2. Las fases y los productos disponibles de un proyecto de A. durante las etapas iniciales de planeación del proyecto.
ciclo de vida de desarrollo de sistemas (SDLC) deberían ser
determinadas:
3. ¿Cuál de los siguientes es un control para compensar que D. Hacer que el supervisor de cuentas por pagar haga
un programador tenga acceso a datos de producción de coincidir todos los cheques con las facturas aprobadas
cuentas por pagar?
4. A las unidades de negocio les preocupa el desempeño A. Desarrollar una línea base y monitorear el uso del sistema
(performance) de un sistema recién implementado. ¿cuál de
los siguientes recomendaría el auditor de SI? Explicación:
El auditor de SI recomienda el desarrollo de una línea base
A. Desarrollar una línea base y monitorear el uso del sistema de desempeño/performancia y monitorea el
B. Definir procedimientos alternos de procesamiento desempeño/performancia del sistema contra la línea base
C. Preparar el manual de mantenimiento para desarrollar datos empíricos sobre los cuales se pueden
D. Implementar los cambios que los usuarios han sugerido tomar decisiones para modificar el sistema. Los
procedimientos de procesamiento alterno y un manual de
mantenimiento no alterarán el desempeño/performancia de
un sistema. Implementar cambios sin conocer la o las
causas del desempeño/performancia insuficiente percibido,
puede no tener como consecuencia un sistema más
eficiente.
6. Los reconocimientos funcionales se usan: A. como una pista de auditoría para las Transacciones de
EDI.
A. como una pista de auditoría para las Transacciones de
EDI. Explicación:
B. describir funcionalmente el departamento de SI. Los reconocimientos funcionales son transacciones estándar
C. documentar las funciones y responsabilidades del de EDI que dicen a los socios comerciales que sus
usuario. documentos electrónicos fueron recibidos. Diferentes tipos
D. como una descripción funcional de software de aplicación. de reconocimientos funcionales provee diferentes niveles de
detalle y por lo tanto pueden actuar una pista de auditoría
para Transacciones de EDI. Las otras opciones no son
relevantes para la descripción de reconocimientos
funcionales.
7. ¿Cuál de las siguientes situaciones aumentaría la A. Los programadores de aplicaciones están implementando
probabilidad de fraude? cambios a los programas de producción
9. El impacto de EDI sobre los controles internos será: A. que existirán menos oportunidades para revisar y
autorizar.
A. que existirán menos oportunidades para revisar y
autorizar. Explicación:
B. una autenticación inherente. EDI promueve un ambiente sin papeles más eficiente, pero
C. una distribución apropiada de las Transacciones de EDI al mismo tiempo, menos intervención humana le hace más
mientras están en poder de terceros. difícil revisar y autorizar. La opción B es incorrecta ya que
D. que la gerencia de IPF tendrá mayores responsabilidades como la interacción entre las partes es electrónica no hay
de controlar el centro de datos. una autenticación inherente ocurriendo. Los datos
computarizados pueden parecer los mismos
independientemente de la fuente y no incluyen ningún
elemento humano o firma que los distinga. La opción C es
incorrecta porque este es un riesgo de seguridad asociado
con EDI. La opción D es incorrecta porque hay relativamente
pocos, si hubiera alguno, controles adicionales de centro de
datos asociados con la implementación de aplicaciones de
EDI. En vez de ello, será necesario que se ejerza más
control por parte del sistema de aplicación del usuario para
reemplazar los controles manuales, como por ejemplo
revisiones de documentos del sitio. Será necesario poner
más énfasis sobre el control sobre la transmisión de datos
(controles de gerencia de red).
10. ¿Cuál de los siguientes ayudaría a asegurar la B. el uso de un lenguaje estructurado de pregunta (SQL)
portabilidad de una aplicación conectada a una base de
datos? Explicación:
El uso de lenguaje estructurado de pregunta (SQL) facilita la
A. la verificación de los procedimientos de importación y portabilidad. La verificación de procedimientos de
exportación de base de datos importación y exportación con otros sistemas asegura mejor
B. el uso de un lenguaje estructurado de pregunta (SQL) interfaz con otros sistemas, analizar los
C. el análisis de los procedimientos /disparadores (triggers) procedimientos/triggers almacenados asegura el
almacenados acceso/desempeño apropiado, y revisar el diseño, el modelo
D. la sincronización del modelo entidad-relación con el entidad-relación, todos serán de ayuda pero no contribuyen
esquema físico de la base de datos a la portabilidad de una aplicación que conecta a una base
de datos.
11. Una empresa de manufactura quiere automatizar su C. Establecer un sistema de intercambio electrónico de datos
sistema de procesamiento de facturas y pagos con sus (EDI, siglas de los términos en inglés) de documentos de
proveedores. Los requerimientos establecen que el sistema negocios y de transacciones con los proveedores clave, de
de alta integridad requerirá considerablemente menos computadora a computadora, en un formato estándar
tiempo para la revisión y la autorización. El sistema debería
aún ser capaz de identificar rápidamente los errores que Explicación:
requieran seguimiento. ¿Cuál de los siguientes enfoques es EDI es la mejor respuesta. Implementado debidamente (por
el MÁS adecuado para alcanzar estos requerimientos? ejemplo, contratos con normas para transacciones entre los
socios comerciales, controles sobre los mecanismos de
A. Establecer un sistema interconectado de redes de seguridad de la red en conjunto con los controles de
servidores de clientes con los proveedores para una mayor aplicación) EDI se adecúa mejor para identificar y dar
eficiencia seguimiento a los errores más rápidamente dadas las
B. Contratar por outsourcing la función, a una empresa que reducidas oportunidades de revisión y de autorización.
se especialice en el procesamiento automatizado de pagos y
cuentas por cobrar /facturas
C. Establecer un sistema de intercambio electrónico de datos
(EDI, siglas de los términos en inglés) de documentos de
negocios y de transacciones con los proveedores clave, de
computadora a computadora, en un formato estándar
D. Hacer un trabajo de reingeniería del procesamiento
existente y rediseñar el sistema existente
12. El propósito de los programas de depuración es: D. asegurar que las terminaciones anormales y los errores
de codificación sean detectados y corregidos.
A. generar datos aleatorios que puedan ser usados para
probar los programas antes de implementarlos. Explicación:
B. proteger los cambios válidos de que sean sobreescritos El propósito de los programas de depuración es asegurar
por otros cambios durante la programación. que lar terminaciones anormales de programa y los errores
C. definir el desarrollo del programa y los costos de de codificación sean detectado y corregidos antes de que el
mantenimiento a ser incluidos en el estudio de factibilidad. programa final vaya a producción. Hay herramientas
D. asegurar que las terminaciones anormales y los errores especiales, tales como los monitores de rutas lógicas,
de codificación sean detectados y corregidos. depósitos provisionales de memoria y los analizadores de
output, para ayudar en los esfuerzos de depuración.
13. ¿Cuál de los siguientes es una ventaja de creación de B. Los sistemas de prototipo pueden proveer ahorro
prototipos? significativo de tiempo y costo.
16. ¿Cuál de los siguientes debe un auditor de SI revisar C. Base de datos de portafolio de proyecto
para llegar a entender la efectividad de los controles sobre la
administración de múltiples proyectos? Explicación:
Una base de datos de portafolio de proyectos es la base
A. Bases de datos de proyectos para la administración de portafolio de proyectos. Incluye
B. Documentos de política datos de proyectos, como por ejemplo propietario,
C. Base de datos de portafolio de proyecto cronogramas, objetivos, tipo de proyecto, estatus y costo. La
D. Organización de programas administración de portafolio de proyectos requiere reportes
de portafolio de proyectos específicos. Una base de datos de
proyecto puede contener lo anterior para un proyecto
específico y actualizaciones de diversos parámetros
pertenecientes al estatus corriente de ese solo proyecto. Los
documentos de política sobre administración de proyectos
fijan la dirección para el diseño, desarrollo, implementación y
monitoreo del proyecto. La organización de programas es el
equipo requerido (comité de seguimiento, aseguramiento de
la calidad, personal de sistemas, analista, programador,
soporte de hardware, etc.) para cumplir el objetivo de
entrega del proyecto.
17. ¿Cuál de las ediciones de validación de datos siguientes C. Dígito de verificación (Check Digit)
podría ser usada por un banco, para asegurar la exactitud de
los números de cuentas bancarias asignados a clientes, Explicación:
ayudando así a evitar la transposición y la trascripción de Un dígito de verificación (Check digit) es un valor calculado
errores? matemáticamente que se agrega a los datos para asegurar
que los datos originales no han sido alterados o que un valor
A. Verificación de secuencia incorrecto, aunque aceptable, ha sustituido un valor correcto.
B. Verificación de validez Esto ayuda a evitar los errores de transposición y de
C. Dígito de verificación (Check Digit) trascripción. De ese modo, un dígito de verificación se puede
D. Verificación de existencia. agregar a un número de cuenta para verificar exactitud. Las
verificaciones de secuencia aseguran que un número siga
secuencialmente y que cualquier número fuera de secuencia
o números de control duplicados sean rechazados o
marcados en un informe de excepción. Las verificaciones de
validez y las verificaciones de existencia verifican los datos
contra criterios predeterminados para asegurar la exactitud.
18. El auditor de SI encuentra que un sistema en desarrollo C. Análisis del punto de función.
tiene 12 módulos vinculados (linked) y cada elemento de los
datos puede llevar hasta 10 campos de atributos definibles. Explicación:
El sistema maneja varios millones de transacciones al año. El análisis de punto de función es un método indirecto para
¿Cuál de estas técnicas podría el auditor de SI usar para medir el tamaño de una aplicación considerando el número y
estimar el tamaño del esfuerzo de desarrollo? la complejidad de sus entradas, salidas y archivos. Es útil
para evaluar aplicaciones complejas. PERT es una técnica
A. La técnica de evaluación y revisión de programas (PERT). de administración /gestión de proyectos que ayuda tanto con
B. Conteo de las líneas fuente del código (SLOC). la planificación como con el control. SLOC da una medida
C. Análisis del punto de función. directa del tamaño del programa, pero no lo permite para la
D. Prueba de caja blanca (white box). complejidad que puede ser causada por tener módulos
múltiples vinculados y una variedad de entradas y salidas. La
prueba de caja blanca implica una revisión detallada del
comportamiento del código de programa, y es una técnica de
aseguramiento de la calidad adecuado para las aplicaciones
más sencillas durante las etapas de diseño y construcción
del desarrollo.
20. Una organización que dona computadoras usadas debe C. los medios de almacenamiento de datos hayan sido
asegurarse que: limpiados.
21. Un auditor de SI que participa en la etapa de prueba de C. informar a la gerencia y recomendar una prueba
un proyecto de desarrollo de software establece que los integrada.
módulos individuales se desempeñan correctamente. El
auditor de SI debe: Explicación:
Los módulos que han sido probados individualmente pueden
A. concluir que los módulos individuales operando como un tener problemas de interfaz, causando efectos adversos
grupo serán correctos. sobre otros módulos. Por lo tanto, la acción más apropiada
B. documentar la prueba como prueba positiva de que el para el auditor de SI es recomendar a la gerencia que lleve a
sistema puede producir los resultados deseados. cabo una prueba integrada, que demostrará si los módulos
C. informar a la gerencia y recomendar una prueba trabajando juntos pueden producir el output deseado.
integrada. Ejecutar datos adicionales de prueba contra módulos
D. proveer datos adicionales de prueba. individuales no probará la capacidad de los módulos de
trabajar juntos.
22. ¿Cuál de los siguientes es el primer paso en un proceso A. Definir las áreas a ser revisadas
de proyecto de reingeniería del negocio (BPR)?
24. ¿Cuál de los siguientes sería MÁS probable que D. Participación temprana de los usuarios clave
asegurase que los requerimientos del negocio se cumplan
durante el desarrollo de software? Explicación:
Los usuarios clave, como están familiarizados con las
A. Entrenamiento adecuado necesidades cotidianas, son las personas que pueden
B. Los programadores entienden claramente los procesos proveer los requerimientos para asegurar que la aplicación
del negocio desarrollada satisfará las necesidades del negocio. El
C. Documentación de las reglas del negocio entrenamiento ayudaría para aprender cómo usar el sistema
D. Participación temprana de los usuarios clave pero no proveería los requerimientos del negocio. Las
opciones B y C son importantes; sin embargo, por ellas
mismas no aseguran que se cumplan los requerimientos.
25. Cuando se está implementando un paquete de software C. Que los parámetros no estén fijados correctamente
de aplicación, ¿cuál de los siguientes representa el MAYOR
riesgo? Explicación:
Los parámetros que no están fijados correctamente serían
A. Que las versiones múltiples de software no estén de la mayor preocupación cuando se implementa un paquete
controladas de software de aplicación. Las otras opciones, a pesar de ser
B. Que los programas fuente no estén sincronizados con el importantes, son una preocupación del proveedor, no de la
código de objeto organización que está implementando el software mismo.
C. Que los parámetros no estén fijados correctamente
D. Errores de programación
26. Al planear un proyecto de desarrollo de software, ¿cuál C. Los requerimientos de tiempo y de recursos para las
de los siguientes es lo MÁS difícil de determinar? tareas individuales
27. El control de cambios para los sistemas de aplicación de B. el ritmo rápido de las modificaciones en los
negocios que se están desarrollando usando prototipos requerimientos y el diseño.
podría verse complicado por:
Explicación:
A. la naturaleza iterativa de la utilización de prototipos. Los cambios en los requisitos y el diseño ocurren tan
B. el ritmo rápido de las modificaciones en los rápidamente que ellos rara vez son documentados o
requerimientos y el diseño. aprobados. Las opciones A, C y D son características de la
C. el énfasis sobre los informes y las pantallas. creación de prototipos, pero no tienen un efecto adverso
D. la falta de herramientas integradas. sobre el control de cambios.
30. ¿Cuál de los siguientes elementos es el MÁS crítico y A. Corrección de los datos fuente
contribuye MÁS a la calidad de datos en un almacén de
datos? Explicación:
La corrección de los datos fuente es un prerrequisito para la
A. Corrección de los datos fuente calidad de los datos en un almacén de datos. La credibilidad
B. Credibilidad de los datos fuente de los datos fuente es importante, los procesos correctos de
C. Corrección del proceso de extracción extracción son importantes y las rutinas correctas de
D. Corrección de los datos transformación transformación son importantes, pero no cambiarían los
datos incorrectos en datos de calidad (correctos).
31. ¿Cuál de los siguientes es una debilidad de control que D. La organización ha decidido que no se requiere un comité
puede poner en peligro un proyecto de reemplazo de de seguimiento de proyecto.
sistema?
Explicación:
A. El documento de iniciación del proyecto no ha sido Incluso en un proyecto pequeño, la falta de un comité de
actualizado para reflejar cambios en el alcance del sistema. seguimiento de proyecto representa la ausencia de un
B. Un análisis de brechas que compara la solución escogida control fundamental. El documento de iniciación del proyecto
para la especificación original ha revelado un número de capta el alcance y estructura inicial del proyecto, y no es
cambios significativos en la funcionalidad. práctico mantenerlo actualizado, ya que los cambios al
C. El proyecto ha estado sujeto a un número de cambios en proyecto pueden ser captados a través de procedimientos de
las especificaciones de los requerimientos. control de cambios y de las decisiones del comité. Un
D. La organización ha decidido que no se requiere un comité análisis de brechas es un proceso que permite que las
de seguimiento de proyecto. diferencias sean identificadas y resueltas. Los cambios en el
alcance y en los requerimientos son riesgos significativos
que pueden tener un efecto significativo sobre el éxito del
proyecto; sin embargo, , ellos en si mismos, no son
debilidades de control. Ellos deberían ser controlados por
medio de procedimientos de control de cambios.
32. ¿La falla en cuál de las siguientes etapas de prueba B. Prueba de aceptación
tendría el MAYOR impacto sobre la implementación de
nuevo software de aplicación? Explicación:
La prueba de aceptación es la etapa final antes de que el
A. Prueba de sistema software sea instalado y esté disponible para su uso. El
B. Prueba de aceptación mayor impacto ocurriría si el software fallara en el nivel de
C. Prueba de integración prueba de aceptación, ya que esto podría tener como
D. Prueba de unidad consecuencia demoras y excesos de costo. La prueba de
sistema es emprendida por el equipo de desarrolladores
para determinar si el software satisface los requerimientos
de usuario según las especificaciones. La prueba de
integración, prueba las unidades/módulos como un sistema
integrado y la prueba de unidad, prueba las unidades o
componentes individuales del software. Las pruebas de
sistema, integración y unidad son todas realizadas por los
desarrolladores en diversas etapas de desarrollo, y el
impacto de una falla es comparativamente menor para cada
una, que la falla en la etapa de prueba de aceptación.
33. ¿Cuál de los elementos siguientes es una herramienta A. Prueba de caja negra
de análisis dinámico para probar los módulos de software?
Explicación:
A. Prueba de caja negra Una prueba de caja negra es una técnica que se considera
B. Verificación de escritorio como una herramienta de análisis dinámico para probar los
C. Recorrido estructurado módulos de software. Durante la prueba de módulos de
D. Diseño y código software una prueba de caja negra trabaja primero en una
forma cohesiva como una sola unidad/entidad, constituida
por numerosos módulos y segundo, junto con los datos de
usuario que fluyen a través de los módulos de software. En
algunos casos esto impulsa el comportamiento del software.
En las opciones B, C y D, el software (diseño o código)
permanece estático y alguien sencillamente lo examina de
cerca aplicando su mente, sin activar realmente el software.
Es por esta razón que no se puede hacer referencia a estas
como herramientas de análisis dinámico.
34. Cuando se analiza la portabilidad de una aplicación de A. se usa un lenguaje de consultas estructuradas (SQL).
base de datos, el auditor de SI debe verificar que:
Explicación:
A. se usa un lenguaje de consultas estructuradas (SQL). El uso de un lenguaje de consultas estructuradas (SQL) es
B. existen procedimientos de importación y exportación de un elemento clave para la portabilidad de la base de datos.
información con otros sistemas. La importación y exportación de información con otros
C. se usan índices. sistemas es un objetivo de revisión de interfaces de base de
D. todas las entidades tienen un nombre significativo y llaves datos. El uso de un índice es un objetivo de una revisión de
primaria y extranjera identificadas. acceso a base de datos, y el hecho de que todas las
entidades tengan un nombre significativo y llaves primaria y
extranjera identificadas es un objetivo de una revisión de
diseño de base de datos.
37. Para reducir la posibilidad de perder datos durante el A. durante la preparación de datos.
procesamiento, el PRIMER punto en el que se deberían
implementar los totales de control es: Explicación:
Durante la preparación de datos es la mejor respuesta
A. durante la preparación de datos. porque establece control en el punto más temprano.
B. en tránsito a la computadora.
C. entre ejecuciones de programas relacionados de
computadora.
D. durante la devolución de los datos al departamento de
usuario.
39. ¿Cuál de los siguientes asegura la totalidad y corrección A. Procedimientos de control de procesamiento
de los datos acumulados?
Explicación:
A. Procedimientos de control de procesamiento Los controles de procesamiento aseguran la totalidad y
B. Procedimientos de control de archivo de datos corrección de los datos acumulados, por ejemplo, edición y
C. Controles de output totales de ejecución a ejecución. Los procedimientos de
D. Controles de aplicación control de archivo de datos aseguran que solamente ocurra
el procesamiento autorizado a los datos almacenados, por
ejemplo registros de transacción. Los controles de output
aseguran que los datos entregados a los usuarios sean
presentados, formateados y entregados en una forma
consistente y segura, por ejemplo distribución de reportes.
Los controles de aplicación son una terminología general
que comprende todos los tipos de controles usados en una
aplicación.
41. Una compañía ha contratado una firma consultora B. Un plan de calidad no es parte de los productos
externa para implementar un sistema financiero comercial contratados.
para reemplazar su sistema existente desarrollado
localmente. Al revisar el método de desarrollo propuesto, Explicación:
¿cuál de los siguientes sería de MAYOR preocupación? Un plan de calidad es un elemento esencial de todos los
proyectos. Es crítico que el proveedor contratado esté
A. La prueba de aceptación va a ser administrada por los obligado a presentar tal plan. El plan de calidad para el
usuarios. contrato de desarrollo propuesto debería ser comprensivo y
B. Un plan de calidad no es parte de los productos abarcar todas las fases del desarrollo e incluir ¿cuáles
contratados. funciones del negocio serán incluidas y cuándo? La
C. No todas las funciones de negocios estarán disponibles aceptación es normalmente administrada por el área del
en la implementación inicial. usuario, ya que ellos deben estar satisfechos de que el
D. Se está usando la creación de prototipos para confirmar nuevo sistema satisfará sus requerimientos. Si el sistema es
que el sistema satisface los requerimientos del negocio. grande, un método de etapas integradas para implementar la
aplicación es un método razonable. La creación de
prototipos es un método válido para asegurar que el sistema
satisfará los requerimientos del negocio.
42. Una empresa ha establecido un comité de dirección para B. el escalamiento de problemas del proyecto.
supervisar su programa de negocios electrónicos. El comité
de dirección es MÁS probable que participe en: Explicación:
La función del comité de dirección es asegurar el éxito del
A. la documentación de requerimientos. proyecto. Si hay factores o aspectos que potencialmente
B. el escalamiento de problemas del proyecto. podrían afectar los resultados planeados, el comité de
C. el diseño de controles de interfaz. dirección debería escalarlos. Actividades tales como la
D. la especificación de los reportes. documentación de requerimientos, el diseño de los controles
de interfaz y la especificación de los reportes son
responsabilidad del equipo del proyecto.
43. La razón PRIMARIA para separar los ambientes de C. controlar la estabilidad del ambiente de prueba.
prueba y de desarrollo es:
Explicación:
A. restringir el acceso a los sistemas que están en prueba. El ambiente de prueba debe ser controlado y estable para
B. segregar al personal del usuario y de desarrollo. asegurar que los proyectos de desarrollo sean probados en
C. controlar la estabilidad del ambiente de prueba. un ambiente realista que, hasta donde sea posible, refleje el
D. asegurar el acceso a los sistemas en desarrollo. ambiente en vivo. La restricción del acceso a los sistemas de
prueba y de desarrollo puede lograrse fácilmente mediante
métodos normales de control de acceso, y la sola separación
de los ambientes no proveerá una segregación adecuada de
funciones. El auditor de SI debe estar consciente de los
beneficios de separar estos ambientes donde sea posible.
44. ¿Cuál de los siguientes es el MAYOR riesgo cuando se B. Controles de acceso que no son adecuados para prevenir
está implementando un almacén de datos (data warehouse)? la modificación de datos
45. Un programa de cálculo de impuestos mantiene varias A. una revisión independiente de del listado de
tasas de impuestos. El MEJOR control para asegurar que las transacciones.
tasas de impuesto capturadas/incorporadas al programa
sean correctas es: Explicación:
Las tasas de impuesto representan datos críticos que serán
A. una revisión independiente de del listado de usados en numerosos cálculos y que deberían ser
transacciones. verificados de manera independiente por alguien que no sea
B. una verificación de edición programada para impedir la la persona que los ingresa antes que ellos sean usados en el
entrada de datos inválidos. procesamiento. Las opciones B y C son controles
C. verificaciones programadas de razonabilidad con 20 por programados que son útiles para impedir errores graves, es
ciento de rango de ingreso de datos. decir, errores como por ejemplo un cero agregado o alfa en
D. una verificación visual de datos capturados por el lugar de un número. Una tabla de impuestos debe ser 100
departamento de procesamiento. por ciento correcta, no sólo legible. La opción D permitirá
que el personal de ingreso de datos verifique la corrección
del input, pero esto no es suficiente.
46. La PRINCIPAL preocupación para un auditor de SI que A. tenga como resultado una captación correcta de los
revisa un entorno CASE debería ser que el uso de CASE requisitos
automáticamente no:
Explicación:
A. tenga como resultado una captación correcta de los La principal preocupación debería ser asegurar una
requisitos armonización de la aplicación con las necesidades del
B. asegure que los controles de aplicación deseables han negocio y con los requerimientos del usuario. Mientras que la
sido implementados utilización de CASE puede proveer herramientas para cubrir
C. produzca interfaces ergonómicos y fáciles de usar para esta fase inicial crucial, una interacción cooperativa usuario-
los usuarios analista siempre es necesaria. La opción B debería ser la
D. genere código eficiente siguiente preocupación. Si el sistema satisface las
necesidades del negocio y los requisitos de usuario también
debería incorporar todos los controles deseables. Los
controles tienen que ser especificados ya que CASE puede
solamente incorporar automáticamente ciertos controles, de
nivel más bien bajo (tales como tipo de datos de entrada,
e.g., fecha, esperada). CASE no generará (opción C)
automáticamente interfaces ergonómicos y fáciles de usar
para el usuario, sino que debería proveer herramientas para
una puesta a punto (tuning) fácil (y automáticamente
documentada). Las aplicaciones CASE (opción D)
generalmente se quedan cortas en la optimización del uso
de los recursos de hardware y de software, precisamente
porque ellos están diseñadas para optimizar otros
elementos, tales como esfuerzos o documentación de
desarrolladores.
47. Antes de implementar controles, la administración debe A. satisfacen un requerimiento al resolver un problema de
PRIMERO asegurarse de que los controles: riesgo.
50. Cuando una organización ha terminado el proceso de B. diagramas de flujo posterior al proceso de BPR.
reingeniería del negocio (BPR) de todas sus operaciones
críticas, el auditor de SI es MÁS probable que se concentre Explicación:
en una revisión de: La tarea de un auditor de SI es identificar y asegurar que se
hayan incorporado controles clave en el proceso de
A. diagramas de flujo previos al proceso de BPR. reingeniería. La opción A es incorrecta porque un auditor de
B. diagramas de flujo posterior al proceso de BPR. SI debe revisar el proceso como está actualmente, no como
C. Proyecto de Planes de BPR. estaba en el pasado. Las opciones C y D son incorrectas
D. planes continuados de mejoramiento y monitoreo. porque son pasos dentro de un Proyecto de BPR.
51. ¿Cuál de las siguientes es a menudo una ventaja de usar C. Reduce el tiempo para el despliegue.
creación de prototipos para el desarrollo de sistemas?
Explicación:
A. El sistema terminado tendrá controles adecuados. La creación de prototipos es el proceso de crear sistemas a
B. El sistema tendrá una pista de seguridad/auditoría través de ensayo y error controlado. Este método de
adecuada. desarrollo de sistemas puede proveer a la organización
C. Reduce el tiempo para el despliegue. considerable tiempo y ahorro en costos. Concentrándose
D. Es fácil de lograr control de cambios. principalmente en lo que el usuario quiere y ve, los
desarrolladores pueden pasar desapercibido alguno de los
controles que vienen del método tradicional de desarrollo de
sistemas; por lo tanto, un riesgo potencial es que el sistema
terminado tendrá controles insuficientes. En la creación de
prototipos, los cambios en los diseños y requerimientos
ocurren muy rápidamente y son rara vez documentados o
aprobados; por ello, el control de cambios se vuelve más
complicado con los sistemas creados con prototipos.
52. ¿Cuál de los siguientes es el propósito PRIMARIO para D. Asegurar que el nuevo sistema satisfaga los
llevar a cabo una prueba paralela? requerimientos del usuario.
54. ¿Cuál de las siguientes tareas ocurre durante la etapa de D. Los socios de benchmarking son identificados.
investigación del proceso de benchmarking?
Explicación:
A. Los procesos críticos son identificados. Durante la etapa de investigación, el equipo recopila datos e
B. Los socios de benchmarking son visitados. identifica a los socios del benchmarking. En la etapa de
C. Los hallazgos son traducidos en principios centrales. planeación, el equipo identifica los procesos críticos a ser
D. Los socios de benchmarking son identificados. marcados como referencia. La visita a los socios del
benchmarking se realiza en la etapa de observación. La
traducción de los hallazgos en principios centrales se realiza
durante la etapa de adaptación.
55. Una compañía utiliza un banco para procesar su A. los reportes de planilla/nómina deberían ser comparados
planilla/nómina semanal. Los formularios de hojas de tiempo con los formularios de input.
y de ajuste de planilla/nómina (e.g., cambios de tarifa por
hora, terminaciones) son efectuados y entregados al banco, Explicación:
el cual prepara los cheques y reporta para su distribución. La La mejor forma de confirmar la corrección de los datos,
asegurar MEJOR la corrección de los datos de cuando el input es suministrado por la compañía y el output
planilla/nómina: es generado por el banco, es verificar los datos ingresados
(formularios de input) con los resultados del input (reportes
A. los reportes de planilla/nómina deberían ser comparados de planilla/nómina). Por ello, comparar reportes de
con los formularios de input. planilla/nómina con formularios de input es el mejor
B. la planilla/nómina bruta debería ser recalculada mecanismo para verificar la corrección de los datos.
manualmente. Recalcular manualmente la planilla/nómina bruta sólo
C. los cheques deberían ser comparados con los formularios verificaría si el procesamiento es correcto y no la exactitud
de input. de los datos de input. Comparar los cheques con los
D. los cheques deberían ser conciliados con los reportes de formularios de input no es factible ya que los cheques tienen
output. la información procesada y los formularios de input tienen los
datos de input. Conciliar los cheques con los reportes de
output sólo confirma que los cheques han sido emitidos
según los reportes de output.
57. Una compañía ha implementado un nuevo sistema A. Verificar la producción con las órdenes de cliente
cliente-servidor de planeación de empresas (ERP). Las
sucursales locales transmiten órdenes de clientes a una Explicación:
instalación central de fabricación. ¿Cuál de los siguientes La verificación asegurará que las órdenes de producción
aseguraría MEJOR que las órdenes sean ingresadas coincidan con las órdenes de cliente. El registro se puede
correctamente y que se produzcan los productos usar para detectar inexactitudes, pero en sí mismo no
correspondientes? garantiza un procesamiento exacto. Los totales hash
asegurarán la transmisión precisa de las órdenes, pero no el
A. Verificar la producción con las órdenes de cliente procesamiento exacto centralmente. La aprobación de
B. Registrar todas las órdenes de cliente en el sistema ERP supervisión de producción es un proceso manual que
C. Usar totales hash en el orden que transmite el proceso consume tiempo que no garantiza un control apropiado.
D. Aprobar (supervisor de producción) órdenes antes de la
producción
60. Si un programa de aplicación es modificado y están C. El programa completo, incluyendo cualesquiera sistemas
instalados procedimientos apropiados de mantenimiento de de interfaz
sistema, ¿cuál de los siguientes se debería probar?
Explicación:
A. La integridad de la base de datos El programa completo con todas las interfaces necesita ser
B. Los controles de acceso para el programador de probado para determinar el impacto total de un cambio al
aplicaciones código de programa. Por lo general, cuanto más complejo es
C. El programa completo, incluyendo cualesquiera sistemas el programa, más pruebas se requieren.
de interfaz
D. El segmento del programa que contenga el código
revisado
61. ¿Cuál de los siguientes es un riesgo de implementación C. Incapacidad para especificar el propósito y los patrones
dentro del proceso sistemas de soporte de decisiones? de uso
64. En lugar de un sistema heredado, una organización está C. Corte Inmediato (Direct cut-over)
implementando un nuevo sistema. ¿Cuál de las siguientes
prácticas de conversión crea el MAYOR riesgo? Explicación:
Un corte inmediato (Direct cut-over) implica cambiar al nuevo
A. Piloto sistema inmediatamente, por lo general sin la capacidad
B. Paralelo para revertir al viejo sistema en el caso de problemas. Todas
C. Corte Inmediato (Direct cut-over) las otras alternativas se hacen gradualmente y de ese modo
D. Por fases proveen mayor recuperabilidad y son por lo tanto menos
riesgosas.
66. Un auditor de SI que evalúa la integridad de datos en un D. una transacción es finalizada o no, o una base de datos
entorno de sistema impulsado por transacciones debe está actualizada o no.
revisar la atomicidad para determinar si:
Explicación:
A. la base de datos sobrevive las fallas (de hardware y de Este concepto está incluido en el principio de atomicidad,
software). integridad, aislamiento y durabilidad (ACID). Durabilidad
B. cada transacción está separada de las otras significa que la base de datos sobrevive a las fallas (de
transacciones. hardware o de software). Aislamiento significa que cada
C. se mantienen las condiciones de integridad. transacción está separada de las otras transacciones.
D. una transacción es finalizada o no, o una base de datos Consistencia significa que se mantienen las condiciones de
está actualizada o no. integridad.
69. Cuando dos o más sistemas están integrados, los C. sistemas que envían y reciben datos.
controles de input/output deben ser revisados por el auditor
de SI en los: Explicación:
Ambos sistemas deben ser revisados para verificar si tienen
A. sistemas que reciben el output de otros sistemas. controles de input/output ya que el output para un sistema es
B. sistemas que envían output a otros sistemas. el input para el otro.
C. sistemas que envían y reciben datos.
D. interfaces entre los dos sistemas.
70. ¿Cuál de los siguientes asegurará MEJOR el desarrollo B. Especificaciones aplicadas de manera detallada y
exitoso de las aplicaciones del negocio offshore? correcta
71. Un software de buena calidad de logra MEJOR: D. aplicando procesos bien definidos y revisiones
estructuradas en todo el proyecto.
A. por medio de una prueba exhaustiva.
B. encontrando y corrigiendo rápidamente los errores de Explicación:
programación. La prueba puede señalar las deficiencias de calidad. Sin
C. determinando la cantidad de pruebas para el tiempo y el embargo, por sí misma no puede corregirlas. La acción
presupuesto disponible. correctiva en este punto en el proyecto es cara. Mientras que
D. aplicando procesos bien definidos y revisiones es necesario detectar y corregir los errores de programa, la
estructuradas en todo el proyecto. principal ganancia viene de detectar los defectos a medida
que éstos ocurren en las fases nuevas, tales como los
requerimientos y el diseño. La opción C es representativa del
error más común cuando se aplica la gerencia de calidad a
un proyecto de software. Se ve como un gasto general, en
cambio, la eliminación temprana de defectos tiene una
retribución sustancial. La reelaboración es en realidad el
impulsador más grande de costos en la mayoría de los
proyectos de software. La opción D representa el núcleo de
lograr la calidad, es decir, seguir un procesos consistente
bien definido y revisando efectivamente los productos
disponibles clave.
72. Un auditor de SI que ha descubierto transacciones no C. las técnicas de autenticación para enviar y recibir
autorizadas durante una revisión de Transacciones de EDI mensajes.
es probable que recomiende mejorar:
Explicación:
A. los acuerdos de los socios comerciales de EDI. Las técnicas de autenticación para enviar y recibir mensajes
B. los controles físicos para las terminales. tienen una función clave para minimizar la exposición a las
C. las técnicas de autenticación para enviar y recibir transacciones no autorizadas. Los acuerdos de socios
mensajes. comerciales de EDI minimizarían la exposición a los
D. los procedimientos de control de cambio de programa. problemas legales.
73. Cuando se está auditando una conversión de un sistema A. los totales de control.
de contabilidad, un auditor de SI debe verificar la existencia
de una verificación de: Explicación:
Cuadrando / Chequeando un total de control de todas las
A. los totales de control. cuentas antes y después de la conversión asegurará al
B. validación. auditor de SI que todos los datos de importes han sido
C. integridad. tomados en el nuevo sistema. La verificación posterior uno a
D. límite. uno por los usuarios asegurará que todos los datos hayan
sido convertidos. Las otras opciones son incorrectas. Las
verificaciones de validación, las verificaciones de integridad y
las verificaciones de límite se aplicarían en el punto en que
los datos son /fueron introducidos originalmente al sistema
de contabilidad.
75. La razón más común para que los sistemas dejen de D. la participación del usuario para definir los requerimientos
satisfacer las necesidades de los usuarios es que: del sistema era inadecuada.
76. Al final de la etapa de prueba de desarrollo de software, C. recomendar que se escale una resolución de problema.
un auditor de SI observa que un error intermitente de
software no ha sido corregido. No se ha tomado ninguna Explicación:
acción para resolver el error. El auditor de SI debe: Cuando un auditor observa dichas condiciones, es mejor
apreciar totalmente al auditado y sugerir que se intenten más
A. reportar el error como un hallazgo y dejar la exploración resoluciones a problemas. Registrarlo como un error menor y
adicional a discreción del auditado. dejarlo a la discreción del auditado sería inapropiado, y
B. tratar de resolver el error. descuidar el error indicaría que el auditor no ha emprendido
C. recomendar que se escale una resolución de problema. pasos para investigar aún más el problema hasta su final
D. ignorar el error, ya que no es posible obtener evidencia lógico.
objetiva para el error de software.
78. ¿Cuál de las siguientes es una característica de la C. previene los excesos en costos y las demoras de entrega.
administración de caja de tiempo?
Explicación:
A. no es adecuada para crear prototipos ni desarrollo de La administración de caja de tiempo, por su naturaleza, fija
aplicación rápida (RAD). límites específicos de tiempo y de costo. Es muy adecuada
B. elimina la necesidad de un proceso de calidad. para crear prototipos y RAD, e integra las pruebas de
C. previene los excesos en costos y las demoras de entrega. sistema y la de aceptación de usuario, pero no elimina la
D. separa la prueba del sistema y la de aceptación de necesidad de un proceso de calidad.
usuario.
79. El uso de lenguajes de cuarta generación (4GLs) debería A. pueden carecer de los comandos de bajo nivel de detalle
ser sopesado cuidadosamente contra el uso de lenguajes necesarios para realizar operaciones intensivas de datos.
tradicionales porque 4GLs:
Explicación:
A. pueden carecer de los comandos de bajo nivel de detalle Todas las respuestas son ventajas de usar 4GLs excepto
necesarios para realizar operaciones intensivas de datos. que pueden carecer de los comandos de nivel de detalle
B. no pueden ser implementado tanto en los procesadores más bajo necesarios para realizar operaciones intensivas de
de mainframe como en las microcomputadoras. datos. Estas operaciones por lo general se requieren cuando
C. generalmente contienen subconjuntos de lenguajes se desarrollan aplicaciones mayores.
complejos que deben ser usados por usuarios expertos.
D. no pueden tener acceso a los registros de base de datos
y producen mensajes salientes complejos en línea.
80. Un auditor de SI está efectuando una revisión de un D. Determinar si hay problemas no resueltos
sistema de aplicación después que los usuarios han
realizado una prueba de aceptación. ¿Cuál sería la mayor Explicación:
preocupación del auditor de SI? Para evaluar el éxito o fracaso total de la prueba de
aceptación, el auditor de SI debe determinar si se
A. Determinar si los objetivos de la prueba fueron documentaron los planes de prueba y si los resultados reales
documentados fueron comparados con los resultados esperados así como
B. Determinar si los usuarios documentaron los resultados también revisar el registro de problemas de prueba para
esperados de la prueba confirmar la resolución de los problemas de prueba
C. Revisar si se efectuaron registros (logs) de los problemas identificados. El auditor de SI debe luego determinar el
de la prueba impacto de los problemas no resueltos sobre la funcionalidad
D. Determinar si hay problemas no resueltos y utilidad del sistema.
81. Una organización que planea comprar un paquete de A. No disponibilidad del código fuente.
software solicita al auditor de SI una evaluación de riesgo.
¿Cuál de lo siguiente es el riesgo MAYOR? Explicación:
Si el vendedor cierra el negocio, el no tener disponible el
A. No disponibilidad del código fuente. código fuente haría imposible la actualización del paquete
B. Falta de una certificación de calidad del vendedor (de software). La falta de una certificación de calidad del
C. Ausencia de referencias vendedor /cliente vendedor, la ausencia de referencias vendedor /cliente y la
D. Poca experiencia del vendedor con el paquete. poca experiencia del vendedor con el paquete son aspectos
importantes pero no críticos.
83. La MAYOR ventaja del desarrollo rápido de D. acorta el marco de tiempo del desarrollo
aplicaciones(RAD) sobre el tradicional ciclo de vida de
desarrollo de sistemas (SDLC) es que: Explicación:
La mayor ventaja del RAD es el marco de tiempo más corto
A. facilita la participación del usuario para el desarrollo de un sistema. Las opciones A y B son
B. permite pruebas tempranas de las funciones técnicas ciertas, pero ellas son también ciertas para el tradicional
C. facilita la conversión al nuevo sistema ciclo de vida de desarrollo de sistemas. La opción C no es
D. acorta el marco de tiempo del desarrollo necesariamente siempre cierta.
84. Un auditor de SI que realiza una auditoría de A. la autorización para cambios de programa.
mantenimiento de aplicaciones revisaría el registro de
cambios de programa para: Explicación:
El registro manual es más probable que contenga
A. la autorización para cambios de programa. información sobre cambios autorizados a un programa. Los
B. la fecha de creación de un módulo objeto corriente. cambios deliberados, autorizados no serán documentados
C. el número de cambios de programa realmente hechos. por la parte responsable. Un registro automatizado, que se
D. la fecha de creación de un programa fuente corriente. encuentra por lo general en los productos de administración
de biblioteca, y no un registro de cambio es más probable
que contenga información de fecha para los módulos fuente
y ejecutables.
86. ¿Cuál de los siguientes elementos es el MÁS importante A. La calidad de los metadatos
en el diseño de un depósito de datos?
Explicación:
A. La calidad de los metadatos La calidad de los metadatos es el elemento más importante
B. La velocidad de las transacciones en el diseño de un depósito de datos. Un depósito de datos
C. La volatilidad de los datos es una copia de datos de transacción estructurados
D. La vulnerabilidad del sistema específicamente para investigación y análisis. Los metadatos
están dirigidos a proveer una tabla de contenido para la
información almacenada en el depósito de datos. Las
compañías que han construido depósitos creen que los
metadatos son el componente más importante del depósito.
87. Una organización ha contratado a un proveedor para una D. el código fuente de la aplicación de ETCS sea puesto en
solución llave en mano (turnkey solution) para su sistema depósito de garantía (escrow.)
electrónico de cobro de peajes (ETCS). El proveedor ha
provisto su software privado de aplicación como parte de la Explicación:
solución. El contrato debería requerir que: Cada vez que se compra un software privado de aplicación,
el contrato debería proveer un acuerdo de código fuente.
A. un servidor de respaldo esté disponible para ejecutar Esto asegurará que la compañía compradora tenga la
operaciones de ETCS con datos actualizados. oportunidad de modificar el software si el proveedor deja de
B. un servidor de respaldo sea cargado con todo el software estar en el negocio. Tener un servidor de respaldo con datos
y los datos relevantes. actualizados y el entrenamiento de personal es crítico pero
C. el personal de sistemas de la organización sea entrenado no tan crítico como asegurar la disponibilidad del código
para manejar cualquier evento. fuente.
D. el código fuente de la aplicación de ETCS sea puesto en
depósito de garantía (escrow.)
88. Un empleado es responsable de actualizar diariamente B. Las tasas fuera del rango normal requieren la previa
las tasas de interés en una aplicación de finanzas, aprobación de la gerencia
incluyendo las excepciones de tasa de interés para los
clientes preferenciales. ¿Cuál de los siguientes es el MEJOR Explicación:
control para asegurar que todas las excepciones de tasas La aprobación previa por parte de la gerencia para las tasas
sean aprobadas? fuera del rango normal sería un control apropiado. Introducir
la contraseña de un supervisor no asegura la autorización.
A. Un supervisor debe introducir su contraseña antes de que Una alarma del sistema al introducir una excepción de tasa
se valide una excepción de tasa. es solamente una advertencia y el registro de excepciones
B. Las tasas fuera del rango normal requieren la previa es un control de detección.
aprobación de la gerencia
C. El sistema da una alarma sonora cuando se introducen
las excepciones de tasas
D. Todas las tasas de interés deben ser registradas (logged)
y verificadas cada 30 días.
90. A medida que un proceso del proyecto de reingeniería C. el proceso mejore el producto, servicio y rentabilidad.
del negocio (BPR) se establece se espera que:
Explicación:
A. las prioridades del negocio permanezcan estables. A medida que un proceso de reingeniería se establece,
B. las tecnologías de la información no cambien. ciertos resultados clave comenzarán a surgir, incluyendo una
C. el proceso mejore el producto, servicio y rentabilidad. concentración sobre el proceso como un medio de mejorar el
D. el input de clientes y agentes ya no será necesario. producto, el servicio y la rentabilidad. Además, las nuevas
prioridades del negocio y enfoques del uso de información
así como también surgirán tecnologías de información
poderosas y más accesibles. Con frecuencia, las funciones
de clientes y agentes serán redefinidas proveyéndolos de
más participación directa y activa en el proceso del negocio
de la empresa.
91. El beneficio PRIMARIO de integrar el manejo total de la D. satisfacción del usuario final.
calidad (TQM) en un proyecto de desarrollo de software es:
Explicación:
A. documentación comprensiva. La calidad es en última instancia una medida de la
B. entrega a tiempo. satisfacción del usuario final. Si el usuario final no está
C. control de costos. satisfecho, entonces el producto no se desarrolló
D. satisfacción del usuario final. debidamente. La documentación completa, la entrega en el
tiempo programado y los costos son todos ellos factores
secundarios para la satisfacción del usuario final.
92. Durante una revisión posterior a la implementación del A. Revise la configuración del control de acceso
sistema de administración de recursos de una empresa,
¿qué es lo MÁS probable que un auditor de sistemas Explicación:
realice? Revisar la configuración de control de acceso sería la
primera tarea que realizaría para determinar si la seguridad
A. Revise la configuración del control de acceso ha sido establecida debidamente en el sistema. Como se
B. Evalúe la prueba de interfaz trata de una revisión posterior a una implementación que por
C. Revise la documentación detallada de diseño lo general se hace después de la prueba de aceptación del
D. Evalúe la prueba de sistema usuario y de una implementación real, uno no se pondría a
probar la interfaz ni la documentación detallada de diseño, la
cual probablemente no estaría actualizada. Evaluar la
prueba de la interfaz sería parte de un proceso de
implementación. El aspecto de revisar la documentación
detallada de diseño en general no es relevante para un
sistema de administración de recursos de empresa ya que
éstos son por lo general paquetes de vendedor con
manuales de usuario. La prueba de sistema también se
realiza normalmente antes de que el usuario final registre su
salida.
93. La diferencia entre prueba de caja blanca (whitebox) y C. examina la estructura lógica interna de un programa.
prueba de caja negra (blackbox) es que la prueba de caja
blanca: Explicación:
La prueba de caja negra observa el comportamiento externo
A. involucra al auditor de SI. de un sistema, mientras que la prueba de caja blanca es un
B. es efectuada por un equipo de programadores examen detallado de una ruta lógica, verificando las posibles
independientes. condiciones. El auditor de SI no necesita participar en ningún
C. examina la estructura lógica interna de un programa. método de prueba. El enfoque de abajo hacia arriba puede
D. usa el enfoque de abajo hacia arriba. ser usado en ambas pruebas. La prueba de caja blanca
requiere conocimiento de las interioridades del programa o el
módulo que va a ser implementado/ probado. La prueba de
caja negra requiere que la funcionalidad del programa se
conozca. El equipo de programadores independientes no
estarían en conocimiento de la aplicación de un programa en
el que no han participado. Por ello, el equipo de
programadores independientes no puede proveer asistencia
alguna en ninguno de estos métodos de prueba.
94. Las órdenes de venta son numeradas automáticamente A. enviar y conciliar los conteos y totales de transacciones.
en forma secuencial en cada uno de los puntos de venta
múltiples de un vendedor minorista. Las órdenes pequeñas Explicación:
son procesadas directamente en los puntos de venta, Enviar y conciliar totales de transacción no solamente
enviándose las órdenes grandes a una instalación central de asegura que las órdenes fueron recibidas, sino que también
producción. El control más apropiado para asegurar que fueron procesadas por el lugar central de producción.
todas las órdenes transmitidas a producción sean recibidas y Transmitir los datos de la transacción de regreso al sitio local
procesadas sería: confirma que el lugar central la recibió, pero no que la hayan
procesado realmente. Rastrear y dar cuenta de la secuencia
A. enviar y conciliar los conteos y totales de transacciones. numérica solamente confirma qué órdenes están a la mano,
B. hacer que los datos sean transmitidos de regreso al sitio y no si las mismas se han efectuado realmente. El uso de
local para comparación. verificación de paridad solamente confirmaría que la orden
C. comparar los protocolos de comunicaciones de datos con no fue cambiada durante la transmisión.
verificación de paridad.
D. rastrear y dar cuenta de la secuencia numérica de las
órdenes de venta en la instalación de producción.
95. ¿Cuál de los siguientes grupos /personas debería asumir B. El comité de dirección del proyecto
la dirección general y la responsabilidad de los costos y
cronogramas de los proyectos de desarrollo de sistemas? Explicación:
El comité de dirección del proyecto es en última instancia
A. La gerencia de usuario responsable de todos los costos y cronogramas. La gerencia
B. El comité de dirección del proyecto de usuario asume la propiedad del proyecto y del sistema
C. La alta gerencia resultante. La alta gerencia se compromete con el proyecto y
D. La gerencia de desarrollo de sistemas aprueba los recursos necesarios para llevar a cabo el
proyecto. La gerencia de desarrollo de sistema provee
soporte técnico para los ambientes del hardware y del
software desarrollando, instalando y operando el sistema
solicitado.
96. ¿Cuál de los siguientes representa un prototipo típico de B. Pantallas, ediciones interactivas y muestras de reportes
una aplicación interactiva?
Explicación:
A. Pantallas y programas de procesamiento Los programas de procesamiento no son producidos por una
B. Pantallas, ediciones interactivas y muestras de reportes herramienta de creación de prototipos. Esto a menudo
C. Ediciones interactivas, programas de procesamiento y conduce a confusión al usuario final, quien espera la rápida
muestras de reportes implementación de programas que obtengan los resultados
D. Pantallas, ediciones interactivas, programas de que producen estas herramientas.
procesamiento y muestras de reportes
98. ¿Cuál de las siguientes es una técnica de gerencia que C. Desarrollo de aplicación rápida
permite que las organizaciones desarrollen sistemas
estratégicamente importantes más rápidamente al tiempo Explicación:
que reduce los costos de desarrollo y mantiene la calidad? El desarrollo de aplicación rápida es una técnica de gerencia
que permite a las organizaciones desarrollar sistemas
A. Análisis de punto de función estratégicamente importantes más rápidamente al tiempo
B. Metodología de ruta crítica que reduce los costos de desarrollo y mantiene la calidad. La
C. Desarrollo de aplicación rápida técnica de revisión de evaluación de programa (PERT) y la
D. Técnica de revisión de evaluación de programa metodología de ruta crítica (CPM) son ambas técnicas de
evaluación y control, mientras que se usa el análisis de
punto de función par estimar la complejidad de desarrollar
aplicaciones del negocio.
99. Durante el desarrollo de una aplicación, la prueba de C. Unas pruebas funcionales inadecuadas.
aseguramiento de la calidad y la prueba de aceptación de
usuario se combinaron. La MAYOR preocupación para un Explicación:
auditor de SI que revisa el proyecto es que habrá: El riesgo mayor de combinar las pruebas de garantía de la
calidad y las pruebas de aceptación del usuario es que las
A. Un incremento en el mantenimiento. pruebas funcionales pueden ser inadecuadas. Las opciones
B. Una documentación inapropiada de las pruebas A, B y D no son tan importantes.
C. Unas pruebas funcionales inadecuadas.
D. Demoras en la resolución de problemas.
100. La solicitud de propuesta (RFP) para la adquisición de A. comité de seguimiento del proyecto (project steering
un sistema de aplicación es MÁS probable que sea committee).
aprobada por el:
Explicación:
A. comité de seguimiento del proyecto (project steering Un comité de seguimiento del proyecto (project steering
committee). committee) está por lo general constituido por un alto
B. patrocinador de proyecto. representante de cada función que será afectada por el
C. gerente de proyecto. nuevo sistema y sería el grupo más apropiado para aprobar
D. equipo de proyecto de usuario. el RFP. El patrocinador del proyecto provee financiamiento
para el proyecto. El gerente de proyecto y el equipo de
proyecto de usuario son responsables de redactar la RFP.
101. Los supuestos mientras se planea un proyecto de SI C. son resultado de la falta de información.
implican un alto grado de riesgo porque:
Explicación:
A. están basados en limitaciones conocidas. Los supuestos se hacen cuando no se dispone de
B. están basados en datos pasados objetivos. información adecuada. Cuando un gerente de proyecto de SI
C. son resultado de la falta de información. hace un supuesto, hay un alto grado de riesgo porque la falta
D. están g echos frecuentemente por personas no de información apropiada puede causar una pérdida
calificadas. inesperada a un proyecto de SI. Los supuestos no se basan
en limitaciones "conocidas". Cuando las limitaciones son
conocidas de antemano, un gerente de proyecto puede
planear de acuerdo con esas limitaciones, en lugar de
suponer que las limitaciones no afectarán el proyecto. Tener
datos objetivos sobre proyectos pasados de SI no conducirá
a hacer supuestos, sino más bien ayuda al gerente de
proyecto de SI a planear el proyecto en una mejor forma. De
ahí que, si se dispone de datos objetivos pasados y el
gerente de proyecto hace uso de ellos, el riesgo para el
proyecto es menor. Independientemente de si los hicieron
personas calificadas o personas no calificadas, los
supuestos son riesgosos.
102. Un auditor de SI encuentra datos fuera de orden en D. Implementar restricciones (constraints) de integridad en la
algunas tablas de una base de datos. ¿Cuál de los base de datos.
siguientes controles debe el auditor recomendar para evitar
esta situación? Explicación:
Implementar restricciones de integridad en la base de datos
A. Registrar (log) todas las transacciones de actualización de es un control preventivo, porque los datos son verificados
tablas contra tablas predefinidas o reglas que previenen que
B. Implementar el reporte de imágenes antes y después cualquier dato no definido sea introducido. Registrar
C. Usar rastreo y etiquetado (tracing – tagging) (logging) todas las transacciones de actualización de datos e
D. Implementar restricciones (constraints) de integridad en la implementar reportes de imágenes antes y después son
base de datos. controles de detección que no evitarían la situación. Rastrear
(tracing) y etiquetar (tagging) se usan para probar sistemas y
controles de aplicación y no podrían prevenir datos fuera de
rango.
103. ¿Cuál de los siguientes es la PRIMERA cosa que un D. Hacer que se elimine el código trasgresor
auditor de SI debería hacer después de descubrir un
programa de caballo de Troya en un sistema de Explicación:
computadora? La primera función de un auditor de SI es impedir que el
caballo de Troya cause más daño. Después de eliminar el
A. Investigar el autor código trasgresor, las acciones de seguimiento incluirían
B. Eliminar cualesquiera amenazas subyacentes investigación y recomendaciones (las opciones B y C).
C. Establecer controles de compensación
D. Hacer que se elimine el código trasgresor
104. Cuando se está implementando un sistema adquirido D. Prueba de validación
en un entorno cliente – servidor, ¿cuál de las pruebas
siguientes confirmaría que las modificaciones en el registro Explicación:
de Windows no tienen un impacto adverso en el ambiente de Cuando se está implementando un sistema adquirido en un
escritorio (desktop)? ambiente cliente-servidor, la prueba de sociabilidad
confirmaría que el sistema puede operar en el ambiente
A. Prueba de sociabilidad objetivo sin tener un impacto adverso sobre otros sistemas.
B. Prueba paralela La prueba paralela es el proceso de alimentar con datos de
C. Prueba de caja blanca prueba tanto al viejo como al nuevo sistema y comparar los
D. Prueba de validación resultados. La prueba de caja blanca se basa en un examen
minucioso de los detalles de procedimiento (procedural), y
las pruebas de validación prueban la funcionalidad del
sistema contra los requerimientos detallados para asegurar
que el software que haya sido construido sea rastreable con
los requerimientos del cliente.
105. La prueba de regresión es el proceso de probar un D. los cambios han introducido algún error en el código no
programa para determinar si: cambiado.
106. Al evaluar los proyectos de desarrollo de aplicaciones D. se sigan los procesos predecibles de software.
contra el modelo de madurez de capacidad (CMM), un
auditor debe poder verificar que: Explicación:
Al evaluar los proyectos de desarrollo de aplicaciones contra
A. se garanticen los productos confiables. el modelo de madurez de capacidad (CMM), el auditor de IS
B. se mejore la eficiencia de los programadores. determina si la organización de desarrollo sigue un proceso
C. se diseñen los requerimientos de seguridad. estable, predecible de software. Aún cuando la probabilidad
D. se sigan los procesos predecibles de software. de éxito debe aumentar a medida que los procesos de
software maduran hacia el nivel de optimización, los
procesos maduros no garantizan un producto confiable.
CMM no evalúa procesos técnicos tales como programación,
ni evalúa los requerimientos de seguridad u otros controles
de aplicación.
107. El uso de técnicas de diseño y desarrollo orientada a A. faciliten la capacidad para reutilizar módulos.
objetos, es más probable que:
Explicación:
A. faciliten la capacidad para reutilizar módulos. Uno de los mayores beneficios del diseño y desarrollo
B. mejoren el desempeño del sistema. orientado hacia el objeto es la capacidad para reutilizar
C. aumenten la efectividad del control. módulos. Las otras opciones no requieren necesariamente
D. aumenten la velocidad del ciclo de vida del desarrollo del dicha técnica.
sistema.
108. ¿Qué datos se deben usar para la prueba de regresión? C. Los datos usados en las pruebas anteriores
110. Cuando se revisa la calidad del proceso de desarrollo C. documentar los estándares informales y probar su
de un departamento de SI, el auditor de SI encuentra que cumplimiento.
ellos no usan ninguna metodología y normas formales
documentadas. La acción más apropiada del auditor de SI Explicación:
sería: La primera preocupación de un auditor de SI sería asegurar
que los proyectos sean administrados de manera
A. completar la auditoría y reportar el hallazgo. consistente. Cuando se alega que existe una norma interna,
B. investigar y recomendar normas formales apropiadas. es importante asegurarse que esté operada correctamente,
C. documentar los estándares informales y probar su aún cuando ello signifique documentar primero las normas
cumplimiento. alegadas. Reportar solamente el caso como una debilidad y
D. retirarse y recomendar una auditoría adicional cuando cerrar la auditoría sin hallazgos no ayudaría a la
normas estén implementadas. organización en ninguna forma e investigar las metodologías
formales puede ser innecesario si los estándares informales
existentes demuestran ser adecuados y efectivos.
111. El uso de un diagrama de GANTT puede: A. ayudar a hacer un cronograma de tareas de proyecto.
112. ¿Cuál de los siguientes facilita el mantenimiento del A. Programas más cohesivos y acoplados libremente
programa?
Explicación:
A. Programas más cohesivos y acoplados libremente La cohesión se refiere a la ejecución de una sola función
B. Programas menos cohesivos y acoplados libremente dedicada por cada programa. Acoplamiento se refiere a la
C. Programas más cohesivos y acoplados fuertemente independencia de las unidades comparables. Unidades
D. Programas menos cohesivos y acoplados fuertemente libremente acopladas, cuando el código de programa es
cambiado, reducirá la probabilidad de afectar otras unidades
de programa. Unidades más cohesivas y libremente
acopladas son mejores para el mantenimiento.
114. Una ventaja de usar en transacciones en vivo saneadas D. las transacciones de prueba son representativas de
(sanitized live transactions) en los datos de prueba, es que: procesamiento en vivo.
117. El grupo de garantía de calidad (quality assurance) es C. asegurar que los programas y los cambios de programas
típicamente responsable de: y la documentación se adhieran a las normas establecidas.
118. ¿Cuál de los siguientes es crítico para la selección y C. Análisis de configuración del hardware
adquisición del software de sistema operativo correcto?
Explicación:
A. Licitaciones competitivas La compra de software de sistema operativo depende del
B. Aprobación del departamento de usuario hecho de que el software sea compatible con el hardware
C. Análisis de configuración del hardware existente. Las opciones A y D, a pesar de ser importantes,
D. Aprobación del departamento de compras no son tan importantes como la opciónC. Los usuarios no
aprueban normalmente la adquisición de software de
sistema operativo.
119. ¿Cuál de los siguientes métodos de desarrollo usa un D. Desarrollo de aplicación rápida (RAD)
prototipo que puede ser actualizado continuamente para
satisfacer los requerimientos cambiantes del usuario o del Explicación:
negocio? Sólo RAD usa la creación de prototipos como su herramienta
central de desarrollo. OOD y DOD usan modelos en continuo
A. Desarrollo orientado a los datos (DOD) desarrollo, y BPR intenta convertir un proceso existente de
B. Desarrollo orientado al objeto (OOD) negocio en lugar de hacer cambios dinámicos.
C. Reingeniería del proceso del negocio (BPR)
D. Desarrollo de aplicación rápida (RAD)
122. Un auditor de SI que realiza una revisión del B. se adopten y documenten procedimientos formales de
departamento de SI descubre que no existen procedimientos aprobación.
formales de aprobación. En ausencia de estos
procedimientos, el gerente de SI ha estado aprobando Explicación:
arbitrariamente proyectos a los niveles superiores de la Es imperativo que se establezcan procedimientos formales
gerencia para su aprobación. El auditor de SI debería escritos de aprobación para establecer la responsabilidad de
recomendar como un PRIMER curso de acción que: rendir cuenta. Esto es verdad tanto para los niveles del
gerente de SI como para los niveles superiores de la
A. los usuarios participen en la revisión y en el proceso de gerencia. Las opciones A, C y D sería recomendaciones
aprobación. subsiguientes una vez que se haya establecido la autoridad.
B. se adopten y documenten procedimientos formales de
aprobación.
C. los proyectos sean referidos a los niveles apropiados de
la gerencia para su aprobación.
D. la descripción del puesto de trabajo del gerente de SI sea
cambiada para que incluya la autoridad de aprobación.
124. ¿Cuál de los siguientes sistemas o herramientas puede B. Las técnicas de extracción de datos
reconocer que una transacción de tarjeta de crédito es más
probable que haya sido consecuencia de una tarjeta de Explicación:
crédito robada que del tarjeta-habiente de una tarjeta de La extracción de datos es una técnica para detectar
crédito? tendencias o patrones de transacciones o de datos. Si el
patrón histórico de cargos contra una cuenta de tarjeta de
A. Los sistemas de detección de intrusos crédito es cambiado, entonces es una señal de que la
B. Las técnicas de extracción de datos transacción puede haber sido consecuencia del uso
C. Los firewalls fraudulento de la tarjeta.
D. Los ruteadores (routers) de filtrado de paquetes
126. ¿Cuál de los siguientes riesgos sería consecuencia de A. Desbordamiento del ámbito (scope creep)
una definición inadecuada de línea base (baseline) de
software? Explicación:
Una línea base (baseline) de software es el punto de corte
A. Desbordamiento del ámbito (scope creep) en el diseño y desarrollo de un sistema más allá del cual los
B. Demoras de sign-off requerimientos o modificaciones adicionales al diseño no
C. Violaciones de integridad de software ocurren o no pueden ocurrir sin someterse a procedimientos
D. Controles inadecuados formales estrictos de aprobación basada en un análisis
costo-beneficio del negocio. El no administrar
adecuadamente los requerimientos de un sistema mediante
la definición de la línea base puede tener como
consecuencia un número de riesgos. El riesgo más
importante entre éstos es el desbordamiento del ámbito
(Scope creep), el proceso a través del cual los
requerimientos cambian durante el desarrollo. Las opciones
B, C y D no siempre resultan, pero la opción A es inevitable.
127. ¿Cuál de los siguientes se usa para asegurar que los B. Total de control
datos de lote sean transferidos completa y correctamente
entre dos sistemas? Explicación:
Los totales de control con frecuencia se usan como un
A. Dígito de verificación control fácilmente recalculado. El número de facturas en un
B. Total de control lote, o el valor de las facturas en un lote, son ejemplos de
C. Suma de verificación totales de control. Ellos brindan una forma sencilla de seguir
D. Cuenta de control una pista de auditoría desde un resumen de rubro de mayor
general hasta una transacción individual, y de regreso. Un
dígito de verificación es una forma de verificar la corrección
de un solo rubro de datos, como por ejemplo un número de
tarjeta de crédito. A pesar de que una suma de verificación
es un control excelente de la integridad y corrección de un
lote, no es fácilmente recalculado y por lo tanto, no es tan
comúnmente usado en los sistemas financieros como totales
de control. Las sumas de verificación se usan con frecuencia
en la transferencia de datos como parte de los protocolos de
encripción. Las cuentas de control se usan en los sistemas
financieros para asegurar que los componentes que
intercambian información resumen, como por ejemplo un
registro de ventas y un mayor general, puedan ser
reconciliados.
128. El modelo en cascada de ciclo de vida del desarrollo de A. los requerimientos son bien entendidos y se espera que
software es usado de manera más apropiada cuando: sigan siendo estables, como lo es el entorno del negocio en
el que el sistema operará.
A. los requerimientos son bien entendidos y se espera que
sigan siendo estables, como lo es el entorno del negocio en Explicación:
el que el sistema operará. Históricamente, el modelo en cascada ha sido más
B. Los requerimientos son bien entendidos y el proyecto está adecuado para las condiciones estables descritas en la
sujeto a presiones de tiempo. opción A. Cuando el grado de incertidumbre del sistema a
C. el proyecto pretende aplicar un diseño orientado a objeto ser entregado y las condiciones en las que éste será usado
y un método de programación. se elevan, el modelo en cascada no ha tenido éxito. En estas
D. el proyecto implicará el uso de nueva tecnología. circunstancias, las diferentes formas de ciclo de vida de
desarrollo iterativo da la ventaja de desglosar el alcance del
sistema total a ser entregado, haciendo más manejable la
recolección de requerimientos y las actividades de diseño.
La capacidad de entregar software de trabajo antes también
actúa para aliviar la incertidumbre y puede permitir una
realización de beneficios más temprana. La opción de un
método de diseño y de programación no es en sí misma un
factor determinante del tipo de ciclo de vida de desarrollo de
software que es apropiado. El uso de nueva tecnología en un
proyecto introduce un elemento de riesgo significativo. Una
forma iterativa de desarrollo, en particular una de la familia
de los métodos ágiles que se concentra en el desarrollo
temprano de software de trabajo real, es probable que sea la
mejor opción para manejar esta incertidumbre.
130. La documentación de un caso de negocio usado en un A. el final del ciclo de vida del sistema.
proyecto de desarrollo de TI debe ser retenida hasta:
Explicación:
A. el final del ciclo de vida del sistema. Un caso de negocio puede y debe ser usado durante todo el
B. que el proyecto sea aprobado. ciclo de vida del producto. Sirve como un ancla para el
C. la aceptación de usuario del sistema. nuevo personal (gerencia), ayuda a mantener la
D. que el sistema esté en producción. concentración y provee información valiosa sobre estimados
vs. datos reales. Las preguntas como ―por qué hacemos
eso,‖ ―cuál era la intención original‖ y ―cómo nos
desempeñamos en comparación con el plan‖ pueden ser
respondidas y se pueden aprender lecciones para desarrollar
futuros casos de negocio. Durante la fase de desarrollo de
un proyecto, uno debe siempre validar el caso de negocio,
ya que es un buen instrumento de administración. Después
de terminar un proyecto y de entrar a la producción, el caso
de negocio y toda la investigación hecha son fuentes
valiosas de información que deben ser guardadas para
futura referencia.
131. Durante una auditoría de aplicaciones, el auditor de SI A. Implementar procedimientos de copias de respaldo de
encuentra varios problemas relacionados con datos datos y de recuperación
corruptos en la base de datos. ¿Cuál de los siguientes es un
control correctivo que debe ser recomendado por el auditor Explicación:
de SI? Implementar procedimientos de copias de respaldo de datos
y de recuperación es un control correctivo, porque los
A. Implementar procedimientos de copias de respaldo de procedimientos de copia de respaldo y de recuperación se
datos y de recuperación pueden usar para deshacer los errores de base de datos.
B. Definir estándares y monitorear de cerca el cumplimiento. Definir o establecer estándares es un control preventivo, y
C. Asegurar que sólo el personal autorizado pueda actualizar monitorear el cumplimiento es un control de detección.
la base de datos. Asegurar que sólo el personal autorizado pueda actualizar la
D. Establecer controles para manejar los problemas base de datos es un control preventivo. Establecer controles
concurrentes de acceso. para manejar los problemas de acceso concurrente es un
control preventivo.
133. La explicación MÁS probable para el uso de applets en C. mejoran el desempeño tanto del servidor de la web como
una aplicación de Internet es que: de la red.
134. Un auditor de SI recomienda que se programe una B. verifique el formato del número ingresado luego lo
validación inicial a una aplicación de captación de coloque en la base de datos.
transacción de tarjeta de crédito. El proceso de validación
inicial es MÁS probable que: Explicación:
La validación inicial debería confirmar si la tarjeta es válida.
A. verifique para asegurar que el tipo de transacción es Esta validez se establece a través del número de tarjeta y
válido para el tipo de tarjeta. del PIN entrado por el usuario. Basado en esta validación
B. verifique el formato del número ingresado luego lo inicial, se procederán a todas las otras validaciones. Un
coloque en la base de datos. control de validación en la captación de datos asegurará que
C. asegure que la transacción ingresada esté dentro del los datos ingresados sean válidos (i.e., pueden ser
límite de crédito del tarjeta habiente. procesados por el sistema). Si los datos captados en la
D. confirme que la tarjeta no aparezca como perdida o validación inicial no son válidos (si el número de tarjeta o PIN
robada en el archivo maestro. no coincide con los de la base de datos), entonces la tarjeta
será rechazada o captada por los controles establecidos.
Una vez que se realiza la validación inicial, se realizarían las
otras validaciones específicas de la tarjeta y del tenedor de
la tarjeta.
135. ¿Cuál de las actividades siguientes debe realizar un B. Contar el número de errores de programa en un período
auditor de SI para evaluar la confiabilidad de un software? determinado de tiempo de ejecución.
136. Una ventaja de usar una metodología de abajo hacia C. los errores en los módulos críticos se detectan antes.
arriba frente a una de arriba hacia abajo para la prueba de
software es que: Explicación:
La metodología de abajo hacia arriba para la prueba de
A. los errores de interfaz se detectan antes. software comienza con la prueba de unidades atómicas,
B. la confianza en el sistema se logra antes. como por ejemplo programas y módulos, y trabaja hacia
C. los errores en los módulos críticos se detectan antes. arriba hasta que una prueba completa de sistema se haya
D. las principales funciones y procesamientos se prueban llevado a cabo Las ventajas de usar una metodología de
antes. abajo hacia arriba para la prueba de software es el hecho de
que no hay necesidad de fragmentos o pistas y los errores
en los módulos críticos se encuentran antes. Las otras
opciones en esta pregunta se refieren todas a las ventajas
de una metodología de arriba hacia abajo que sigue la ruta
opuesta, ya sea en orden de búsqueda primero a lo profundo
o primero a lo ancho.
137. Un auditor de SI que revisa una propuesta para la D. los productos sean compatibles con el OS actual o
adquisición de un software de aplicación debe asegurarse de previsto.
que:
Explicación:
A. el sistema operativo (OS) que se está usando es Las opciones A, B y C son incorrectas porque ninguna de
compatible con la plataforma de hardware existente ellas se relaciona con el área que está siendo auditada. Al
B. las actualizaciones planificadas del OS hayan sido revisar la aplicación propuesta, el auditor debe asegurarse
programadas para minimizar impactos negativos sobre las de que los productos a ser comprados sean compatibles con
necesidades de la compañía el OS actual o previsto. Con respecto a la opción A, si el OS
C. el OS tenga las versiones y actualizaciones más recientes se está utilizado actualmente, es compatible con la
D. los productos sean compatibles con el OS actual o plataforma de hardware existente, porque de lo contrario, no
previsto. operaría debidamente. En la opción B, las actualizaciones
del OS planificadas deben ser programadas para minimizar
los impactos negativos sobre la organización. Para la opción
C, el OS instalado debería estar equipado con las versiones
y las actualizaciones más recientes (con historia y
estabilidad suficientes).
138. ¿Cuál de los siguientes debería ser incluido en un C. Los protocolos necesarios de comunicación
estudio de factibilidad para un proyecto para implementar un
proceso de EDI? Explicación:
Los algoritmos de encripción, los acuerdos de terceros y los
A. El formato de algoritmo de encripción procedimientos de control interno son demasiado detallados
B. Los procedimientos detallados de control interno para esta etapa. Ellos serían solamente descritos y cualquier
C. Los protocolos necesarios de comunicación costo o implicaciones de ejecución mostrados. Los
D. El acuerdo propuesto de un tercero de confianza protocolos de comunicaciones deben ser incluidos, ya que
puede implicaciones significativas de costo si están
involucrados nuevo hardware y nuevo software, y las
implicaciones de riesgo si la tecnología es nueva para la
organización.
141. ¿Cuál de los siguientes tipos de controles está B. Totales de ejecución a ejecución
diseñado para proveer la capacidad de verificar datos y
registrar valores a través de las etapas de procesamiento de Explicación:
aplicación? Los totales de ejecución a ejecución proveen la capacidad
de verificar valores de datos a través de las etapas de
A. Verificación de rangos procesamiento de aplicaciones. La verificación total de
B. Totales de ejecución a ejecución ejecución a ejecución asegura que los datos leídos en la
C. Verificaciones de límite sobre sumas calculadas computadora sean aceptados y luego aplicados al proceso
D. Reportes de excepción de actualización.
142. La razón para establecer un alto, o punto de C. requerir que los cambios después de ese punto sean
congelación sobre el diseño de un nuevo sistema es: evaluados por su efectividad de costos.
143. Un auditor de SI que revisa un proyecto, en el que la A. se puede lograr un aumento en la calidad, incluso si
calidad es una preocupación importante, debe usar el disminuyera la asignación de recursos.
triángulo de gerencia de proyecto para explicar que:
Explicación:
A. se puede lograr un aumento en la calidad, incluso si Las tres dimensiones primarias de un proyecto están
disminuyera la asignación de recursos. determinadas por los entregables, los recursos asignados y
B. sólo se lograría un aumento de la calidad, si aumentara la el tiempo de entrega. El área del triángulo de administración
asignación de recursos. de proyecto, constituido por estas tres dimensiones, es fijo.
C. se puede lograr una disminución en el tiempo de entrega Dependiendo del grado de libertad, los cambios en una
incluso si se reduce la asignación de recursos. dimensión podrían compensarse cambiando o bien una o
D. solo se puede lograr una reducción en el tiempo de ambas dimensiones restantes. De ese modo, si se redujera
entrega si se reduce la calidad. la asignación de recursos se podría lograr un aumento en la
calidad si se aceptara una demora en el tiempo de entrega
del proyecto. El área del triángulo siempre sigue siendo
constante.
144. Cuando se planea agregar personal a tareas que B. La vía crítica para el proyecto
imponen limitaciones de tiempo en la duración de un
proyecto, ¿cuál de los siguientes debe revalidarse Explicación:
PRIMERO? Como agregar recursos puede cambiar la ruta de la vía
crítica, la vía crítica debe ser reevaluada para asegurar que
A. El presupuesto del proyecto los recursos adicionales efectivamente acortarán la duración
B. La vía crítica para el proyecto del proyecto. Dado que puede haber disponible tiempo
C. la longitud de las tareas restantes inactivo en algunas de las tareas que no están en la vía
D. El personal asignado a otras tareas crítica, los factores tales como el presupuesto de proyecto, la
longitud de las otras tareas y el personal asignado a éstas
pueden o no verse afectados.
145. ¿Cuál de los siguientes métodos de prueba es el MÁS D. De arriba hacia abajo
efectivo durante las etapas iniciales de creación de
prototipos? Explicación:
La prueba de arriba hacia abajo comienza con las principales
A. Sistema funciones del sistema y trabaja hacia abajo. El énfasis inicial
B. Paralelo cuando se usa la creación de prototipos es crear pantallas y
C. Volumen reportes, dando así forma a la mayoría de las características
D. De arriba hacia abajo del sistema propuesto en un corto período. La prueba del
volumen y del sistema se realiza durante las etapas finales
de prueba del sistema. La prueba paralela no es
imprescindible, en especial si no hay un viejos sistema con el
cual comparar.
149. Una organización tiene un entorno integrado de B. Expande los recursos de programación y ayudas
desarrollo (IDE), donde las bibliotecas de programa residen disponibles
en el servidor, pero la modificación /desarrollo y prueba se
hacen desde estaciones de trabajo de PCs. ¿Cuál de los Explicación:
siguientes sería una fortaleza de un entorno integrado de Una fortaleza de un entorno integrado de desarrollo es que
desarrollo? éste expande los recursos y ayudas de programación
disponibles. Las otras opciones son debilidades de IDE.
A. Controla la proliferación de múltiples versiones de
programas
B. Expande los recursos de programación y ayudas
disponibles
C. Aumenta el programa y la integridad de procesamiento
D. Previene los cambios válidos de ser sobre-escritos por
otros cambios
150. Cuando se transmite una instrucción de pago, ¿cuál de D. Un número de secuencia y un sello de tiempo
los siguientes ayudará a verificar que la instrucción no fue
duplicada? Explicación:
Cuando se transmiten datos, un número de secuencia y/o
A. El uso de un algoritmo criptográfico de hashing sello de tiempo integrado en el mensaje para hacerlo único
B. Cifrar el digesto de mensaje puede ser verificado por el destinatario para asegurar que el
C. Descifrar el digesto de mensaje mensaje no fue interceptado y reproducido. Esto se conoce
D. Un número de secuencia y un sello de tiempo como protección de replay y podría ser usado para verificar
que una instrucción de pago no fue duplicada. El uso de un
algoritmo criptográfico de hashing comparado con todo el
mensaje ayuda a lograr la integridad de los datos. Cifrar el
digesto de mensaje usando la llave privada del remitente,
que firma la firma digital del remitente en el documento
ayuda a autenticar la transacción. Cuando el mensaje es
descifrado por el destinatario, usando la llave pública del
remitente, esto asegura que el mensaje sólo podría haber
venido del remitente. Este proceso de autenticación del
remitente logra no repudio.
151. La responsabilidad y las líneas de reporte no pueden C. la propiedad es difícil de establecer cuando los recursos
siempre ser establecidas cuando se auditan sistemas son compartidos.
automatizados ya que:
Explicación:
A. el control diversificado hace irrelevante a la propiedad. A causa de la naturaleza diversificada tanto de datos como
B. el personal tradicionalmente cambia de puestos de trabajo de sistemas de aplicación, puede ser difícil establecer el
con mayor frecuencia. verdadero propietario de los datos y de las aplicaciones.
C. la propiedad es difícil de establecer cuando los recursos
son compartidos.
D. las funciones cambian con frecuencia en el rápido
desarrollo de la tecnología.
153. Una institución financiera está usando un sistema B. el nivel de experiencia y de capacidades contenidas en la
experto para administrar / gestionar límites de crédito. Un base de conocimientos
auditor de SI que revisa el sistema debería estar MAS
preocupado con: Explicación:
El nivel de experiencia o de inteligencia en la base de
A. la validación de las entradas de datos al sistema conocimientos es una preocupación clave para el auditor de
B. el nivel de experiencia y de capacidades contenidas en la SI ya que los errores de decisión, basado en una falta de
base de conocimientos conocimientos, podrían tener un impacto severo sobre la
C. Los criterios (settings) de control de acceso organización. Las opciones A, C y D no son tan importantes
D. Controles de procesamiento implementados como B.
154. Cuando un nuevo sistema va a ser implementado B. realizar una prueba de aceptación de usuario.
dentro de un corto marco de tiempo, es MÁS importante:
Explicación:
A. terminar de escribir los manuales de usuario. Sería más importante completar la prueba de aceptación de
B. realizar una prueba de aceptación de usuario. usuario para asegurar que el sistema, que va a ser
C. agregar aumentos de último minuto a las funcionalidades. implementado esté trabajando correctamente. La
D. asegurar que el código ha sido documentado y revisado. terminación de los manuales de usuario es similar al
desempeño de las revisiones de código. Si el tiempo es
corto, la última cosa que uno querría hacer es agregar otra
ampliación. Sería necesario congelar el código y completar
la prueba, luego hacer cualesquiera otros cambios como
futuras ampliaciones. Sería apropiado hacer documentar y
revisar el código, pero a menos que la prueba de aceptación
se haya completado, no hay garantía de que el sistema
trabajará correctamente y satisfará los requerimientos de
usuario.
155. Los precios se cargan sobre la base de una tarifa D. Una contraseña de segundo nivel debe ingresarse antes
estándar de archivo maestro que cambia a medida que de que se pueda procesar una excepción de precio.
aumenta el volumen. Cualesquiera excepciones deben ser
aprobadas manualmente. ¿Cuál es el control automatizado Explicación:
MÁS efectivo para ayudar a asegurar que todas las El control automatizado debería asegurar que el sistema
excepciones de precios sean aprobadas? procese las excepciones de precio sólo previa aprobación de
otro usuario que esté autorizado a aprobar dichas
A. Todas las sumas son mostradas de regreso al empleado excepciones. Una contraseña de segundo nivel aseguraría
de ingreso de datos, quien debe verificarlos visualmente. que las excepciones de precios fueran aprobadas por un
B. Los precios fuera del rango normal deberían ser usuario que haya sido autorizado por la gerencia. La
ingresados dos veces para verificar la corrección de los verificación visual de todas las sumas por un empleado de
datos ingresados. ingreso de datos no es un control, sino un requerimiento
C. El sistema pita cuando se ingresas excepciones de básico para cualquier ingreso de datos. Que el usuario
precios e imprime dichos incidentes en un reporte. pueda verificar visualmente lo que ha entrado es un control
D. Una contraseña de segundo nivel debe ingresarse antes manual básico. Ingresar dos veces las excepciones de
de que se pueda procesar una excepción de precio. precios, es un control de input. Esto no asegura que las
excepciones serán verificadas automáticamente por otro
usuario. El hecho que el sistema pite al ingresarse una
excepción de precios sólo es una advertencia al empleado
de ingreso de datos; no impide que se siga procesando.
Imprimir estas excepciones en un reporte es un control
(manual) de detección.
156. La edición/validación de datos entrados/capturados en D. sitio remoto de procesamiento antes de transmitir los
un sitio remoto sería realizada MÁS efectivamente en el: datos al sitio central de procesamiento.
158. Cuando se revisa un proyecto de desarrollo de sistema D. reportaría los riesgos asociados con la vía acelerada (fast
en la etapa de iniciación del proyecto, un auditor de SI tracking) al comité de dirección del proyecto.
encuentra que el equipo del proyecto está siguiendo el
manual de calidad de la organización. Para cumplir las Explicación:
fechas tope críticas, el equipo del proyecto propone acelerar Es importante que los procesos de calidad sea apropiados a
los procesos de validación y de verificación, comenzando los proyectos individuales Los intentos de aplicar procesos
algunos elementos antes de que se firme el producto inapropiados se encontrarán a menudo abandonados bajo
disponible previo. Bajo estas circunstancias, el auditor de SI presión. Un proceso de fast-tracking es una opción aceptable
MÁS probablemente: bajo ciertas circunstancias. Sin embargo, es importante que
el comité de dirección del proyecto sea informado sobre los
A. reportaría esto como un hallazgo crítico a la alta gerencia. riesgos asociados con esto (i.e., posibilidad de reelaboración
B. aceptaría que se pueden diferentes procesos de calidad si se requieren cambios).
para cada proyecto.
C. reportaría a la gerencia de SI que el equipo no siguió los
procedimientos de calidad.
D. reportaría los riesgos asociados con la vía acelerada (fast
tracking) al comité de dirección del proyecto.
159. La preocupación PRIMARIA de un auditor de SI cuando B. puede tener como consecuencia el acceso no autorizado
los desarrolladores de aplicaciones desean usar una copia a datos sensitivos.
del archivo de transacciones de producción de ayer para las
pruebas de volumen es que: Explicación:
A menos que los datos estén saneados, existe el riesgo de
A. es posible que los usuarios prefieran usar datos revelar datos sensitivos.
inventados para prueba.
B. puede tener como consecuencia el acceso no autorizado
a datos sensitivos.
C. es posible que el manejo de errores y las verificaciones
de credibilidad no sean probados plenamente.
D. necesariamente no se prueba la total funcionalidad del
nuevo proceso.
160. Las revisiones por instituciones pares para detectar los B. recorridos (walk-throughs) estructurados.
errores de software durante una actividad de desarrollo de
programa se denominan: Explicación:
Un recorrido estructurado es una herramienta de gerencia
A. técnicas de emulación. para mejorar la productividad. Los recorridos estructurados
B. recorridos (walk-throughs) estructurados. pueden detectar una interpretación incorrecta o impropia de
C. técnicas modulares de programa. las especificaciones del programa. Esto, a su vez, mejora la
D. construcción de programas de arriba hacia abajo. calidad de prueba y aceptación de éste por el sistema. Las
otras opciones son métodos o herramientas en el proceso
general de desarrollo de sistemas.
161. El fin primario de una prueba de sistema es: C. evaluar la funcionalidad del sistema.
162. Usar datos de prueba como parte de una prueba B. evaluación de sistema de caso base.
comprensiva de controles de programa en una forma
continuada en línea se denomina: Explicación:
La evaluación de sistema de caso base usa conjuntos de
A. datos /cubierta de prueba. datos de prueba desarrollados como parte de programas
B. evaluación de sistema de caso base. comprensivos de prueba. Se usa para verificar operaciones
C. instalación integrada de prueba (ITF). correctas de sistema antes de aceptación, así como también
D. simulacro paralelo. validación periódica. Los datos /cubierta de prueba simula
transacciones a través de programas reales. Un ITF crea
archivos ficticios en la base de datos con transacciones de
prueba procesadas simultáneamente con input vivo. El
simulacro paralelo es la producción de datos procesados
usando programas de computadora que simulan lógica de
programa de aplicación.
163. ¿Cuál de los siguientes describe MEJOR los objetivos B. Proveer un método de controlar los costos y cronogramas
de seguir una metodología estándar de desarrollo de y asegurar la comunicación entre los usuarios, los auditores
sistema? de SI, la gerencia y el personal de SI
164. Idealmente, las pruebas de stress sólo deberían C. En un entorno de prueba usando cargas de trabajo en
llevarse a cabo en los casos siguientes: vivo
166. Un auditor de SI que realiza una revisión de las A. del interfaz del sistema.
operaciones de EFT de una compañía minorista verificaría
que el límite de crédito de los clientes sea verificado antes Explicación:
que los fondos sean transferidos mediante la revisión del En el procesamiento de nivel de aplicación, el auditor de SI
EFT: debería revisar el interfaz entre el sistema de EFT sistema y
el sistema de aplicación que procesa las cuentas desde las
A. del interfaz del sistema. que se transfieren fondos. La opción B es incorrecta porque
B. la instalación de conmutador. un conmutador de EFT es la instalación que provee el enlace
C. procedimiento de generación de número de identificación de comunicación para todos los equipos de la red. Las
personal. opciones C y D son procedimientos que no ayudarían a
D. procedimientos de operación de respaldo. determinar si el límite de crédito del cliente es verificado
antes que los fondos sean transferidos.
167. El MAYOR beneficio de implementar un sistema A. captar los conocimientos y la experiencia de las personas
experto es: dentro de una organización
168. ¿Cuál de lo siguiente es MÁS crítico cuando se crean B. Datos que representan condiciones que se esperan en un
datos para probar la lógica de un sistema de aplicación procesamiento real
nuevo o modificado?
Explicación:
A. Una cantidad suficiente de datos para cada caso de Seleccionar el tipo correcto de datos es clave para probar un
prueba sistema de computación. Los datos no solo deben incluir
B. Datos que representan condiciones que se esperan en un datos válidos e inválidos sino que deben ser representativos
procesamiento real del procesamiento real. La calidad es más importante que la
C. Terminar la prueba en el tiempo programado cantidad. Es más importante tener datos adecuados de
D. Una muestra al azar de datos reales prueba que realizar la prueba en el tiempo programado. Es
improbable que una muestra al azar de datos reales cubra
todas las condiciones de prueba y provea una
representación razonable de datos reales.
169. Durante la auditoría de un paquete de software D. asegurarse de que el procedimiento había sido aprobado.
adquirido, el auditor de SI se enteró de que la compra del
software se basó en información obtenida a través de la Explicación:
Internet, en lugar de basarse en respuestas a una solicitud En el caso de una desviación de los procedimientos
de propuesta (RFP). El auditor de SI debe PRIMERO: predefinidos, el auditor de SI debe primero asegurarse de
que el procedimiento seguido para adquirir el software es
A. probar el software para ver su compatibilidad con el consistente con los objetivos del negocio y ha sido aprobado
hardware existente. por las autoridades apropiadas. Las otras opciones no son
B. realizar un análisis de brecha (gap analysis.) las primeras acciones que el auditor de SI debería
C. revisar la política de concesión. emprender. Ellas son pasos que pueden o no ser dados
D. asegurarse de que el procedimiento había sido aprobado. después de determinar que el procedimiento usado para
adquirir el software había sido aprobado.
170. Funcionalidad es una característica asociada con A. existencia de un conjunto de funciones y sus propiedades
evaluar la calidad de los productos de software durante todo especificadas.
su ciclo de vida, y se describe MEJOR como el conjunto de
atributos que recaen sobre: Explicación:
Funcionalidad es el conjunto de atributos que recae sobre la
A. existencia de un conjunto de funciones y sus propiedades existencia de un conjunto de funciones y sus propiedades
especificadas. específicas. Las funciones son las que satisfacen las
B. capacidad del software de ser transferido de un ambiente necesidades establecidas o implícitas. La opción B se refiere
a otro. la portabilidad, la opción C se refiere a confiabilidad y la
C. capacidad del software de mantener su nivel de opción D se refiere a eficiencia.
desempeño bajo condiciones establecidas.
D. relación entre el desempeño del software y la cantidad de
recursos usados.
171. ¿Cuál de los siguientes es MÁS efectivo para controlar C. Obtener la aprobación del usuario de los cambios de
el mantenimiento de aplicaciones? programa
173. ¿Cuál de los siguientes es una fortaleza de la técnica A. considera diferentes escenarios para planear y controlar
de revisión de evaluación de programas (PERT) sobre otras proyectos.
técnicas? PERT:
Explicación:
A. considera diferentes escenarios para planear y controlar PERT considera diferentes escenarios para planear y
proyectos. controlar proyectos. Estimados de tres veces, optimistas,
B. permite que el usuario entre parámetros de programa y de pesimistas, y muy probablemente se usan para crear un
sistema. nivel de incertidumbre en la estimación del tiempo para las
C. prueba con exactitud los procesos de mantenimiento de actividades individuales.
sistema.
D. estima los costos de los proyectos de sistema.