacin no est actualizada,
los procesos de monitoreo y la capacidad de diagnosticar problemas no sern efectivos.

52 Al realizar una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el prximo paso
del auditor de SI?

A. Observar el mecanismo de respuesta

B. Borre el virus de la red
C. Informar inmediatamente al personal apropiado
D. Asegurar la eliminacin del virus

C Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar a la organizacin de su
presencia, y luego esperar su respuesta. La opcin A debe tomarse despus de la eleccin C. Esto permitir que
un auditor de SI examine la efectividad real y la efectividad del sistema de respuesta. Un auditor de SI no debe
realizar cambios en el sistema que se est auditando; Asegurando que la eliminacin del virus es una
responsabilidad de la administracin.

53 Durante la fase de planificacin de una auditora de SI, la meta PRIMARIA de un auditor de SI es:
A. direccin de los objetivos de la auditora.
B. reunir pruebas suficientes.
C. especificar las pruebas apropiadas.
D. minimizar los recursos de auditora.

A ISACA auditing standards require that an IS auditor plan the audit work to address the audit objectives.
Choice B is incorrect because the auditor does not collect evidence in the planning stage of an audit.
Choices C and D are incorrect because they are not the primary goals of audit planning. The activities
described in choices B, C and D are all undertaken to address audit objectives and, thus, are secondary to
choice A.

54 Al seleccionar los procedimientos de auditora, un auditor de SI debe usar juicio profesional para asegurar
que:
A. se recogern pruebas suficientes.
B. todas las deficiencias significativas identificadas sern corregidas dentro de un perodo razonable.
C. se identificarn todas las debilidades materiales.
D. los costos de auditora se mantendrn en un nivel mnimo.

A Los procedimientos son procesos que un auditor de SI puede seguir en un trabajo de auditora. Al determinar
la conveniencia de cualquier procedimiento especfico, un auditor de SI debe usar juicio profesional adecuado a
las circunstancias especficas. El juicio profesional implica una evaluacin subjetiva ya menudo cualitativa de las
condiciones que surgen en el transcurso de una auditora. El juicio se dirige a un rea gris donde las decisiones
binarias (s / no) no son apropiadas y la experiencia pasada del auditor juega un papel clave en la toma de un
juicio. Las directrices de ISACA proporcionan informacin sobre cmo cumplir con los estndares al realizar el
trabajo de auditora de SI.

55 A substantive test to verify that tape library inventory records are accurate is:

A. determining whether bar code readers are installed.

B. determining whether the movement of tapes is authorized.
C. conducting a physical count of the tape inventory.
D. checking if receipts and issues of tapes are accurately recorded.

C - A substantive test includes gathering evidence to evaluate the integrity of individual transactions, data or
other information. Conducting a physical count of the tape inventory is a substantive test. Choices A, Band D are
compliance tests.

56 Al realizar una investigacin forense de computadoras, con respecto a la evidencia reunida, un auditor de SI
debe estar ms preocupado por:

A. Anlisis.
B. Evaluacin.
C. preservacin.
D. divulgacin.

C La preservacin y documentacin de las pruebas para su revisin por parte de las autoridades policiales y
judiciales son de primordial preocupacin cuando se lleva a cabo una investigacin. El hecho de no conservar
debidamente las pruebas podra poner en peligro la aceptacin de las pruebas en los procedimientos judiciales.
El anlisis, la evaluacin y la divulgacin son importantes pero no son de inters primordial en una investigacin
forense.

57 Un auditor de SI que entrevista a un empleado de la nmina de pago encuentra que las respuestas no
apoyan descripciones de trabajo y procedimientos documentados. En estas circunstancias, el auditor de SI
debe:

A. concluyen que los controles son inadecuados.

B. Ampliar el alcance para incluir pruebas sustantivas.
C. confiar ms en auditoras anteriores.
D. suspender la auditora.

B Si las respuestas a las preguntas de un auditor de SI no son confirmadas por procedimientos documentados o
descripciones de puestos, el auditor de SI debe ampliar el alcance de la prueba de los controles e incluir pruebas
sustantivas adicionales. No hay evidencia de que cualquier control que exista sea inadecuado o adecuado. La
aplicacin de una mayor dependencia de las auditoras anteriores o la suspensin de la auditora son acciones
inapropiadas, ya que no proporcionan un conocimiento actual de la idoneidad de los controles existentes.

58 Un auditor de SI emite un informe de auditora que seala la falta de caractersticas de proteccin de firewall
en la puerta de enlace de red perimetral y recomienda un producto de proveedor para solucionar esta
vulnerabilidad. El auditor de SI no ha podido ejercer:

A. La independencia profesional.
B. independencia organizativa.
C. competencia tcnica.
D. competencia profesional.

A Cuando un auditor de SI recomienda a un proveedor especfico, comprometen la independencia profesional.

La independencia de la organizacin no tiene relevancia para el contenido de un informe de auditora y debe
considerarse en el momento de aceptar el compromiso. La competencia tcnica y profesional no es relevante
para el requisito de independencia.
59 La razn PRIMARIA por la que un auditor de SI realiza una gua prctica durante la fase preliminar de una
tarea de auditora es:
A. entender el proceso de negocio.
B. cumplir con las normas de auditora.
C. identificar la debilidad del control.
D. planificar pruebas sustantivas.

A Comprender el proceso de negocio es el primer paso que un auditor de SI necesita realizar. Las normas no
requieren que un auditor de SI realice una gua de proceso. La identificacin de las debilidades de control no es
la razn PRIMARIA para el tutorial y normalmente ocurre en una etapa posterior de la auditora. La planificacin
de pruebas sustantivas se realiza en una etapa posterior de la auditora.

60 En el proceso de evaluacin de los controles de cambio de programa, un auditor de SI utilizar el software de

comparacin de cdigo fuente para:

A. Examinar los cambios del programa fuente sin informacin del personal de IS.
B. Detectar un cambio de programa fuente entre la adquisicin de una copia de la fuente y la ejecucin de
comparacin.
C. confirmar que la copia de control es la versin actual del programa de produccin.
D. Asegrese de que se detectan todos los cambios realizados en la copia de origen actual.

A A Un auditor de SI tiene una garanta objetiva, independiente y relativamente completa de los cambios del
programa porque la comparacin del cdigo fuente identificar los cambios. La opcin B es incorrecta porque los
cambios realizados desde la adquisicin de la copia no estn incluidos en la copia del software. La opcin C es
incorrecta ya que un auditor de SI tendr que obtener esta garanta por separado. La opcin D es incorrecta
porque no se detectarn los cambios realizados entre el momento en que se adquiri la copia de control y la
comparacin del cdigo fuente.

61 El propsito PRIMARIO de reunirse con los auditados antes de cerrar formalmente una revisin es:

A. confirman que los auditores no pasaron por alto ninguna cuestin importante.
B. obtener un acuerdo sobre los hallazgos.
C. recibir retroalimentacin sobre la adecuacin de los procedimientos de auditora.
D. probar la estructura de la presentacin final.

B El propsito principal de reunirse con los auditados antes de cerrar formalmente una revisin es obtener un
acuerdo sobre los resultados. Las otras opciones, aunque relacionadas con el cierre formal de una auditora, son
de importancia secundaria.

62 Cul de las siguientes tcnicas de auditora BEST ayudara al auditor a determinar si ha habido cambios no
autorizados en el programa desde la ltima actualizacin del programa autorizada?

A. Ejecucin de los datos de prueba

B. Revisin del cdigo
C. Comparacin automatizada de cdigos
D. Revisin de los procedimientos de migracin de cdigo

C Una comparacin de cdigo automatizada es el proceso de comparar dos versiones del mismo programa para
determinar si las dos corresponden. Es una tcnica eficiente porque es un procedimiento automatizado. Las
ejecuciones de datos de prueba permiten al auditor verificar el procesamiento de las transacciones
preseleccionadas, pero no proporcionan ninguna evidencia sobre porciones no ejercidas de un programa. La
revisin de cdigo es el proceso de lectura de listas de cdigo fuente del programa para determinar si el cdigo
contiene errores potenciales o declaraciones ineficientes. Una revisin de cdigo se puede utilizar como un
medio de comparacin de cdigo, pero es ineficiente. La revisin de los procedimientos de migracin de cdigo
no detectara cambios en el programa.

63 Al preparar un informe de auditora, el auditor de SI debe asegurarse de que los resultados estn
respaldados por:
A. declaraciones de la direccin de SI.
B. documentos de trabajo de otros auditores.
C. una autoevaluacin del control organizacional.
D. pruebas de auditora suficientes y apropiadas.

D El estndar de ISACA sobre "reportar" requiere que el auditor de SI tenga evidencia de auditora suficiente y
apropiada para apoyar los resultados reportados. Las declaraciones de la administracin de SI proporcionan una
base para obtener la concurrencia en asuntos que no pueden ser verificados con evidencia emprica. El informe
debe basarse en la evidencia recolectada durante el transcurso de la revisin aunque el auditor pueda tener
acceso a los documentos de trabajo de otros auditores. Los resultados de una autoevaluacin del control
organizacional (CSA) podran complementar los hallazgos de la auditora. Las opciones A, B se podran
referenciar durante una auditora, pero, por s mismas, no se considerara una base suficiente para emitir un
informe.

64 Aunque la direccin ha declarado lo contrario, un auditor de SI tiene razones para creer que la organizacin
est utilizando un software que no tiene licencia. En esta situacin, el auditor de SI debe:

A. incluir la declaracin de gestin en el informe de auditora.

B. Identificar si tal software est, de hecho, siendo utilizado por la organizacin.
C. reconfirmar con la administracin el uso del software.
D. discutir el tema con la alta gerencia ya que reportar esto podra tener un impacto negativo en la organizacin.

B Cuando hay una indicacin de que una organizacin podra estar usando software sin licencia, el auditor de SI
debe obtener pruebas suficientes antes de incluirlo en el informe. Con respecto a este asunto, las
representaciones obtenidas de la administracin no pueden ser verificadas independientemente. Si la
organizacin est usando software que no tiene licencia, el auditor, para mantener la objetividad y la
independencia, debe incluir esto en el informe.

65 La decisin final de incluir un hallazgo material en un informe de auditora debe ser hecha por:

A. Comit de auditora.
B. Gerente de auditee.
C. El auditor de SI.
D. El CEO de la organizacin.

C El auditor de SI debe tomar la decisin final sobre qu incluir o excluir del informe de auditora. Las otras
opciones limitaran la independencia del auditor.

66 Cul de los siguientes es un atributo del enfoque de autoevaluacin del control (CSA)?

A. Participacin amplia de las partes interesadas

B. Los auditores son los principales analistas de control
C. Participacin limitada de los empleados
D. Orientado a polticas

A El enfoque de autoevaluacin de control (CSA) enfatiza el manejo y la rendicin de cuentas para desarrollar y
monitorear los controles de los procesos de negocios de una organizacin. Los atributos de la CSA incluyen:
empleados capacitados, mejoramiento continuo, amplia participacin de los empleados y capacitacin, todos
ellos representaciones de la participacin de las partes interesadas. Las opciones B, C y D son atributos de un
enfoque de auditora tradicional.

67 Al revisar documentos de trabajo electrnicos sensibles, el auditor de SI not que no estaban encriptados.
Esto podra comprometer el:

A. pista de auditora del versionado de los documentos de trabajo.

B. aprobacin de las fases de auditora.
C. Derechos de acceso a los documentos de trabajo.
D. confidencialidad de los documentos de trabajo.
D El cifrado proporciona confidencialidad para los documentos de trabajo electrnicos. Las pistas de auditora, la
aprobacin de la fase de auditora y el acceso a los documentos de trabajo no afectan por s mismos a la
confidencialidad, sino que son parte de la razn por la que se requiere el cifrado.

68 La razn MS importante para que un auditor de SI obtenga evidencia de auditora suficiente y apropiada es:

A. cumplir con los requisitos reglamentarios.

B. proporcionar una base para extraer conclusiones razonables.
C. asegurar la cobertura completa de la auditora.
D. realizar la auditora de acuerdo con el alcance definido.

B El alcance de una auditora de SI se define por sus objetivos. Esto implica identificar deficiencias de control
relevantes para el alcance de la auditora. La obtencin de pruebas suficientes y apropiadas ayuda al auditor no
slo a identificar las debilidades de control, sino tambin a documentarlas y validarlas. Cumplir con los requisitos
reglamentarios, asegurar la cobertura y la ejecucin de la auditora son todos relevantes para una auditora, pero
no son la razn por la cual se requiere evidencia suficiente y relevante.

69 Despus de la investigacin inicial, un auditor de SI tiene razones para creer que el fraude puede estar
presente. El auditor de SI debe:

A. Extender las actividades para determinar si una investigacin est justificada.

B. reportar el asunto al comit de auditora.
C. informar de la posibilidad de fraude a la alta direccin y preguntar cmo les gustara proceder.
D. consultar con un asesor legal externo para determinar el curso de accin que se debe tomar.

A Las responsabilidades de un auditor de SI para detectar fraudes incluyen la evaluacin de los indicadores de
fraude y la Cualquier accin adicional es necesaria o si una investigacin debe ser recomendada. El auditor de
SI Notificar a las autoridades competentes dentro de la organizacin slo si ha determinado que los indicadores
De fraude son suficientes para recomendar una investigacin. Normalmente, el auditor de SI no tiene autoridad
para Consultar con un asesor legal externo.

70 Un auditor de SI que evala los controles de acceso lgico debe FIRST:

A. documentar los controles aplicados a las rutas de acceso potencial al sistema.

B. controles de prueba sobre las vas de acceso para determinar si son funcionales.
C. evaluar el entorno de seguridad en relacin con polticas y prcticas escritas.
D. obtener una comprensin de los riesgos de seguridad para el procesamiento de la informacin.

D Al evaluar los controles de acceso lgico, un auditor de SI debe primero obtener una comprensin de la
seguridad os riesgos que se enfrentan al procesamiento de la informacin mediante el examen de la
documentacin pertinente, las evaluacin de riesgos. La documentacin y la evaluacin son el segundo paso
para evaluar la adecuacin, eficiencia y eficacia, identificando as las deficiencias o la redundancia en los
controles. El tercer paso es probar el acceso caminos-para determinar si los controles estn funcionando. Por
ltimo, el auditor de SI evala el entorno de seguridad para evaluar su adecuacin revisando las polticas
escritas, observando las prcticas y comparndolas con mejores prcticas de seguridad.