Tests de examen de CDGSI ACTUALIZADO FEB `TEMA 9 LA AUDITORÍA INFORMÁTICA 1. INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA

Transcripción

1 `TEMA 9 LA AUDITORÍA INFORMÁTICA 1. INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA 1.1 Definiciones de AI 01 [Dic. 2008] [Feb. 2009] La definición de auditoría de el examen metódico de una situación relativa a un producto, proceso u organización, realizado en cooperación con los interesados es de: a) ANSI. b) ISO. c) AENOR. (pág. 258) d) De Pablos. Nota: La definición dada se encuentra en la norma AENOR X Causas de AI 01 [Feb. 2008] Cuál de las siguientes causas puede originar la realización de una AI? a) Insatisfacción de los usuarios. b) Inseguridad de los SI. c) Debilidades económico-financieras. d) Todo lo anterior. (pág. 259) Nota: Las causas que pueden dar origen a una Auditoría Informática son desorganización y/o descoordinación, insatisfacción de los usuarios, debilidades económico-financieras, inseguridad de los SI y cumplimiento de la legalidad. 02 [Feb. 2009] La NO atención a las peticiones de cambio puede originar una AI, constituyendo la causa: a) Desorganización. b) Insatisfacción de usuarios. (pág. 259) c) Cumplimiento de la legalidad. d) Inseguridad del SI. Nota: Los problemas de la causa insatisfacción de los usuarios son la no resolución de problemas y averías, la no atención a las peticiones de los usuarios, el inadecuado soporte informático y el no cumplimiento de plazos de entrega en resultados periódicos. Tema 9, pág.1

2 1.3 Objetivos de AI 01 [Sep. 2007] [Feb. 2008] Cuál de los siguientes NO es un objetivo de una Auditoría Informática? a) El mantenimiento de la operatividad. b) La mejora de la eficacia. c) La mejora de la eficiencia (pág. 260) d) La mejora de la seguridad. Nota: Los objetivos fundamentales de la AI son el mantenimiento de la operatividad y la mejora de la eficacia, la seguridad y la rentabilidad del sistema. 02 [Feb. 2005] Cuál de las siguientes NO es una de las características de la eficacia de un sistema informático? a) Información válida. b) Información oportuna. c) Información completa. d) Información económica. (pág. 260) 03 [Sep. 2006] En Auditoría Informática, la aportación de un SI de una información válida, exacta, completa, actualizada y oportuna se conoce como: a) Operatividad. b) Eficacia. (pág. 260) c) Seguridad. d) Rentabilidad. 04 [Feb. 2005] La optimización del uso de los recursos de un SI afecta a la: a) Operatividad. b) Eficacia. c) Seguridad. d) Rentabilidad. (pág. 260) Nota común a 02 a 04: La eficacia tiene que ver con hacer lo correcto (información válida, exacta, completa, actualizada y oportuna) mientras que la rentabilidad tiene que ver con la optimización de los recursos (materiales, económicos y temporales). 05 [Sep. 2005] [Sep. 2006] Si una auditoría se centra en la disponibilidad del SI, se está auditando: a) La operatividad. b) La eficacia. c) La seguridad. (pág. 260) d) Ninguna de ellas. Tema 9, pág.2

3 Nota: La auditoría de seguridad se centra en la confidencialidad, la integridad y la disponibilidad. 2. EL AUDITOR Y EL DEPARTAMENTO DE AI 2.1 El auditor informático 01 [Sep. 2009] [Feb. 2010] Quién otorga el certificado CISA de auditor? a) AENOR. b) ISACA. (pág. 261) c) ISO. d) ISAFC. Nota: El certificado CISA (Certified Informatiom System Auditor) es otorgado por la organización ISACA (Asociación de Auditoría y Control de Sistemas de Información). 02 [Feb. 2007] [Sep. 2008] Qué de lo siguiente NO debe hacer un auditor? a) Recomendar. b) Diagnosticar en función a imposiciones. (pág. 261) c) Ser objetivo. d) Ser competente en AI. Nota: Un auditor no debe obligar ni amenazar, actuar en beneficio propio, asumir trabajos sin preparación adecuada, diagnosticar en función a imposiciones y dejar obsoletos sus conocimientos. 03 [Feb. 2007] En cuántas clases se puede clasificar las actividades típicas del auditor informático? a) 3. b) 4. c) 5. (pág. 263) d) [Dic. 2009] cuál de las siguientes NO es una actividad típica del Auditor Informático? a) Auditoría de los auditores no informáticos. (pág. 263) b) Auditoría de sistemas de desarrollo. c) Auditoría de los CPD. d) Auditoría de los sistemas implantados. Nota común a 03 a 04: Se pueden clasificar las actividades del auditor informático en cinco áreas que son la auditoría de gestión de SI, auditoría de los sistemas en desarrollo, auditoría de los sistemas implantados, auditoría del CPD y apoyo a los auditores no informáticos. Tema 9, pág.3

4 2.2 El departamento de AI 01 [Feb. 2006] [Feb. 2008] De quién depende el área de AI? a) Responsable de Informática. b) Administrador de Seguridad. c) Director Administrativo. d) Ninguno de ellos. (pág. 263) Nota: El área de AI puede depender de la Dirección general, del Director de Auditoría general o del Jefe del Director de Informática. 02 [Sep. 2009] [Feb. 2010] El Departamento de Auditoría Informática debe tener personal: a) Informático. b) Auditor. c) Organizador de empresas. d) Todo lo anterior. (pág. 265) Nota: En el departamento de Auditoría de Sistemas de Información debe de haber recursos humanos con formación informática, empresarial y de auditoría. 3. TIPOS DE AI 01 [Sep. 2006] La auditoría que analiza la adecuación de los procedimientos establecidos, de las funciones y de las responsabilidades en función a las necesidades y problemas de la empresa es la auditoría: a) Informática. b) De calidad. c) Organizativa. (pág. 265) d) Ninguna de ellas. 02 [Dic. 2007] [Sep. 2008] Qué tipo de auditoría es la que analiza la adecuación de los procedimientos establecidos? a) Auditoría de gestión. b) Auditoría de calidad. c) Auditoría informática. d) Auditoría organizativa. (pág. 265) Nota común a 01 a 02: El enunciado es precisamente la definición de Auditoría Organizativa. Tema 9, pág.4

5 3.1 AI según áreas a considerar 01 [Feb. 2009] En cuántas áreas generales se centra la AI? a) 4. (pág. 266) b) 5. c) 6. d) [Sep. 2005] Cuál de las siguientes es un área general en la que pueda centrarse la auditoría: a) Dirección de informática. b) Comunicaciones. (pág. 266) c) Usuarios. d) Seguridad. 03 [Feb. 2007] Cuál de los siguientes NO es un área en que se centre una auditoría informática? a) Externa. (pág. 266) b) Interna.. c) Usuarios. d) Dirección de Informática. Nota común a 01 a 03: La áreas generales en las que se centra una auditoría informática son dirección de informática, usuarios, interna y seguridad. 3.2 AI según los realizadores 01 [Feb. 2009] Cuál es el principal inconveniente de la auditoría interna? a) El coste. b) El conocimiento de la organización. c) La objetividad. (pág. 267) d) La pertenencia a la organización. Nota: Al ser realizada por personal de la propia organización puede carecer de la objetividad necesaria en una auditoría. Tema 9, pág.5

6 3.3 AI según el ámbito de aplicación 01 [Dic. 2009] Según el ámbito de aplicación se puede distinguir entre Auditoría Informática a) De cifras, de procedimientos y de procesos. b) De procedimientos, de procesos y de gestión informática. c) De cifras, de procesos y de gestión informática. d) De cifras, de procedimientos y de gestión informática. (pág. 268) 02 [Feb. 2007] [Sep. 2007] Cuál de los siguientes NO es un ámbito de aplicación de la AI? a) De datos de salida. (pág. 268) b) De cifras. c) De procedimientos. d) De gestión informática Nota común a 01 a 02: Según el ámbito de aplicación se puede distinguir tres tipos de auditoría (de cifras, de procedimientos y de gestión informática). 03 [Dic. 2008} Qué tipo de auditoría, según el ámbito de aplicación, comprende el informe de consultas a inventarios que contienen informaciones variables? a) De procedimientos. b) De cifras. (pág. 270) c) De gestión. d) Interna. Nota: El informe indicado es utilizado en el control de salida de datos en la auditoría de cifras. 4. METODOLOGÍA PARA LA REALIZACIÓN DE UNA AI 01 [Sep. 2009] Cuántas fases tiene la Metodología de AI? a) 4. b) 5. c) 6. (pág. 273) d) 7. Tema 9, pág.6

7 02 [Feb. 2007] [Sep. 2007] [Feb. 2009] Cuál es la fase 3 de la metodología para la realización de una Auditoría Informática? a) Determinación de recursos. (pág. 273) b) Elaboración del plan. c) Estudio previo. d) Realización 03 [Feb. 2006] [Feb. 2007] La cuarta fase de una metodología típica de auditoría informática es: a) Estudio previo. b) Definición de ámbito y objetivos. c) Determinación de recursos. d) Elaboración del plan. (pág. 273) Nota común a 01 a 03: Las etapas son Definición de ámbito y objetivos, Estudio previo, Determinación de recursos, Elaboración del Plan, Ejecución y Elaboración del informe final. 4.1 Definición de ámbito y objetivo 4.2 Estudio previo 4.3 Determinación de recursos 4.4 Elaboración del plan 4.5 Realización 01 [Feb. 2006] Cuál de las siguientes NO es una técnica a utilizar en la ejecución de una auditoría? a) Entrevistas. b) Cuestionarios escritos. (pág. 277 y 279) c) Muestreos. d) Simulaciones. Nota: Los cuestionarios o check list han de ser contestados oralmente, a fin de que el auditor pueda aclara la respuesta del entrevistado. 4.6 Elaboración del informe final Tema 9, pág.7

8 5. HERRAMIENTAS, TÉCNICAS Y NORMAS PARA LA AI 5.1 Las entrevistas 01 [Feb. 2007] [Sep. 2007] [Sep. 2008] La entrevista en una auditoría informática debe... a) Seguir un plan predeterminado. b) Basarse en un cuestionario específico. c) Tomar la forma de una conversación formal. d) Buscar una finalidad concreta. (pág. 279) 02 [Feb. 2010] La entrevista en una auditoría informática debe a) Seguir un plan determinado. b) Basarse en un sistema predeterminado específico. (pág. 279) c) Tomar la forma de una conversación formal. d) Buscar una finalidad general. Nota común a 01 a 02: La entrevista tiene que ser correcta sin llegar a formal, y aunque se prepare concienzudamente no debe seguir ni un plan predeterminado ni un cuestionario. Las preguntas deben de surgir de las repuestas del entrevistado, buscando una finalidad concreta no general. 5.2 Los cuestionarios en AI 01 [Feb. 2010] Cuántos tipos de cualificación o evaluación de los cuestionarios de AI se pueden considerar? a) 2. (pág. 279) b) 3. c) 4. d) 5. Nota: Los dos tipos son de rango preestablecido y binario. 5.3 Los estándares en AI 5.4 Rastros y/o huellas. 5.5 Software de interrogación Tema 9, pág.8

9 5.5 Nuevas prácticas de control relacionadas 01 [Sep. 2009] Cuál es el estándar más usado para la Auditoría Informática? a) COBIT. (pág. 281) b) ISACA. c) AENOR X 109. d) CISA. Nota: El estándar internacional más empleado es el COBIT (Control Objetives for Information and Related Technology). 6. CONCLUSIÓN Tema 9, pág.9