UNIVERSIDAD TECNICA ESTATAL DE QUEVEDO

CUESTIONARIO DE AUDITORIA INFORMATICA

Washington Chiriboga Año: 2011

1) COBIT significa:
a) Control automático de Negocios con Tecnología de la Información
b) Objetivos de Control de la Tecnologías de la Información
c) Control Objetivo Bimestral Informático tecnológico
d) Centro de Auditoría Objetiva para tecnología de la Información
e) Ninguna de las anteriores

2) Marque los que considere que son Estándares de Auditoria y Seguridad

a) COBIT. f) FIEC
b) ISO 27001. g) BS 7799-1
c) ISO/IEC 17799:2005. h) ISACA
d) ISO 27002 i) CISA
e) W3C j) Ninguna de las opciones

3) Marque los que considere que son metodologías aceptadas de Auditoría Informática
a) R.O.A. (RISK ORIENTED e) CHECKLIST
APPROACH). f) AUDITORÍA DE PÁGINAS
b) AUDITORIA DE PRODUCTOS. WEB.
c) AUDITORÍA DE SEGURIDAD g) CISA
INTERNA.. h) NINGUNA DE LAS OPCIONES
d) W3C
4) Los objetivos de la auditoría Informática son:

a) Determinar responsables para d) El análisis de la eficiencia de

iniciar juicios legales.
b) El control de la función
informática
c) La revisión de la eficaz gestión
de los recursos informáticos
los Sistemas Informáticos
e) Comprobar el funcionamiento
de los sistemas
f) La verificación del
cumplimiento de la Normativa
en este ámbito
g) Ninguno de los anteriores

5) señale cuales considera que son los efectos de AI en el Control Interno

a) Aceptación de la empresa en el g) Sistema de autorizaciones

mercado
b) Separación de tareas
c) Gerencia bidireccional
d) Delegación clara de autoridad y
responsabilidad.
e) Contratación y entrenamiento
de personal altamente
cualificado
f) Supervisión de la gerencia
h) Acceso limitado a bienes
i) Mercadeo oportuno
j) Planeamiento estratégico a
largo plazo
k) Comparación de bienes con
registros contables
l) Ninguna de las anteriores

6) Se puede considerar AI como la intersección de cuatro disciplinas: (señálelas)

a) Mercadeo f) Auditoría Tradicional

b) Gestión empresarial g) Sistema de autorizaciones
 c) Psicología h) Gestión de Sistemas de
d) Electrónica Información
e) Ciencias del Comportamiento i) Informática
j) Ninguna de las anteriores

7) Menciones al menos 3 diferencias entre auditoria tradicional y auditoría informática

8) Complete el siguiente gráfico escribiendo lo que corresponda a los números:

1. ____________________________

2. ____________________________

3. ____________________________

4. ____________________________

5. ____________________________

6. ____________________________

7. ____________________________

9) Según la siguiente tabla de tipos de controles:

1. Controles de Captura de datos 6. Controles de proceso
2. Controles de Preparación de Datos 7. Controles de salida
3. Controles de Acceso 8. Controles de pistas de auditoria
4. Controles de entrada 9. Controles de Copias de Seguridad
5. Controles de Transmisión y Recuperación

Coloque en el casillero vacío el número que identifica el tipo de control

Existe control de procesos protegidos con palabras de paso
Existe control de transacciones por medio de logs
Existen controles en las altas de nuevos datos en cualquier aplicación
Hay controles para verificar que la información impresa sólo la puede ver
la persona o personas autorizadas
La conversión de datos está en un formato entendible por el ordenador
La transmisión de datos entre dos puntos es precisa, completa y está
autorizada
Los datos de origen se envían a donde son preparados para su entrada
en el ordenador
 Los datos están completos y precisos
Los datos físicos se pueden recuperar en caso de pérdida o de daños
Los datos pueden ser seguidos a través del sistema
los programas procesan todos los datos que entran y que ese proceso
está autorizado, es preciso y está completo
Se destruyen documentos confidenciales
Se puede restaurar la integridad de los datos si se corrompen entre el
origen y el destino
Se registran todas las transacciones
Solo el personal autorizado tiene acceso a los recursos del ordenador
Todo dato que entre en el ordenador está autorizado, es preciso y está
completo

10) La auditoría sin ordenador se utiliza cuando:

a) Si es sistema a auditar es “batch” puro o es simple

b) Cuando el sistema procesa grandes cantidades de datos de entrada y salida
c) Cuando el auditor no tiene conocimiento informático.
d) Cuando no importa el tiempo de procesamiento
e) Ninguna de las anteriores

11) Las fases de la A.I., según el American Institute of Certified Public Consultants, son:

a) Revisión Preliminar, Revisión Detallada, Evaluación de Controles de usuario, Evaluación

de Rendimiento.
b) Revisión Preliminar, Revisión Detallada, Pruebas de Comportamiento y Pruebas de
Apoyo.
c) Concertación inicial, Definición de alcance de la Auditoría, Planificación de Actividades,
Ejecución del plan.
d) Ninguna de las anteriores

12) Marque los que considere que son las razones por las que se requieren especialistas en A.I.

a) Se necesita “suficiencia e) Se necesita independencia

técnica”. f) Se necesita facilitar las
b) Se necesita manejo de bases comunicaciones con analistas
de datos programadores
c) Se necesita someter a los g) Ninguna de las anteriores
demás
d) Las normas ISO lo obligan

13) Los problemas al realizar una auditoría pueden deberse, entre otras cosas a:

a) No se cuenta con capacidades técnicas

b) Prisas por terminar la auditoría
c) Problemas de comunicación con la gerencia de Proceso de Datos
d) Los resultados afectan a los auditados
e) Fricciones con otros grupos
f) Ninguna de las anteriores
14) escriba al menos 5 funciones que se deben verificar en caso de Cese / despido del personal:

a) …………………………………………………………………………………………………………
………………………………………………
b) …………………………………………………………………………………………………………
………………………………………………
c) …………………………………………………………………………………………………………
………………………………………………
d) …………………………………………………………………………………………………………
………………………………………………
e) …………………………………………………………………………………………………………
………………………………………………

15) Ponga en la primera columna V (Verdadero) o F (Falso) según su criterio sobre la proposición
planteada.

Para minimizar estos problemas e intentar mejorar las relaciones entre los distintos grupos
y el equipo de auditoría se debe Auditar solo dentro de las capacidades técnicas de AI.
Se necesita al menos un auditor informático por cada 16,5 analistas y programadores por
término medio.
Se debe Centralizar el departamento de auditoría Si hay pocos expertos en AI o si los
auditores generales tienen un conocimiento básico de informática
Se debe Descentralizar el departamento de auditoría si los grupos no están “maduros”
Es mejor dar formación de auditoria general a expertos en informática
Es mejor dar formación de informática a auditores generales expertos en el negocio
Si no existe la figura del Administrador de la Base de Datos en la empresa, el auditor
debería recomendar su creación
El objetivo principal de la gestión de operaciones es la ejecución día a día de los sistemas
La captura de datos es el proceso de convertir los datos capturados en un formato
entendible por el ordenador

16) Un programa es de calidad si:

a) Funciona
b) Su diseño es simple
c) Sus costes de desarrollo son mínimos
d) Sus costes de mantenimiento son mínimos
e) Es fácil de modificar
f) Es eficiente en su funcionamiento”
g) Ninguna de las anteriores

17) Complete la siguiente tabla

CONTROL NATURALEZA APLICABLE DURANTE

Diseño de Documento Fuente

Dígitos de control

Controles de procedimientos
Entrenamiento de Personal

Controles “Batch”

Diseño de Código de Datos

18) Según Rank Xerox: "La calidad consiste en hacer las cosas bien a la primera,
proporcionándole a los clientes externos e internos, productos y servicios que satisfagan
plenamente los requerimientos acordados". Basado en el análisis realizado en clases
explique brevemente

a) ¿Por qué se dice que se debe hacer a la primera?

b) ¿Por qué se asocia a la satisfacción de requerimientos con “caminar sobre el agua”?
19) Complete el texto que corresponda a los criterios emitidos por Boehm:

a) El porcentaje de los esfuerzos de un departamento de proceso de datos dedicados a

tareas de mantenimiento ha estado creciendo firmemente durante 30 años y hoy
representa más del _______% del esfuerzo total
b) La corrección de errores introducidos en el Análisis y que no son suprimidos hasta la fase
de Mantenimiento, cuesta ______ veces más que si hubieran sido detectados con
anterioridad.
c) El _____ % del coste de supresión de errores durante las fases de Pruebas y
Mantenimiento puede ser atribuido a la necesidad de corregir defectos introducidos en
fases anteriores
d) Hoy en día, se suele estimar que el mantenimiento de Aplicaciones desarrolladas sin
Control de Calidad, supone alrededor de un ________% de los recursos de cualquier
Organización.

20) Ponga Verdadero o Falso según considere en las siguientes proposiciones:

Control de Calidad deberá de ser el Organismo Supervisor del Desarrollo de Sistemas

Informáticos
QA deberá de ser una sección (o departamento) totalmente independiente de Desarrollo
Las normas de QA no requieren ser publicadas ni aceptadas por todos
QA debe depender directamente de la Alta Dirección de la Empresa
QA debe depender directamente de Gestión de Sistemas

21) (marque con una “X” la respuesta).Un coordinador de recuperación debe tener un perfil
profesional con características como:

a) Conocer algoritmos de encriptación de datos

b) Realizar compras de hardware de protección de energía.
c) Comunicarse adecuadamente con clientes internos o externos, así como con proveedores
de servicios y organismos oficiales.
d) Ser capaz de evaluar ofertas de productos y servicios.
e) Ser capaz de estudiar el comportamiento de los usuarios para prevenir desastres
f) Conocer y aplicar los principios básicos de planificación y gestión de proyectos.
22) Ponga Verdadero o Falso según considere en las siguientes proposiciones:

La tolerancia es la medida que se utiliza para definir la criticidad de un sistema hardware o

software
La tolerancia permite determinar la capacidad de recuperación de datos.
El valor monetario sirve para cuantificar la tolerancia.
La criticidad define las funciones más importantes durante el desarrollo de un sistema

23) Coloque el número que corresponda en el casillero vació. (Según la tabla de la derecha)

Son las que pueden realizarse manualmente, aunque con dificultades, 1 Funciones
durante un período extenso de tiempo. críticas
Son aquellas funciones que no se pueden realizar aunque se puedan 2 Funciones
conseguir equipos idénticos a los utilizados en las actividades vitales
normales.
Son aquellas que o bien no realizables manualmente o bien 3 Funciones
difícilmente realizables de forma manual, en cuyo caso sólo se sensibles
pueden realizar durante un corto período de tiempo

24) ¿Cuál es el origen etimológico de la palabra auditoría?

25) ¿Cómo se activa el control de auditoría en el sistema operativo Windows?