You are on page 1of 15

Maestra Auditoria y Seguridad Informtica

Examen CISA
Julio 2011


1. Un sistema de soporte de decisiones (DSS):

A. est dirigido a resolver problemas altamente estructurados.

B. combina el uso de modelos con las funciones no tradicionales de acceso a y recuperacin
de datos.

C. enfatiza en la flexibilidad de la metodologa de toma de decisiones de los usuarios.

D. soporta solamente las tareas de toma de decisin estructurada.

2. La falla en cul de las siguientes etapas de prueba tendra el MAYOR impacto sobre
la implementacin de nuevo software de aplicacin?
A. Prueba de sistema
B. Prueba de aceptacin
C. Prueba de integracin
D. Prueba de unidad

3. Cul de los siguientes debe hacer un auditor de SI cuando una comparacin de
cdigo fuente indica que se hicieron modificaciones?
A. Determinar si las modificaciones fueron autorizadas
B. Actualizar la copia de control del cdigo fuente
C. Revisar manualmente el cdigo fuente
D. Insertar observaciones en el cdigo fuente describiendo las modificaciones

4. La razn PRIMARIA para separar los ambientes de prueba y de desarrollo es:
A. restringir el acceso a los sistemas que estn en prueba.
B. segregar al personal del usuario y de desarrollo.
C. controlar la estabilidad del ambiente de prueba.
D. asegurar el acceso a los sistemas en desarrollo.

5. La PRINCIPAL preocupacin para un auditor de SI que revisa un entorno CASE
debera ser que el uso de CASE automticamente no:
A. tenga como resultado una captacin correcta de los requisitos
B. asegure que los controles de aplicacin deseables han sido implementados
C. produzca interfaces ergonmicos y fciles de usar para los usuarios
D. genere cdigo eficiente

6. Cul de los siguientes mtodos de prueba es el MS efectivo durante las etapas
inciales de creacin de prototipos?
A. Sistema
B. Paralelo
C. Volumen
D. De arriba hacia abajo

7. Cul de los siguientes es el propsito PRIMARIO para llevar a cabo una prueba
paralela?
A. Determinar si el sistema es eficiente en costos.
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011

B. Permitir pruebas comprensivas de unidad y de sistema
C. Destacar los errores en los interfaces de programa con los archivos.
D. Asegurar que el nuevo sistema satisfaga los requerimientos del usuario.

8. Quin de los siguientes es el responsable final de proporcionar las especificaciones
de requerimientos al equipo del proyecto de desarrollo de software?
A. Jefe de equipo
B. Patrocinador del proyecto
C. Analista de sistemas
D. Comit de supervisin

9. Cul de los siguientes debera ser incluido en un estudio de factibilidad para un
proyecto para implementar un proceso de EDI?
A. El formato de algoritmo de encripcin
B. Los procedimientos detallados de control interno
C. Los protocolos necesarios de comunicacin
D. El acuerdo propuesto de un tercero de confianza

10. Una caracterstica distintiva de los lenguajes de cuarta generacin (4GLs) es la
portabilidad, qu significa?
A. Independencia ambiental
B. Conceptos de Mesa de Trabajo (Workbench) (almacenamiento temporal, edicin de la
prueba, etc.)
C. Capacidad para disear formatos de pantalla y desarrollar outputs grficos
D. Capacidad para ejecutar operaciones en lnea

11. Cul de los siguientes es una fortaleza de la tcnica de revisin de evaluacin de
programas (PERT) sobre otras tcnicas? PERT:
A. considera diferentes escenarios para planear y controlar proyectos.
B. permite que el usuario entre parmetros de programa y de sistema.
C. prueba con exactitud los procesos de mantenimiento de sistema.
D. estima los costos de los proyectos de sistema.

12. Cul de los siguientes sera MS probable que asegurase que los requerimientos
del negocio se cumplan durante el desarrollo de software?
A. Entrenamiento adecuado
B. Los programadores entienden claramente los procesos del negocio
C. Documentacin de las reglas del negocio
D. Participacin temprana de los usuarios clave

13. En lugar de un sistema heredado, una organizacin est implementando un nuevo
sistema. Cul de las siguientes prcticas de conversin crea el MAYOR riesgo?
A. Piloto
B. Paralelo
C. Corte Inmediato (Direct cut-over)
D. Por fases

Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011

14. Cul de los siguientes procedimientos de auditora realizara normalmente
PRIMERO un auditor de SI cuando revisa la metodologa de desarrollo de sistemas de
una organizacin?
A. Determinar la adecuacin del procedimiento.
B. Analizar la efectividad del procedimiento.
C. Evaluar el nivel de cumplimiento con los procedimientos.
D. Comparar los estndares establecidos con los procedimientos observados.

15. Muchos Proyectos de TI experimentan problemas porque el tiempo de desarrollo y/o
los requerimientos de recursos son subestimados. Cul de las siguientes tcnicas
proveera la MAYOR asistencia para desarrollar una duracin estimada de proyecto?
A. Anlisis de punto de funcin
B. Diagrama de PERT
C. Desarrollo de aplicacin rpida
D. Desarrollo de sistema orientado a objeto

16. Los supuestos mientras se planea un proyecto de SI implican un alto grado de riesgo
porque:
A. estn basados en limitaciones conocidas.
B. estn basados en datos pasados objetivos.
C. son resultado de la falta de informacin.
D. estn hechos frecuentemente por personas no calificadas.

17. Cul de los siguientes grupos /personas debera asumir la direccin general y la
responsabilidad de los costos y cronogramas de los proyectos de desarrollo de
sistemas?
A. La gerencia de usuario
B. El comit de direccin del proyecto
C. La alta gerencia
D. La gerencia de desarrollo de sistemas

18. Una empresa ha establecido un comit de direccin para supervisar su programa de
negocios electrnicos. El comit de direccin es MS probable que participe en:
A. la documentacin de requerimientos.
B. el escalamiento de problemas del proyecto.
C. el diseo de controles de interfaz.
D. la especificacin de los reportes.
19. Respecto al traslado de un programa de aplicacin desde un ambiente de prueba al
ambiente de produccin, el MAYOR control se proveera haciendo que:
A. el programador de aplicaciones copie el programa fuente y el mdulo compilado de objeto a
las bibliotecas de produccin.

B. el programador de aplicaciones copie el programa fuente a las bibliotecas de produccin y
luego haga que el grupo de control de produccin compile el programa.

C. el grupo de control de produccin compile el modulo objeto a las bibliotecas de produccin
usando el programa fuente en el ambiente de prueba.

D. el grupo de control de produccin copie el programa fuente a las bibliotecas de produccin y
luego compile el programa.

Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011

20. La explicacin MS probable para el uso de applets en una aplicacin de Internet es
que:
A. se enva a travs de la red desde el servidor.
B. el servidor no ejecuta el programa y el output no es enviado a travs de la red.
C. mejoran el desempeo tanto del servidor de la web como de la red.
D. es un Programa JAVA bajado por medio del buscador web y ejecutado por el servidor de la
web de la mquina del cliente.

21. Durante la auditora de un paquete de software adquirido, el auditor de SI se enter
de que la compra del software se bas en informacin obtenida a travs de la Internet, en
lugar de basarse en respuestas a una solicitud de propuesta (RFP). El auditor de SI debe
PRIMERO:
A. probar el software para ver su compatibilidad con el hardware existente.
B. realizar un anlisis de brecha (gap analysis.)
C. revisar la poltica de concesin.
D. asegurarse de que el procedimiento haba sido aprobado.

22. Cuando se selecciona el software, cul de los siguientes aspectos del negocio y
tcnicos es el MS importante a considerar?
A. La reputacin de un vendedor
B. Los requerimientos de la organizacin
C. Los factores de costo
D. La base instalada

23. Una organizacin que planea comprar un paquete de software solicita al auditor de SI
una evaluacin de riesgo. Cul de lo siguiente es el riesgo MAYOR?
A. No disponibilidad del cdigo fuente.
B. Falta de una certificacin de calidad del vendedor
C. Ausencia de referencias vendedor /cliente
D. Poca experiencia del vendedor con el paquete.


24. Al final de la etapa de prueba de desarrollo de software, un auditor de SI observa que
un error intermitente de software no ha sido corregido. No se ha tomado ninguna accin
para resolver el error. El auditor de SI debe:
A. reportar el error como un hallazgo y dejar la exploracin adicional a discrecin del auditado.
B. tratar de resolver el error.
C. recomendar que se escale una resolucin de problema.
D. ignorar el error, ya que no es posible obtener evidencia objetiva para el error de software.

25. El objetivo PRIMARIO de llevar a cabo una revisin posterior a la implementacin es
determinar si el sistema:
A. logr los objetivos deseados.
B. provee respaldo y recuperacin.
C. provee seguridad de informacin.
D. est documentado de forma clara e inteligible.
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011


26. Cul de los siguientes es un control para detectar un cambio no autorizado en un
ambiente de produccin?
A. Negar a los programadores el acceso a los datos de produccin
B. Requerir que la solicitud de cambio incluya beneficios y costos
C. Comparar peridicamente los programas de control y los actuales programas objeto y
fuente
D. Establecer procedimientos para cambios de emergencia

27. Un auditor de SI que participa en la etapa de prueba de un proyecto de desarrollo de
software establece que los mdulos individuales se desempean correctamente. El
auditor de SI debe:
A. concluir que los mdulos individuales operando como un grupo sern correctos.
B. documentar la prueba como prueba positiva de que el sistema puede producir los resultados
deseados.
C. informar a la gerencia y recomendar una prueba integrada.
D. proveer datos adicionales de prueba.

28. Un objetivo de una revisin posterior a la implementacin de un sistema de
aplicacin de negocio nuevo o extensamente modificado es:
A. determinar si los datos de prueba cubrieron todos los escenarios
B. llevar a cabo un proceso de certificacin y de acreditacin
C. determinar si los beneficios esperados del proyecto fueron obtenidos
D. disear informes de pistas de auditora

29. La base de conocimientos de un sistema experto que usa cuestionarios para
conducir al usuario a travs de una serie de opciones antes de llegar a una conclusin
se conoce como:
A. reglas.
B. rboles de decisin.
C. redes semnticas.
D. diagrama de flujo de datos.


30. Una organizacin quiere hacer valer principios de integridad de datos y lograr un
desempeo /ejecucin ms rpida en una aplicacin de base de datos. Cul de los
siguientes principios de diseo debe aplicarse?
A. Activadores (triggers) personalizados de usuario
B. Validacin de datos en el inicio
C. Validacin de datos al final
D. Integridad referencial

31. Una organizacin est trasladando su mantenimiento de aplicacin a su instalacin
desde una fuente exterior. Cul de las siguientes debe ser la principal preocupacin de
un auditor de SI?
A. Prueba de regresin
B. Cronograma de trabajo (job scheduling)
C. Manuales de usuario
D. Procedimientos de control de cambio

32. Si un programa de aplicacin es modificado y estn instalados procedimientos
apropiados de mantenimiento de sistema, cul de los siguientes se debera probar?
A. La integridad de la base de datos
B. Los controles de acceso para el programador de aplicaciones
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011

C. El programa completo, incluyendo cualesquiera sistemas de interfaz
D. El segmento del programa que contenga el cdigo revisado

33. Cul de las fases siguientes representa el punto ptimo para que tenga lugar la
lnea base (baselining) del software?
A. Pruebas.
B. Diseo
C. Requerimientos
D. Desarrollo

34. Los procedimientos de administracin de cambios son establecidos por la gerencia
de SI para:
A. controlar el movimiento de las aplicaciones desde el ambiente de prueba hasta el ambiente
de produccin.
B. controlar la interrupcin de las operaciones del negocio proveniente de la falta de atencin a
los problemas no resueltos.
C. asegurar la operacin ininterrumpido del negocio en el caso de un desastre.
D. verificar que los cambios de sistema sean debidamente documentados.

35. Cul de las siguientes tecnologas es una caracterstica de tecnologa orientada a
objetos que permite un grado mejorado/ampliado de seguridad sobre los datos?
A. Herencia
B. Almacenamiento dinmico
C. Encapsulacin
D. Polimorfismo

36. Las revisiones por instituciones pares para detectar los errores de software durante
una actividad de desarrollo de programa se denominan:
A. tcnicas de emulacin.
B. recorridos (walk-throughs) estructurados.
C. tcnicas modulares de programa.
D. construccin de programas de arriba hacia abajo.


37. Una ventaja de usar en transacciones en vivo saneadas (sanitized live transactions)
en los datos de prueba, es que:
A. todos los tipos de transaccin sern incluidos.
B. cada condicin de error probablemente sea probada.
C. no se requiere ninguna rutina especial para evaluar los resultados.
D. las transacciones de prueba son representativas de procesamiento en vivo.

38. Cul de los siguientes representa un prototipo tpico de una aplicacin interactiva?
A. Pantallas y programas de procesamiento
B. Pantallas, ediciones interactivas y muestras de reportes
C. Ediciones interactivas, programas de procesamiento y muestras de reportes
D. Pantallas, ediciones interactivas, programas de procesamiento y muestras de reportes

39. A las unidades de negocio les preocupa el desempeo (performance) de un sistema
recin implementado. Cul de los siguientes recomendara el auditor de SI?
A. Desarrollar una lnea base y monitorear el uso del sistema
B. Definir procedimientos alternos de procesamiento
C. Preparar el manual de mantenimiento
D. Implementar los cambios que los usuarios han sugerido
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011


40. Cul de las siguientes es una tcnica de gerencia que permite que las
organizaciones desarrollen sistemas estratgicamente importantes ms rpidamente al
tiempo que reduce los costos de desarrollo y mantiene la calidad?
A. Anlisis de punto de funcin
B. Metodologa de ruta crtica
C. Desarrollo de aplicacin rpida
D. Tcnica de revisin de evaluacin de programa

41. La funcin PRIMARIA de un auditor de SI durante la fase de diseo del sistema de un
proyecto de desarrollo de aplicaciones es:
A. asesorar sobre los procedimientos de control especfico y detallado.
B. asegurar que el diseo refleje exactamente el requerimiento.
C. asegurar que todos los controles necesarios estn incluidos en el diseo inicial.
D. asesorar a la gerencia de desarrollo sobre la adherencia al cronograma.

42. Las fases y los productos disponibles de un proyecto de ciclo de vida de desarrollo
de sistemas (SDLC) deberan ser determinadas:
A. durante las etapas inciales de planeacin del proyecto.
B. despus de efectuarse una planeacin anticipada, pero antes de que el trabajo haya
comenzado.
C. a travs de las etapas del trabajo basadas en riesgos y exposiciones.
D. slo despus de que se hayan identificado todos los riesgos y exposiciones y que el auditor
de SI haya recomendado los controles apropiados.

43. Durante la prueba de unidad, la estrategia de prueba aplicada es de:
A. caja negra.
B. caja blanca.
C. abajo hacia arriba.
D. arriba hacia abajo.
44. Cul de los siguientes facilita el mantenimiento del programa?
A. Programas ms cohesivos y acoplados libremente
B. Programas menos cohesivos y acoplados libremente
C. Programas ms cohesivos y acoplados fuertemente
D. Programas menos cohesivos y acoplados fuertemente

45. Un auditor de SI que revisa una propuesta para la adquisicin de un software de
aplicacin debe asegurarse de que:
A. el sistema operativo (OS) que se est usando es compatible con la plataforma de hardware
existente
B. las actualizaciones planificadas del OS hayan sido programadas para minimizar impactos
negativos sobre las necesidades de la compaa
C. el OS tenga las versiones y actualizaciones ms recientes
D. los productos sean compatibles con el OS actual o previsto.

46. Cul de los siguientes es el MAYOR riesgo cuando se est implementando un
almacn de datos (data warehouse)?
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011

A. Incremento en el tiempo de respuesta en los sistemas de produccin
B. Controles de acceso que no son adecuados para prevenir la modificacin de datos
C. Duplicacin de datos
D. Datos que no estn actualizados o no son actuales

47. Cul de los siguientes tipos de prueba determinara si un sistema nuevo o
modificado puede operar en su ambiente objetivo sin afectar adversamente otros
sistemas existentes?
A. Prueba paralela
B. Prueba piloto
C. Prueba de interfaz/integracin
D. Prueba de sociabilidad

48. Un programador, que usa firecall IDs, como se dispone en el manual del fabricante,
gan acceso al entorno/ambiente de produccin e hizo un cambio no autorizado. Cul
de los siguientes podra haber prevenido que esto ocurriera?
A. Desactivacin
B. Monitoreo
C. Autorizacin
D. Reestablecimiento

49. La preocupacin PRIMARIA de un auditor de SI cuando los desarrolladores de
aplicaciones desean usar una copia del archivo de transacciones de produccin de ayer
para las pruebas de volumen es que:
A. es posible que los usuarios prefieran usar datos inventados para prueba.
B. puede tener como consecuencia el acceso no autorizado a datos sensitivos.
C. es posible que el manejo de errores y las verificaciones de credibilidad no sean probados
plenamente.
D. necesariamente no se prueba la total funcionalidad del nuevo proceso.

50. Cul de los siguientes grupos debera asumir la propiedad de un proyecto de
desarrollo de sistemas y el sistema resultante?
A. Gerencia de usuario
B. Alta gerencia
C. Comit de direccin de proyectos
D. Gerencia de desarrollo de sistemas

51. Una ventaja de usar una metodologa de abajo hacia arriba frente a una de arriba
hacia abajo para la prueba de software es que:
A. los errores de interfaz se detectan antes.
B. la confianza en el sistema se logra antes.
C. los errores en los mdulos crticos se detectan antes.
D. las principales funciones y procesamientos se prueban antes.

52. Utilizar software de auditora para comparar el cdigo de objeto de dos programas,
es una tcnica de auditora usada para probar:
A. los programas lgicos.
B. los cambios de programa.
C. la eficiencia de programa.
D. las computaciones de programa.

53. Se hizo una solicitud de cambio a un formato de reporte en un mdulo (subsistema).
Despus de hacer los cambios requeridos, el programador debera llevar a cabo:
A. prueba de unidad.
B. prueba de unidad y de mdulo.
C. prueba de unidad, mdulo y regresin.
D. prueba de mdulo.

54. El fin primario de una prueba de sistema es:
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011

A. probar la generacin de los totales diseados de control.
B. determinar si la documentacin del sistema es exacta.
C. evaluar la funcionalidad del sistema.
D. asegurar que los operadores del sistema se familiaricen con el nuevo sistema.

55. Una herramienta de depuracin (debugging), la cual reporta sobre la secuencia de
pasos ejecutados por un programa, se denomina:
A. analizador de output.
B. depsito provisional de memoria (memory dump).
C. compilador.
D. monitor de ruta lgica.

56. Cul de los siguientes es una ventaja de creacin de prototipos?
A. El sistema terminado tiene por lo general fuertes controles internos.
B. Los sistemas de prototipo pueden proveer ahorro significativo de tiempo y costo.
C. El control de cambio es a menudo menos complicado con los sistemas de creacin de
prototipos.
D. Asegura que las funciones o extras no sean agregados al sistema que se pretende.


57. Una organizacin ha contratado a un proveedor para una solucin llave en mano
(turnkey solution) para su sistema electrnico de cobro de peajes (ETCS). El proveedor
ha provisto su software privado de aplicacin como parte de la solucin. El contrato
debera requerir que:
A. un servidor de respaldo est disponible para ejecutar operaciones de ETCS con datos
actualizados.
B. un servidor de respaldo sea cargado con todo el software y los datos relevantes.
C. el personal de sistemas de la organizacin sea entrenado para manejar cualquier evento.
D. el cdigo fuente de la aplicacin de ETCS sea puesto en depsito de garanta (escrow.)

58. La prueba de regresin es el proceso de probar un programa para
determinar si:
A. el nuevo cdigo contiene errores.
B. existen discrepancias entre las especificaciones funcionales y el desempeo/performancia.
C. se han satisfecho nuevos requerimientos.
D. los cambios han introducido algn error en el cdigo no cambiado.

59. Cul de los siguientes elementos es el MS importante en el diseo de un depsito
de datos?
A. La calidad de los metadatos
B. La velocidad de las transacciones
C. La volatilidad de los datos
D. La vulnerabilidad del sistema

60. Un software de buena calidad de logra MEJOR:
A. por medio de una prueba exhaustiva.
B. encontrando y corrigiendo rpidamente los errores de programacin.
C. determinando la cantidad de pruebas para el tiempo y el presupuesto disponible.
D. aplicando procesos bien definidos y revisiones estructuradas en todo el proyecto.

61. Cuando se revisa un proyecto de desarrollo de sistema en la etapa de iniciacin del
proyecto, un auditor de SI encuentra que el equipo del proyecto est siguiendo el manual
de calidad de la organizacin. Para cumplir las fechas tope crticas, el equipo del
proyecto propone acelerar los procesos de validacin y de verificacin, comenzando
algunos elementos antes de que se firme el producto disponible previo. Bajo estas
circunstancias, el auditor de SI MS probablemente:
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011


A. reportara esto como un hallazgo crtico a la alta gerencia.
B. aceptara que se pueden diferentes procesos de calidad para cada proyecto.
C. reportara a la gerencia de SI que el equipo no sigui los procedimientos de calidad.
D. reportara los riesgos asociados con la va acelerada (fast tracking) al comit de direccin
del proyecto.

62. El control de cambios para los sistemas de aplicacin de negocios que se estn
desarrollando usando prototipos podra verse complicado por:

A. la naturaleza iterativa de la utilizacin de prototipos.
B. el ritmo rpido de las modificaciones en los requerimientos y el diseo.
C. el nfasis sobre los informes y las pantallas.
D. la falta de herramientas integradas.

63. Una organizacin tiene un entorno integrado de desarrollo (IDE), donde las
bibliotecas de programa residen en el servidor, pero la modificacin /desarrollo y prueba
se hacen desde estaciones de trabajo de PCs. Cul de los siguientes sera una fortaleza
de un entorno integrado de desarrollo?
A. Controla la proliferacin de mltiples versiones de programas
B. Expande los recursos de programacin y ayudas disponibles
C. Aumenta el programa y la integridad de procesamiento
D. Previene los cambios vlidos de ser sobre-escritos por otros cambios

64. Un nmero de fallas de sistema estn ocurriendo cuando las correcciones a los
errores detectados previamente son nuevamente presentados a la prueba de aceptacin.
Esto indicara que el equipo de mantenimiento probablemente no est desempeando
adecuadamente cul de los siguientes tipos de prueba?
A. Prueba de unidad
B. Prueba de integracin
C. Recorridos de diseo
D. Gerencia de configuracin

65. Al planear un proyecto de desarrollo de software, cul de los siguientes es lo MS
difcil de determinar?
A. Tiempos inadecuados del proyecto
B. La ruta crtica del proyecto
C. Los requerimientos de tiempo y de recursos para las tareas individuales
D. Las relaciones que impiden el inicio de una actividad antes de que se realicen otras

66. El uso de tcnicas de diseo y desarrollo orientada a objetos, es ms probable que:
A. faciliten la capacidad para reutilizar mdulos.
B. mejoren el desempeo del sistema.
C. aumenten la efectividad del control.
D. aumenten la velocidad del ciclo de vida del desarrollo del sistema.

67. La MAYOR ventaja del desarrollo rpido de aplicaciones(RAD) sobre el tradicional
ciclo de vida de desarrollo de sistemas (SDLC) es que:
A. facilita la participacin del usuario
B. permite pruebas tempranas de las funciones tcnicas
C. facilita la conversin al nuevo sistema
D. acorta el marco de tiempo del desarrollo

68. Cul de los siguientes riesgos sera consecuencia de una definicin inadecuada
delnea base (baseline) de software?
A. Desbordamiento del mbito (scope creep)
B. Demoras de sign-off
C. Violaciones de integridad de software
D. Controles inadecuados
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011


69. La solicitud de propuesta (RFP) para la adquisicin de un sistema de aplicacin es
MS probable que sea aprobada por el:
A. comit de seguimiento del proyecto (project steering committee).
B. patrocinador de proyecto.
C. gerente de proyecto.
D. equipo de proyecto de usuario.

70. Cul de los siguientes describe MEJOR los objetivos de seguir una metodologa
estndar de desarrollo de sistema?
A. Asegurar que el contrato de personal apropiado sea asignado y proveer un mtodo de
controlar costos y cronogramas
B. Proveer un mtodo de controlar los costos y cronogramas y asegurar la comunicacin entre
los usuarios, los auditores de SI, la gerencia y el personal de SI
C. Proveer un mtodo de controlar los costos y los cronogramas y un medio efectivo de auditar
el desarrollo de proyectos
D. Para asegurar la comunicacin entre usuarios, los auditores, la gerencia y el personal de SI
y para asegurar que se asigne el personal apropiado

71. Cul de los siguientes mtodos de desarrollo usa un prototipo que puede ser
actualizado continuamente para satisfacer los requerimientos cambiantes del usuario o
del negocio?
A. Desarrollo orientado a los datos (DOD)
B. Desarrollo orientado al objeto (OOD)
C. Reingeniera del proceso del negocio (BPR)
D. Desarrollo de aplicacin rpida (RAD)

72. El auditor de SI encuentra que un sistema en desarrollo tiene 12 mdulos vinculados
(linked) y cada elemento de los datos puede llevar hasta 10 campos de atributos
definibles. El sistema maneja varios millones de transacciones al ao. Cul de estas
tcnicas podra el auditor de SI usar para estimar el tamao del esfuerzo de desarrollo?
A. La tcnica de evaluacin y revisin de programas (PERT).
B. Conteo de las lneas fuente del cdigo (SLOC).
C. Anlisis del punto de funcin.
D. Prueba de caja blanca (white box).

73. Cul de lo siguiente es MS probable que ocurra cuando un proyecto de desarrollo
de sistema est en medio de la fase de programacin / codificacin?
A. Pruebas de unidad
B. Pruebas de stress
C. Pruebas de regresin
D. Pruebas de aceptacin

74. Un auditor de SI que realiza una auditora de mantenimiento de aplicaciones revisara
el registro de cambios de programa para:
A. la autorizacin para cambios de programa.
B. la fecha de creacin de un mdulo objeto corriente.
C. el nmero de cambios de programa realmente hechos.
D. la fecha de creacin de un programa fuente corriente.

75. La tcnica de revisin de evaluacin de programas (PERT):
A. supone que las actividades no pueden ser iniciadas y detenidas de manera independiente.
B. supone un perfecto conocimiento de las horas de actividades individuales.
C. comienza con una definicin de las actividades del proyecto y su secuencia relativa.
D. eventos, que marcan el inicio o el final de una actividad, tienen tiempo para s y gastan
recursos.

76. El propsito de los programas de depuracin es:
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011

A. generar datos aleatorios que puedan ser usados para probar los programas antes de
implementarlos.
B. proteger los cambios vlidos de que sean sobreescritos por otros cambios durante la
programacin.
C. definir el desarrollo del programa y los costos de mantenimiento a ser incluidos en el estudio
de factibilidad.
D. asegurar que las terminaciones anormales y los errores de codificacin sean detectados y
corregidos.

77. Durante el desarrollo de una aplicacin, la prueba de aseguramiento de la calidad y la
prueba de aceptacin de usuario se combinaron. La MAYOR preocupacin para un
auditor de SI que revisa el proyecto es que habr:
A. Un incremento en el mantenimiento.
B. Una documentacin inapropiada de las pruebas
C. Unas pruebas funcionales inadecuadas.
D. Demoras en la resolucin de problemas.

78. La razn ms comn para que los sistemas dejen de satisfacer las necesidades de
los usuarios es que:
A. las necesidades del usuario estn cambiando constantemente.
B. el crecimiento de los requerimientos del usuario fue pronosticado incorrectamente.
C. el sistema de hardware limita el nmero de usuarios concurrentes.
D. la participacin del usuario para definir los requerimientos del sistema era inadecuada.

79. La diferencia entre prueba de caja blanca (whitebox) y prueba de caja negra
(blackbox) es que la prueba de caja blanca:
A. involucra al auditor de SI.
B. es efectuada por un equipo de programadores independientes.
C. examina la estructura lgica interna de un programa.
D. usa el enfoque de abajo hacia arriba.

80. Cuando un nuevo sistema va a ser implementado dentro de un corto marco de
tiempo, es MS importante:
A. terminar de escribir los manuales de usuario.
B. realizar una prueba de aceptacin de usuario.
C. agregar aumentos de ltimo minuto a las funcionalidades.
D. asegurar que el cdigo ha sido documentado y revisado.

81. Una compaa ha contratado una firma consultora externa para implementar un
sistema financiero comercial para reemplazar su sistema existente desarrollado
localmente. Al revisar el mtodo de desarrollo propuesto, cul de los siguientes sera
de MAYOR preocupacin?

A. La prueba de aceptacin va a ser administrada por los usuarios.
B. Un plan de calidad no es parte de los productos contratados.
C. No todas las funciones de negocios estarn disponibles en la implementacin inicial.
D. Se est usando la creacin de prototipos para confirmar que el sistema satisface los
requerimientos del negocio.


82. Cul de los siguientes controles sera el MS efectivo para asegurar que el cdigo
fuente y el cdigo objeto de produccin estn sincronizados?
A. Reporte de comparacin de fuente y objeto de una liberacin a otra
B. Software de control de biblioteca que restrinja cambios al cdigo fuente
C. Acceso restringido al cdigo fuente y al cdigo objeto
D. Revisiones de fecha y sello de hora del cdigo fuente y objeto

83. Durante una revisin posterior a la implementacin del sistema de administracin de
recursos de una empresa, qu es lo MS probable que un auditor de sistemas realice?
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011

A. Revise la configuracin del control de acceso
B. Evale la prueba de interfaz
C. Revise la documentacin detallada de diseo
D. Evale la prueba de sistema

84. Cul de las siguientes es una medida del tamao de un sistema de informacin
basada en el nmero y complejidad de los inputs, outputs y archivos de un sistema?
A. Tcnica de revisin de la evaluacin del programa (PERT)
B. Desarrollo de aplicacin rpida (RAD)
C. Anlisis de punto de funcin (FPA)
D. Mtodo de ruta crtica (CPM)

85. Cul de los siguientes es una debilidad de control que puede poner en peligro un
proyecto de reemplazo de sistema?
A. El documento de iniciacin del proyecto no ha sido actualizado para reflejar cambios en el
alcance del sistema.
B. Un anlisis de brechas que compara la solucin escogida para la especificacin original ha
revelado un nmero de cambios significativos en la funcionalidad.
C. El proyecto ha estado sujeto a un nmero de cambios en las especificaciones de los
requerimientos.
D. La organizacin ha decidido que no se requiere un comit de seguimiento de proyecto.

86. La gerencia de SI informa a un auditor de SI que la organizacin ha alcanzado
recientemente el nivel ms alto del modelo de madurez de capacidad de (CMM.) El
proceso de calidad de software MS recientemente agregado por la organizacin es:
A. mejoramiento continuo.
B. metas de calidad cuantitativas.
C. procesos documentados.
D. procesos hechos a la medida para proyectos especficos.

87. Idealmente, las pruebas de stress slo deberan llevarse a cabo en los casos
siguientes:
A. En un entorno de prueba usando datos de prueba
B. En un entorno de produccin usando cargas de trabajo en vivo
C. En un entorno de prueba usando cargas de trabajo en vivo
D. En un entorno de produccin usando datos de prueba

88. Cul de los siguientes niveles de modelo de madurez de capacidad asegura el logro
de los controles bsicos de administracin de proyectos?
A. Repetible (Nivel 2)
B. Definido (Nivel 3)
C. Administrado (Nivel 4)
D. Optimizado (Nivel 5)

89. Un programador modific maliciosamente un programa en produccin para cambiar
datos y luego restaur el cdigo original. Cul de lo siguiente detectara MS
efectivamente la actividad maliciosa?
A. Comparacin del cdigo fuente
B. Revisin de los archivos de registro del sistema (log files)
C. Comparacin del Cdigo objeto
D. Revisin de la integridad del ejecutable y del cdigo fuente.


90. Despus de descubrir una vulnerabilidad de seguridad en una aplicacin de terceros
que tiene interfaces con varios sistemas externos, se aplica un parche (patch) a un
nmero significativo de mdulos. Cul de las pruebas siguientes debe ser
recomendada por un auditor de SI?
A. Stress
B. Caja negra (Black box)
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011

C. Interfaz.
D. Sistema

91. El uso de lenguajes de cuarta generacin (4GLs) debera ser sopesado
cuidadosamente contra el uso de lenguajes tradicionales porque 4GLs:

A. pueden carecer de los comandos de bajo nivel de detalle necesarios para realizar
operaciones intensivas de datos.
B. no pueden ser implementado tanto en los procesadores de mainframe como en las
microcomputadoras.
C. generalmente contienen subconjuntos de lenguajes complejos que deben ser usados por
usuarios expertos.
D. no pueden tener acceso a los registros de base de datos y producen mensajes salientes
complejos en lnea.

92. La responsabilidad de disear, implementar y mantener un sistema de control interno
la tiene:
A. el auditor de SI.
B. la gerencia.
C. el auditor externo.
D. el personal de programacin.


93. Durante cul de las siguientes fases en el desarrollo de sistemas seran preparados
generalmente los planes de aceptacin de usuario?
A. Estudio de factibilidad
B. Definicin de requerimientos
C. Planeacin de la implementacin
D. Revisin posterior a la implementacin

94. Cuando se est implementando un paquete de software de aplicacin, cul de los
siguientes representa el MAYOR riesgo?
A. Que las versiones mltiples de software no estn controladas
B. Que los programas fuente no estn sincronizados con el cdigo de objeto
C. Que los parmetros no estn fijados correctamente
D. Errores de programacin


95. Un sistema existente est siendo mejorado extensamente extrayendo y reutilizando
componentes de diseo y de programa. Este es un ejemplo de:
A. ingeniera de reversa.
B. creacin de prototipos.
C. reutilizacin de software.
D. reingeniera.

96. En cul de las siguientes etapas de ciclo de vida de desarrollo de sistemas (SDLC)
deben los procedimientos tener una lnea de base definida, para prevenir
desbordamiento del mbito (scope creep)?
A. Desarrollo
B. Implementacin
C. Diseo
D. Factibilidad

97. Cul es el primer nivel de modelo de madurez de capacidad de software (CMM) que
incluye un proceso estndar de desarrollo de software?
A. Inicial (nivel 1)
B. Repetible (nivel 2)
C. Definido (nivel 3)
D. Optimizante (nivel 5)
Maestra Auditoria y Seguridad Informtica
Examen CISA
Julio 2011


98. La razn para establecer un alto, o punto de congelacin sobre el diseo de un nuevo
sistema es:
A. impedir ms cambios a un proyecto en proceso.
B. iniciar el punto en que el diseo va a ser realizado.
C. requerir que los cambios despus de ese punto sean evaluados por su efectividad de
costos.
D. proveer el equipo de administracin de proyectos con ms control sobre el diseo del
proyecto.

99. Probar la conexin de dos o ms componentes de sistema que pasan informacin
desde un rea a otra es:
A. Prueba piloto.
B. Prueba paralela.
C. Prueba de interfaz.
D. Prueba de regresin.

100. Cul de los siguientes es MS efectivo para controlar el mantenimiento de
aplicaciones?
A. Informar a los usuarios sobre la situacin de los cambios
B. Establecer prioridades en los cambios de programa
C. Obtener la aprobacin del usuario de los cambios de programa
D. Requerir especificaciones documentadas de los usuarios para los cambios.