DOMINIO 3
2. Las fases y los productos disponibles de un proyecto de
ciclo de vida de desarrollo de sistemas (SDLC) deberían ser
determinadas:
A. durante las etapas iniciales de planeación del proyecto.
B. después de efectuarse una planeación anticipada, pero
antes de que el trabajo haya comenzado.
C. a través de las etapas del trabajo basadas en riesgos y
exposiciones.
D. sólo después de que se hayan identificado todos los
riesgos y exposiciones y que el auditor de SI haya
recomendado los controles apropiados.
3. ¿Cuál de los siguientes es un control para compensar que
un programador tenga acceso a datos de producción de
cuentas por pagar?
A. Controles de procesamiento como por ejemplo
verificación de rangos y ediciones lógicas
B. Revisar reportes de cuentas por pagar de output por
ingreso de datos
C. Revisar reportes producidos por sistema en busca de
cheques por una suma declarada
D. Hacer que el supervisor de cuentas por pagar haga
coincidir todos los cheques con las facturas aprobadas
4. A las unidades de negocio les preocupa el desempeño
(performance) de un sistema recién implementado. ¿cuál de
los siguientes recomendaría el auditor de SI?
A. Desarrollar una línea base y monitorear el uso del sistema
B. Definir procedimientos alternos de procesamiento
C. Preparar el manual de mantenimiento
D. Implementar los cambios que los usuarios han sugerido
5. La información para detectar input no autorizado
proveniente de una terminal sería provista MEJOR por:
A. un impreso de registro de consola.
B. el diario de transacciones.
C. un listado automatizado de archivos en suspenso.
D. un reporte de error de usuario.
A. durante las etapas iniciales de planeación del proyecto.
Explicación:
Es extremadamente importante que el proyecto según
planeado debidamente y que las etapas específicas y los
productos disponibles sean identificados durante las
primeras etapas del proyecto.
D. Hacer que el supervisor de cuentas por pagar haga
coincidir todos los cheques con las facturas aprobadas
Explicación:
Para asegurar que el programador no pudo hacer generar un
cheque, sería necesario que alguien confirmara todos los
cheques generados por el sistema. Las verificaciones de
rango y lógicas podrían fácilmente ser evadidas por un
programador ya que son exclusivas de los controles que han
sido integrados al sistema. La revisión de los reportes de
cuentas por pagar por ingreso de datos solamente
identificaría los cambios que podrían haberse efectuado al
input de datos. No identificaría la información que podría
haber sido cambiada en los archivos maestros. Revisar los
reportes en busca de cheques sobre una cierta suma no
permitiría la identificación de ningún cheque por valor bajo
no autorizado ni atraparía alteraciones a los mismos
cheques reales.
A. Desarrollar una línea base y monitorear el uso del sistema
Explicación:
El auditor de SI recomienda el desarrollo de una línea base
de desempeño/performancia y monitorea el
desempeño/performancia del sistema contra la línea base
para desarrollar datos empíricos sobre los cuales se pueden
tomar decisiones para modificar el sistema. Los
procedimientos de procesamiento alterno y un manual de
mantenimiento no alterarán el desempeño/performancia de
un sistema. Implementar cambios sin conocer la o las
causas del desempeño/performancia insuficiente percibido,
puede no tener como consecuencia un sistema más
eficiente.
B. el diario de transacciones.
Explicación:
El diario de transacciones registraría toda la actividad de
transacciones, que luego podría ser comparada con los
documentos fuente autorizados para identificar cualquier
input no autorizado. Un impreso de registro de consola no es
lo mejor porque no registraría actividad proveniente de una
terminal específica. Un listado automatizado de archivos en

6. Los reconocimientos funcionales se usan:
A. como una pista de auditoría para las Transacciones de
EDI.
B. describir funcionalmente el departamento de SI.
C. documentar las funciones y responsabilidades del
usuario.
D. como una descripción funcional de software de aplicación.
7. ¿Cuál de las siguientes situaciones aumentaría la
probabilidad de fraude?
A. Los programadores de aplicaciones están implementando
cambios a los programas de producción
B. Los programadores de aplicaciones están implementando
cambios a los programas de prueba
C. El personal de soporte de operaciones está
implementando cambios a los cronogramas de lotes
D. Los administradores de base de datos están
implementando cambios a las estructuras de datos
8. Durante la prueba de unidad, la estrategia de prueba
aplicada es de:
A. caja negra.
B. caja blanca.
C. abajo hacia arriba.
D. arriba hacia abajo.
9. El impacto de EDI sobre los controles internos será:
A. que existirán menos oportunidades para revisar y
suspenso enumeraría solamente la actividad de
transacciones donde ocurrió un error de edición, y el reporte
de error de usuario enumeraría solamente input que tuvo
como consecuencia un error de edición.
A. como una pista de auditoría para las Transacciones de
EDI.
Explicación:
Los reconocimientos funcionales son transacciones estándar
de EDI que dicen a los socios comerciales que sus
documentos electrónicos fueron recibidos. Diferentes tipos
de reconocimientos funcionales provee diferentes niveles de
detalle y por lo tanto pueden actuar una pista de auditoría
para Transacciones de EDI. Las otras opciones no son
relevantes para la descripción de reconocimientos
funcionales.
A. Los programadores de aplicaciones están implementando
cambios a los programas de producción
Explicación:
Los programas de producción se usan para procesar los
datos reales y corrientes de la empresa. Es imperativo
asegurar que los controles de los cambios a los programas
de producción sean tan estrictos como para los programas
originales. La falta de control en esta área podría tener como
resultado que los programas de aplicación sean modificados
de manera que manipulen los datos. A los programadores de
aplicaciones se les exige que implementen cambios en los
programas de prueba. Estos son usados únicamente en el
desarrollo, y no impactan directamente el procesamiento en
vivo de los datos. El personal de soporte de operaciones que
implementa cambios a los cronogramas de lotes sólo
afectará la programación de los lotes. Esto no afecta los
datos vivos. A los administradores de base de datos se les
exige que implementen cambios a las estructuras de datos.
Esto se requiere para que la reorganización de la base de
datos permita adiciones, modificaciones eliminación de
campos o de tablas en la base de datos. La probabilidad de
fraude a causa de dichos cambios es remota ya que estos
cambios afectan los datos futuros y todos los campos
relacionados para todos los registros en la base de datos.
Por lo tanto, no es viable hacer cambios a las estructuras de
datos.
B. caja blanca.
Explicación:
La prueba de caja blanca examina la estructura interna de un
módulo. Un programador debe ejecutar esta prueba para
cada módulo antes de integrar el módulo con otros. La
prueba de caja negra se concentra en los requerimientos
funcionales y no considera la estructura de control del
módulo. Las opciones C y D no son correctas porque estas
pruebas requieren que varios módulos hayan ya sido
ensamblados y probados.
A. que existirán menos oportunidades para revisar y
autorizar.
autorizar.
B. una autenticación inherente.
C. una distribución apropiada de las Transacciones de EDI
mientras están en poder de terceros.
D. que la gerencia de IPF tendrá mayores responsabilidades
de controlar el centro de datos.
10. ¿Cuál de los siguientes ayudaría a asegurar la
portabilidad de una aplicación conectada a una base de
datos?
A. la verificación de los procedimientos de importación y
exportación de base de datos
B. el uso de un lenguaje estructurado de pregunta (SQL)
C. el análisis de los procedimientos /disparadores (triggers)
almacenados
D. la sincronización del modelo entidad-relación con el
esquema físico de la base de datos
11. Una empresa de manufactura quiere automatizar su
sistema de procesamiento de facturas y pagos con sus
proveedores. Los requerimientos establecen que el sistema
de alta integridad requerirá considerablemente menos
tiempo para la revisión y la autorización. El sistema debería
aún ser capaz de identificar rápidamente los errores que
requieran seguimiento. ¿Cuál de los siguientes enfoques es
el MÁS adecuado para alcanzar estos requerimientos?
A. Establecer un sistema interconectado de redes de
servidores de clientes con los proveedores para una mayor
eficiencia
B. Contratar por outsourcing la función, a una empresa que
se especialice en el procesamiento automatizado de pagos y
cuentas por cobrar /facturas
C. Establecer un sistema de intercambio electrónico de datos
(EDI, siglas de los términos en inglés) de documentos de
negocios y de transacciones con los proveedores clave, de
computadora a computadora, en un formato estándar
D. Hacer un trabajo de reingeniería del procesamiento
existente y rediseñar el sistema existente
12. El propósito de los programas de depuración es:
A. generar datos aleatorios que puedan ser usados para
probar los programas antes de implementarlos.
B. proteger los cambios válidos de que sean sobreescritos
Explicación:
EDI promueve un ambiente sin papeles más eficiente, pero
al mismo tiempo, menos intervención humana le hace más
difícil revisar y autorizar. La opción B es incorrecta ya que
como la interacción entre las partes es electrónica no hay
una autenticación inherente ocurriendo. Los datos
computarizados pueden parecer los mismos
independientemente de la fuente y no incluyen ningún
elemento humano o firma que los distinga. La opción C es
incorrecta porque este es un riesgo de seguridad asociado
con EDI. La opción D es incorrecta porque hay relativamente
pocos, si hubiera alguno, controles adicionales de centro de
datos asociados con la implementación de aplicaciones de
EDI. En vez de ello, será necesario que se ejerza más
control por parte del sistema de aplicación del usuario para
reemplazar los controles manuales, como por ejemplo
revisiones de documentos del sitio. Será necesario poner
más énfasis sobre el control sobre la transmisión de datos
(controles de gerencia de red).
B. el uso de un lenguaje estructurado de pregunta (SQL)
Explicación:
El uso de lenguaje estructurado de pregunta (SQL) facilita la
portabilidad. La verificación de procedimientos de
importación y exportación con otros sistemas asegura mejor
interfaz con otros sistemas, analizar los
procedimientos/triggers almacenados asegura el
acceso/desempeño apropiado, y revisar el diseño, el modelo
entidad-relación, todos serán de ayuda pero no contribuyen
a la portabilidad de una aplicación que conecta a una base
de datos.
C. Establecer un sistema de intercambio electrónico de datos
(EDI, siglas de los términos en inglés) de documentos de
negocios y de transacciones con los proveedores clave, de
computadora a computadora, en un formato estándar
Explicación:
EDI es la mejor respuesta. Implementado debidamente (por
ejemplo, contratos con normas para transacciones entre los
socios comerciales, controles sobre los mecanismos de
seguridad de la red en conjunto con los controles de
aplicación) EDI se adecúa mejor para identificar y dar
seguimiento a los errores más rápidamente dadas las
reducidas oportunidades de revisión y de autorización.
D. asegurar que las terminaciones anormales y los errores
de codificación sean detectados y corregidos.
Explicación:
El propósito de los programas de depuración es asegurar
por otros cambios durante la programación.
C. definir el desarrollo del programa y los costos de
mantenimiento a ser incluidos en el estudio de factibilidad.
D. asegurar que las terminaciones anormales y los errores
de codificación sean detectados y corregidos.
13. ¿Cuál de los siguientes es una ventaja de creación de
prototipos?
A. El sistema terminado tiene por lo general fuertes controles
internos.
B. Los sistemas de prototipo pueden proveer ahorro
significativo de tiempo y costo.
C. El control de cambio es a menudo menos complicado con
los sistemas de creación de prototipos.
D. Asegura que las funciones o extras no sean agregados al
sistema que se pretende.
14. La edición de validación de datos que compara los datos
de input con una tasa de ocurrencia es una verificación de:
A. límite.
B. razonabilidad.
C. rango.
D. validez.
15. ¿Cuál de las fases siguientes representa el punto óptimo
para que tenga lugar la línea base (baselining) del software?
A. Pruebas.
B. Diseño
C. Requerimientos
D. Desarrollo
16. ¿Cuál de los siguientes debe un auditor de SI revisar
para llegar a entender la efectividad de los controles sobre la
administración de múltiples proyectos?
A. Bases de datos de proyectos
B. Documentos de política
C. Base de datos de portafolio de proyecto
D. Organización de programas
que lar terminaciones anormales de programa y los errores
de codificación sean detectado y corregidos antes de que el
programa final vaya a producción. Hay herramientas
especiales, tales como los monitores de rutas lógicas,
depósitos provisionales de memoria y los analizadores de
output, para ayudar en los esfuerzos de depuración.
B. Los sistemas de prototipo pueden proveer ahorro
significativo de tiempo y costo.
Explicación:
Los sistemas de prototipo pueden proveer ahorro
significativo de tiempo y costo; sin embargo, también tienen
varias ventajas. Ellos tienen frecuentemente controles
internos deficientes, el control de cambio se vuelve mucho
más complicado y a menudo ello conduce a que se
agreguen al sistema funciones o extras que originalmente no
se deseaba incluir.
B. razonabilidad.
Explicación:
Una verificación de razonabilidad es una verificación de
edición, donde los datos de input son comparados con
límites razonables predeterminados o con tasas de
ocurrencia. Las verificaciones de límite verifican que los
datos no excedan una cantidad predeterminada. Las
verificaciones de rango verifican que los datos estén dentro
de un rango predeterminado de valores. Las verificaciones
de validez prueban la validez de los datos en conformidad
con criterios predeterminados.
B. Diseño
Explicación:
El baselining del software es el punto de corte en el diseño y
desarrollo de una aplicación, más allá de lo cual no deben
tener lugar cambios sin pasar procedimientos formales de
aprobación, y debe ser soportado por un análisis de impacto
de costo beneficio del negocio. El punto óptimo para que
ocurra el baselining del software es la fase de diseño.
C. Base de datos de portafolio de proyecto
Explicación:
Una base de datos de portafolio de proyectos es la base
para la administración de portafolio de proyectos. Incluye
datos de proyectos, como por ejemplo propietario,
cronogramas, objetivos, tipo de proyecto, estatus y costo. La
administración de portafolio de proyectos requiere reportes
de portafolio de proyectos específicos. Una base de datos de
proyecto puede contener lo anterior para un proyecto
específico y actualizaciones de diversos parámetros
pertenecientes al estatus corriente de ese solo proyecto. Los
documentos de política sobre administración de proyectos
fijan la dirección para el diseño, desarrollo, implementación y
monitoreo del proyecto. La organización de programas es el
equipo requerido (comité de seguimiento, aseguramiento de
la calidad, personal de sistemas, analista, programador,
soporte de hardware, etc.) para cumplir el objetivo de
entrega del proyecto.
17. ¿Cuál de las ediciones de validación de datos siguientes
podría ser usada por un banco, para asegurar la exactitud de
los números de cuentas bancarias asignados a clientes,
ayudando así a evitar la transposición y la trascripción de
errores?
A. Verificación de secuencia
B. Verificación de validez
C. Dígito de verificación (Check Digit)
D. Verificación de existencia.
18. El auditor de SI encuentra que un sistema en desarrollo
tiene 12 módulos vinculados (linked) y cada elemento de los
datos puede llevar hasta 10 campos de atributos definibles.
El sistema maneja varios millones de transacciones al año.
¿Cuál de estas técnicas podría el auditor de SI usar para
estimar el tamaño del esfuerzo de desarrollo?
A. La técnica de evaluación y revisión de programas (PERT).
B. Conteo de las líneas fuente del código (SLOC).
C. Análisis del punto de función.
D. Prueba de caja blanca (white box).
19. Un control que detecta errores de transmisión anexando
bits calculados al final de cada segmento de datos se conoce
como:
A. verificación de razonabilidad.
B. verificación de paridad.
C. verificación de redundancia.
D. dígitos de verificación.
20. Una organización que dona computadoras usadas debe
asegurarse que:
A. las computadoras no fueron usadas para almacenar datos
confidenciales.
B. se haya firmado un contrato de no divulgación.
C. los medios de almacenamiento de datos hayan sido
limpiados.
D. todos los datos hayan sido borrados.
C. Dígito de verificación (Check Digit)
Explicación:
Un dígito de verificación (Check digit) es un valor calculado
matemáticamente que se agrega a los datos para asegurar
que los datos originales no han sido alterados o que un valor
incorrecto, aunque aceptable, ha sustituido un valor correcto.
Esto ayuda a evitar los errores de transposición y de
trascripción. De ese modo, un dígito de verificación se puede
agregar a un número de cuenta para verificar exactitud. Las
verificaciones de secuencia aseguran que un número siga
secuencialmente y que cualquier número fuera de secuencia
o números de control duplicados sean rechazados o
marcados en un informe de excepción. Las verificaciones de
validez y las verificaciones de existencia verifican los datos
contra criterios predeterminados para asegurar la exactitud.
C. Análisis del punto de función.
Explicación:
El análisis de punto de función es un método indirecto para
medir el tamaño de una aplicación considerando el número y
la complejidad de sus entradas, salidas y archivos. Es útil
para evaluar aplicaciones complejas. PERT es una técnica
de administración /gestión de proyectos que ayuda tanto con
la planificación como con el control. SLOC da una medida
directa del tamaño del programa, pero no lo permite para la
complejidad que puede ser causada por tener módulos
múltiples vinculados y una variedad de entradas y salidas. La
prueba de caja blanca implica una revisión detallada del
comportamiento del código de programa, y es una técnica de
aseguramiento de la calidad adecuado para las aplicaciones
más sencillas durante las etapas de diseño y construcción
del desarrollo.
C. verificación de redundancia.
Explicación:
Una verificación de redundancia detecta errores de
transmisión anexando bits calculados al final de cada
segmento de datos. Una verificación de razonabilidad
compara datos con los límites predefinidos de razonabilidad
o con tasas de ocurrencia establecidas para los datos. Una
verificación de paridad es un control de hardware que
detecta errores de datos cuando los datos son leídos desde
una computadora a la otra, desde la memoria o durante
transmisión. Los dígitos de verificación detectan errores de
trasposición y de trascripción.
C. los medios de almacenamiento de datos hayan sido
limpiados.
Explicación:
para asegurar la confidencialidad de los datos de la
organización cuando se dispone de computadoras usadas, la
información almacenada en las computadoras no debe estar
disponible una vez que las computadoras estén fuera del
control de la organización. Destruir o limpiar los medios de
almacenamiento proveerá esta garantía. El siguiente mejor
método es asegurarse que las computadoras no fueron

21. Un auditor de SI que participa en la etapa de prueba de
un proyecto de desarrollo de software establece que los
módulos individuales se desempeñan correctamente. El
auditor de SI debe:
A. concluir que los módulos individuales operando como un
grupo serán correctos.
B. documentar la prueba como prueba positiva de que el
sistema puede producir los resultados deseados.
C. informar a la gerencia y recomendar una prueba
integrada.
D. proveer datos adicionales de prueba.
22. ¿Cuál de los siguientes es el primer paso en un proceso
de proyecto de reingeniería del negocio (BPR)?
A. Definir las áreas a ser revisadas
B. Desarrollar un plan de proyecto
C. Entender el proceso en revisión
D. Reingeniería y modernización del proceso en revisión
23. Una compañía de ventas al por menor instaló
recientemente software de clientes de almacenamiento de
datos en diferentes sitios geográficos. Debido a diferencias
de zonas de tiempo entre los sitios, las actualizaciones al
almacén no están sincronizadas. ¿Cuál de los siguientes
será MÁS afectado?
A. Disponibilidad de datos
B. Totalidad de datos
C. Redundancia de datos
D. Inexactitud de datos
24. ¿Cuál de los siguientes sería MÁS probable que
asegurase que los requerimientos del negocio se cumplan
durante el desarrollo de software?
A. Entrenamiento adecuado
B. Los programadores entienden claramente los procesos
del negocio
C. Documentación de las reglas del negocio
D. Participación temprana de los usuarios clave
25. Cuando se está implementando un paquete de software
de aplicación, ¿cuál de los siguientes representa el MAYOR
usadas para almacenar información confidencial. Un contrato
firmado de no divulgación no impedirá que los datos
sensitivos que estén en las computadoras donadas sean
recuperados. Eliminar los datos no los quita del
almacenamiento.
C. informar a la gerencia y recomendar una prueba
integrada.
Explicación:
Los módulos que han sido probados individualmente pueden
tener problemas de interfaz, causando efectos adversos
sobre otros módulos. Por lo tanto, la acción más apropiada
para el auditor de SI es recomendar a la gerencia que lleve a
cabo una prueba integrada, que demostrará si los módulos
trabajando juntos pueden producir el output deseado.
Ejecutar datos adicionales de prueba contra módulos
individuales no probará la capacidad de los módulos de
trabajar juntos.
A. Definir las áreas a ser revisadas
Explicación:
Sobre la base de la evaluación de todo el proceso del
negocio, definir correctamente las áreas a ser revisadas es
el primer paso en un Proyecto de BPR. Sobre la base de la
definición de las áreas a ser revisadas, se desarrolla el plan
del proyecto. Entender el proceso en revisión es importante,
pero el sujeto de la revisión debe estar definido primero. De
ahí en adelante, el proceso puede ser reestructurado,
modernizado, implementado y monitoreado en pos de un
mejoramiento continuo.
B. Totalidad de datos
Explicación:
Las actualizaciones no sincronizadas generalmente
causarán que la totalidad de los datos se vea afectada; por
ejemplo, los datos de ventas provenientes de un sitio no
coinciden con los costos incurridos en otro sitio.
D. Participación temprana de los usuarios clave
Explicación:
Los usuarios clave, como están familiarizados con las
necesidades cotidianas, son las personas que pueden
proveer los requerimientos para asegurar que la aplicación
desarrollada satisfará las necesidades del negocio. El
entrenamiento ayudaría para aprender cómo usar el sistema
pero no proveería los requerimientos del negocio. Las
opciones B y C son importantes; sin embargo, por ellas
mismas no aseguran que se cumplan los requerimientos.
C. Que los parámetros no estén fijados correctamente
riesgo?
A. Que las versiones múltiples de software no estén
controladas
B. Que los programas fuente no estén sincronizados con el
código de objeto
C. Que los parámetros no estén fijados correctamente
D. Errores de programación
26. Al planear un proyecto de desarrollo de software, ¿cuál
de los siguientes es lo MÁS difícil de determinar?
A. Tiempos inadecuados del proyecto
B. La ruta crítica del proyecto
C. Los requerimientos de tiempo y de recursos para las
tareas individuales
D. Las relaciones que impiden el inicio de una actividad
antes de que se realicen otras
27. El control de cambios para los sistemas de aplicación de
negocios que se están desarrollando usando prototipos
podría verse complicado por:
A. la naturaleza iterativa de la utilización de prototipos.
B. el ritmo rápido de las modificaciones en los
requerimientos y el diseño.
C. el énfasis sobre los informes y las pantallas.
D. la falta de herramientas integradas.
28. La base de conocimientos de un sistema experto que
usa cuestionarios para conducir al usuario a través de una
serie de opciones antes de llegar a una conclusión se
conoce como:
A. reglas.
B. árboles de decisión.
C. redes semánticas.
D. diagrama de flujo de datos.
29. ¿Cuál de lo siguiente es MÁS probable que ocurra
cuando un proyecto de desarrollo de sistema está en medio
de la fase de programación / codificación?
A. Pruebas de unidad
B. Pruebas de stress
C. Pruebas de regresión
D. Pruebas de aceptación
Explicación:
Los parámetros que no están fijados correctamente serían
de la mayor preocupación cuando se implementa un paquete
de software de aplicación. Las otras opciones, a pesar de ser
importantes, son una preocupación del proveedor, no de la
organización que está implementando el software mismo.
C. Los requerimientos de tiempo y de recursos para las
tareas individuales
Explicación:
El problema más difícil es estimar efectivamente el tiempo
inadecuado y /o los requerimientos de recursos de un
proyecto para las tareas individuales o las actividades de
desarrollo. Esto se hace por lo general a través de medidas
directas de software (líneas fuente SLOCK de código
orientadas a tamaño; KLOC-mil líneas de código) o medidas
indirectas de software (puntos de función-valores para el
número de inputs, outputs, averiguaciones de usuario;
número de archivos y de interfaces de usuario). Las otras
opciones son métodos y técnicas de administración de
proyecto empleados que dependen de la efectividad de
métodos usados para derivar las medidas correctas y
confiables de productividad de desarrollo y de desempeño
de software.
B. el ritmo rápido de las modificaciones en los
requerimientos y el diseño.
Explicación:
Los cambios en los requisitos y el diseño ocurren tan
rápidamente que ellos rara vez son documentados o
aprobados. Las opciones A, C y D son características de la
creación de prototipos, pero no tienen un efecto adverso
sobre el control de cambios.
B. árboles de decisión.
Explicación:
Los árboles de decisión usan cuestionarios para conducir al
usuario a través de una serie de opciones hasta que se llega
a una conclusión. Las reglas se refieren a la expresión de
conocimiento declarativo a través del uso de relaciones "si-
entonces". Las redes semánticas consisten en una gráfica en
la que los nodos representan objetos físicos o conceptuales
y los arcos describen la relación entre los nodos. Las redes
semánticas se parecen a un diagrama de flujo de datos y
hacen uso de un mecanismo de herencia para impedir la
duplicación de datos.
A. Pruebas de unidad
Explicación:
Durante la fase de programación, el equipo de desarrollo
debería tener instalados mecanismos para asegurar que la
codificación esté siendo desarrollada en conformidad con el
estrada y esté trabajando correctamente. Las pruebas de
unidad son elementos clave de ese proceso en que
aseguran que los programas individuales estén trabajando

30. ¿Cuál de los siguientes elementos es el MÁS crítico y
contribuye MÁS a la calidad de datos en un almacén de
datos?
A. Corrección de los datos fuente
B. Credibilidad de los datos fuente
C. Corrección del proceso de extracción
D. Corrección de los datos transformación
31. ¿Cuál de los siguientes es una debilidad de control que
puede poner en peligro un proyecto de reemplazo de
sistema?
A. El documento de iniciación del proyecto no ha sido
actualizado para reflejar cambios en el alcance del sistema.
B. Un análisis de brechas que compara la solución escogida
para la especificación original ha revelado un número de
cambios significativos en la funcionalidad.
C. El proyecto ha estado sujeto a un número de cambios en
las especificaciones de los requerimientos.
D. La organización ha decidido que no se requiere un comité
de seguimiento de proyecto.
32. ¿La falla en cuál de las siguientes etapas de prueba
tendría el MAYOR impacto sobre la implementación de
nuevo software de aplicación?
A. Prueba de sistema
B. Prueba de aceptación
C. Prueba de integración
D. Prueba de unidad
33. ¿Cuál de los elementos siguientes es una herramienta
de análisis dinámico para probar los módulos de software?
A. Prueba de caja negra
B. Verificación de escritorio
correctamente. Ellos serían por lo general soportados por
revisiones de código. Las pruebas de stress, pruebas de
regresión y pruebas de aceptación se llevarían a cabo por lo
general en las fases de desarrollo y de prueba. Como parte
del proceso de determinar el cumplimiento de los procesos
de calidad, los auditores de SI deberían verificar que se
lleven a cabo dichas revisiones.
A. Corrección de los datos fuente
Explicación:
La corrección de los datos fuente es un prerrequisito para la
calidad de los datos en un almacén de datos. La credibilidad
de los datos fuente es importante, los procesos correctos de
extracción son importantes y las rutinas correctas de
transformación son importantes, pero no cambiarían los
datos incorrectos en datos de calidad (correctos).
D. La organización ha decidido que no se requiere un comité
de seguimiento de proyecto.
Explicación:
Incluso en un proyecto pequeño, la falta de un comité de
seguimiento de proyecto representa la ausencia de un
control fundamental. El documento de iniciación del proyecto
capta el alcance y estructura inicial del proyecto, y no es
práctico mantenerlo actualizado, ya que los cambios al
proyecto pueden ser captados a través de procedimientos de
control de cambios y de las decisiones del comité. Un
análisis de brechas es un proceso que permite que las
diferencias sean identificadas y resueltas. Los cambios en el
alcance y en los requerimientos son riesgos significativos
que pueden tener un efecto significativo sobre el éxito del
proyecto; sin embargo, , ellos en si mismos, no son
debilidades de control. Ellos deberían ser controlados por
medio de procedimientos de control de cambios.
B. Prueba de aceptación
Explicación:
La prueba de aceptación es la etapa final antes de que el
software sea instalado y esté disponible para su uso. El
mayor impacto ocurriría si el software fallara en el nivel de
prueba de aceptación, ya que esto podría tener como
consecuencia demoras y excesos de costo. La prueba de
sistema es emprendida por el equipo de desarrolladores
para determinar si el software satisface los requerimientos
de usuario según las especificaciones. La prueba de
integración, prueba las unidades/módulos como un sistema
integrado y la prueba de unidad, prueba las unidades o
componentes individuales del software. Las pruebas de
sistema, integración y unidad son todas realizadas por los
desarrolladores en diversas etapas de desarrollo, y el
impacto de una falla es comparativamente menor para cada
una, que la falla en la etapa de prueba de aceptación.
A. Prueba de caja negra
Explicación:
Una prueba de caja negra es una técnica que se considera
como una herramienta de análisis dinámico para probar los
C. Recorrido estructurado
D. Diseño y código
34. Cuando se analiza la portabilidad de una aplicación de
base de datos, el auditor de SI debe verificar que:
A. se usa un lenguaje de consultas estructuradas (SQL).
B. existen procedimientos de importación y exportación de
información con otros sistemas.
C. se usan índices.
D. todas las entidades tienen un nombre significativo y llaves
primaria y extranjera identificadas.
35. ¿Cuál de los siguientes grupos debería asumir la
propiedad de un proyecto de desarrollo de sistemas y el
sistema resultante?
A. Gerencia de usuario
B. Alta gerencia
C. Comité de dirección de proyectos
D. Gerencia de desarrollo de sistemas
36. En un sistema de procesamiento de transacciones en
línea, la integridad de datos es mantenida asegurando que
una transacción sea o bien concluida en su totalidad o no lo
sea en absoluto. Este principio de integridad de datos se
conoce como:
A. aislamiento.
B. consistencia.
C. atomicidad.
D. durabilidad.
37. Para reducir la posibilidad de perder datos durante el
procesamiento, el PRIMER punto en el que se deberían
implementar los totales de control es:
A. durante la preparación de datos.
B. en tránsito a la computadora.
módulos de software. Durante la prueba de módulos de
software una prueba de caja negra trabaja primero en una
forma cohesiva como una sola unidad/entidad, constituida
por numerosos módulos y segundo, junto con los datos de
usuario que fluyen a través de los módulos de software. En
algunos casos esto impulsa el comportamiento del software.
En las opciones B, C y D, el software (diseño o código)
permanece estático y alguien sencillamente lo examina de
cerca aplicando su mente, sin activar realmente el software.
Es por esta razón que no se puede hacer referencia a estas
como herramientas de análisis dinámico.
A. se usa un lenguaje de consultas estructuradas (SQL).
Explicación:
El uso de un lenguaje de consultas estructuradas (SQL) es
un elemento clave para la portabilidad de la base de datos.
La importación y exportación de información con otros
sistemas es un objetivo de revisión de interfaces de base de
datos. El uso de un índice es un objetivo de una revisión de
acceso a base de datos, y el hecho de que todas las
entidades tengan un nombre significativo y llaves primaria y
extranjera identificadas es un objetivo de una revisión de
diseño de base de datos.
A. Gerencia de usuario
Explicación:
La gerencia de usuario asume la propiedad del proyecto y
del sistema resultante. Ellos deberían revisar y aprobar los
productos disponibles a medida que éstos son definidos y
realizados. La alta gerencia aprueba el proyecto y los
recursos que se necesitan para llevarlo a cabo. El comité de
dirección de proyectos provee la dirección general y es
responsable de monitorear los costos y los horarios. La
gerencia de desarrollo de sistemas provee soporte técnico.
C. atomicidad.
Explicación:
El principio de atomicidad requiere que una transacción sea
completada en su totalidad o no lo sea en absoluto. Si
ocurriera un error o interrupción, todos los cambios
efectuados hasta ese punto son retirados. La consistencia
asegura que todas las condiciones de integridad en la base
de datos sean mantenidas con cada transacción. El
aislamiento asegura que cada transacción sea aislada de
otras transacciones , y de ahí que, cada transacción sólo
tenga acceso a los datos que forman parte de un estado
consistente de base de datos. La durabilidad asegura que
cuando una transacción ha sido reportada de regreso a un
usuario como completa, los cambios resultantes a la base de
datos sobrevivirán las fallas posteriores de hardware o
software.
A. durante la preparación de datos.
Explicación:
Durante la preparación de datos es la mejor respuesta
porque establece control en el punto más temprano.
C. entre ejecuciones de programas relacionados de
computadora.
D. durante la devolución de los datos al departamento de
usuario.
38. Recientemente una compañía ha ampliado la capacidad
de su sistema de compras para incorporar transmisiones de
EDI. ¿Cuál de los siguientes controles se debería
implementar en el interfaz de EDI para proveer un mapeo
eficiente de datos?
A. Verificación de llave
B. Verificación uno a uno
C. Recálculos manuales
D. Reconocimientos funcionales
39. ¿Cuál de los siguientes asegura la totalidad y corrección
de los datos acumulados?
A. Procedimientos de control de procesamiento
B. Procedimientos de control de archivo de datos
C. Controles de output
D. Controles de aplicación
40. En un almacén de datos (data warehouse), la calidad de
datos se logra mediante la:
A. limpieza.
B. reestructuración.
C. credibilidad de datos fuente.
D. transformación.
41. Una compañía ha contratado una firma consultora
externa para implementar un sistema financiero comercial
para reemplazar su sistema existente desarrollado
localmente. Al revisar el método de desarrollo propuesto,
¿cuál de los siguientes sería de MAYOR preocupación?
A. La prueba de aceptación va a ser administrada por los
usuarios.
B. Un plan de calidad no es parte de los productos
contratados.
C. No todas las funciones de negocios estarán disponibles
en la implementación inicial.
D. Se está usando la creación de prototipos para confirmar
que el sistema satisface los requerimientos del negocio.
D. Reconocimientos funcionales
Explicación:
Actuando como una pista de auditoría para Transacciones
de EDI, los reconocimientos funcionales son uno de los
controles principales que se usan en el mapeo de datos.
Todas las otras opciones son controles manuales de input,
mientras que el mapeo de datos se ocupa de la integración
automática de datos en la compañía que recibe.
A. Procedimientos de control de procesamiento
Explicación:
Los controles de procesamiento aseguran la totalidad y
corrección de los datos acumulados, por ejemplo, edición y
totales de ejecución a ejecución. Los procedimientos de
control de archivo de datos aseguran que solamente ocurra
el procesamiento autorizado a los datos almacenados, por
ejemplo registros de transacción. Los controles de output
aseguran que los datos entregados a los usuarios sean
presentados, formateados y entregados en una forma
consistente y segura, por ejemplo distribución de reportes.
Los controles de aplicación son una terminología general
que comprende todos los tipos de controles usados en una
aplicación.
C. credibilidad de datos fuente.
Explicación:
En un sistema de almacén de datos la calidad de datos
depende de la calidad de la fuente que los origina. Las
opciones A, B y D se relacionan con la composición de un
almacén de datos y no afectan la calidad de los datos. La
reestructuración, transformación y limpieza se relacionan
todas con la reorganización de los datos existentes dentro de
la base de datos.
B. Un plan de calidad no es parte de los productos
contratados.
Explicación:
Un plan de calidad es un elemento esencial de todos los
proyectos. Es crítico que el proveedor contratado esté
obligado a presentar tal plan. El plan de calidad para el
contrato de desarrollo propuesto debería ser comprensivo y
abarcar todas las fases del desarrollo e incluir ¿cuáles
funciones del negocio serán incluidas y cuándo? La
aceptación es normalmente administrada por el área del
usuario, ya que ellos deben estar satisfechos de que el
nuevo sistema satisfará sus requerimientos. Si el sistema es
grande, un método de etapas integradas para implementar la
aplicación es un método razonable. La creación de
prototipos es un método válido para asegurar que el sistema
satisfará los requerimientos del negocio.
42. Una empresa ha establecido un comité de dirección para
supervisar su programa de negocios electrónicos. El comité
de dirección es MÁS probable que participe en:
A. la documentación de requerimientos.
B. el escalamiento de problemas del proyecto.
C. el diseño de controles de interfaz.
D. la especificación de los reportes.
43. La razón PRIMARIA para separar los ambientes de
prueba y de desarrollo es:
A. restringir el acceso a los sistemas que están en prueba.
B. segregar al personal del usuario y de desarrollo.
C. controlar la estabilidad del ambiente de prueba.
D. asegurar el acceso a los sistemas en desarrollo.
44. ¿Cuál de los siguientes es el MAYOR riesgo cuando se
está implementando un almacén de datos (data warehouse)?
A. Incremento en el tiempo de respuesta en los sistemas de
producción
B. Controles de acceso que no son adecuados para prevenir
la modificación de datos
C. Duplicación de datos
D. Datos que no están actualizados o no son actuales
45. Un programa de cálculo de impuestos mantiene varias
tasas de impuestos. El MEJOR control para asegurar que las
tasas de impuesto capturadas/incorporadas al programa
sean correctas es:
A. una revisión independiente de del listado de
transacciones.
B. una verificación de edición programada para impedir la
entrada de datos inválidos.
C. verificaciones programadas de razonabilidad con 20 por
ciento de rango de ingreso de datos.
D. una verificación visual de datos capturados por el
departamento de procesamiento.
46. La PRINCIPAL preocupación para un auditor de SI que
revisa un entorno CASE debería ser que el uso de CASE
automáticamente no:
A. tenga como resultado una captación correcta de los
B. el escalamiento de problemas del proyecto.
Explicación:
La función del comité de dirección es asegurar el éxito del
proyecto. Si hay factores o aspectos que potencialmente
podrían afectar los resultados planeados, el comité de
dirección debería escalarlos. Actividades tales como la
documentación de requerimientos, el diseño de los controles
de interfaz y la especificación de los reportes son
responsabilidad del equipo del proyecto.
C. controlar la estabilidad del ambiente de prueba.
Explicación:
El ambiente de prueba debe ser controlado y estable para
asegurar que los proyectos de desarrollo sean probados en
un ambiente realista que, hasta donde sea posible, refleje el
ambiente en vivo. La restricción del acceso a los sistemas de
prueba y de desarrollo puede lograrse fácilmente mediante
métodos normales de control de acceso, y la sola separación
de los ambientes no proveerá una segregación adecuada de
funciones. El auditor de SI debe estar consciente de los
beneficios de separar estos ambientes donde sea posible.
B. Controles de acceso que no son adecuados para prevenir
la modificación de datos
Explicación:
Una vez que los datos están en un almacén (warehouse), no
deben hacérsele ninguna modificación y los controles de
acceso deben estar instalados para prevenir la modificación
de datos. El incremento del tiempo de respuesta en los
sistemas de producción no es un riesgo, porque un almacén
de datos no tiene impacto sobre los datos de producción.
Basado en la replicación de datos, la duplicación de datos es
inherente en un almacén de datos. La transformación de
datos desde sistemas en producción (operational) a un
almacén de datos se hace a intervalos predefinidos, y como
tales, los datos no pueden ser actuales.
A. una revisión independiente de del listado de
transacciones.
Explicación:
Las tasas de impuesto representan datos críticos que serán
usados en numerosos cálculos y que deberían ser
verificados de manera independiente por alguien que no sea
la persona que los ingresa antes que ellos sean usados en el
procesamiento. Las opciones B y C son controles
programados que son útiles para impedir errores graves, es
decir, errores como por ejemplo un cero agregado o alfa en
lugar de un número. Una tabla de impuestos debe ser 100
por ciento correcta, no sólo legible. La opción D permitirá
que el personal de ingreso de datos verifique la corrección
del input, pero esto no es suficiente.
A. tenga como resultado una captación correcta de los
requisitos
Explicación:
La principal preocupación debería ser asegurar una
requisitos armonización de la aplicación con las necesidades del
B. asegure que los controles de aplicación deseables han negocio y con los requerimientos del usuario. Mientras que la
sido implementados utilización de CASE puede proveer herramientas para cubrir
C. produzca interfaces ergonómicos y fáciles de usar para esta fase inicial crucial, una interacción cooperativa usuario-
los usuarios analista siempre es necesaria. La opción B debería ser la
D. genere código eficiente siguiente preocupación. Si el sistema satisface las
necesidades del negocio y los requisitos de usuario también
debería incorporar todos los controles deseables. Los
controles tienen que ser especificados ya que CASE puede
solamente incorporar automáticamente ciertos controles, de
nivel más bien bajo (tales como tipo de datos de entrada,
e.g., fecha, esperada). CASE no generará (opción C)
automáticamente interfaces ergonómicos y fáciles de usar
para el usuario, sino que debería proveer herramientas para
una puesta a punto (tuning) fácil (y automáticamente
documentada). Las aplicaciones CASE (opción D)
generalmente se quedan cortas en la optimización del uso
de los recursos de hardware y de software, precisamente
porque ellos están diseñadas para optimizar otros
elementos, tales como esfuerzos o documentación de
desarrolladores.

47. Antes de implementar controles, la administración debe A. satisfacen un requerimiento al resolver un problema de
PRIMERO asegurarse de que los controles: riesgo.

A. satisfacen un requerimiento al resolver un problema de Explicación:

riesgo.
B. no reducen la productividad.
C. se basan en un análisis costo-beneficio.
D. son de detección o de corrección.
Cuando se diseñan los controles, es necesario considerar
todos los aspectos citados aquí anteriormente. En una
situación ideal, los controles que resuelven todos estos
aspectos serían los mejores controles. Realistamente, puede
no ser posible diseñarlos todos y es posible que el costo sea
prohibitivo, por lo tanto, es necesario considerar primero los
controles preventivos que atacan la causa de amenaza.

48. Un programador incluyó una rutina en una aplicación de D. caballo de Troya.

planilla/nómina para buscar su propio número de
planilla/nómina. Como consecuencia, si este número de
planilla/nómina no aparece durante la ejecución de la
planilla/nómina, una rutina generará y colocará números
aleatorios en cada cheque de pago. Esta rutina se conoce
como:
A. scavenging.
B. fuga de datos.
C. piggybacking.
D. caballo de Troya.
Explicación:
Un caballo de Troya es un código malicioso escondido en un
programa autorizado de computadora. El código escondido
será ejecutado cada vez que el programa autorizado sea
ejecutado. En este caso, mientras el número de
planilla/nómina del perpetrador sea parte del proceso de
planilla/nómina no ocurre nada, pero tan pronto el número de
planilla/nómina desaparece ocurre la devastación.

49. ¿Cuál de los siguientes ediciones de validación de datos B. Dígito de verificación

es efectiva para detectar los errores de trasposición y de
trascripción? Explicación:
Un dígito de verificación es un valor numérico que se calcula
A. Verificación de rango matemáticamente y que es anexado a los datos para
B. Dígito de verificación asegurar que los datos originales no hayan sido alterados o
C. Verificación de validez que se haya sustituido por un valor incorrecto pero válido.
D. Verificación de duplicación Este control es efectivo para detectar los errores de
trasposición y de trascripción. Una verificación de rango es
verificar que los datos coincidan con un rango
predeterminado de valores. Una verificación de validez se
programa verificando la validez de los datos en conformidad
con criterios predeterminados. En una verificación de
duplicación, las transacciones nuevas o frescas son

50. Cuando una organización ha terminado el proceso de
reingeniería del negocio (BPR) de todas sus operaciones
críticas, el auditor de SI es MÁS probable que se concentre
en una revisión de:
A. diagramas de flujo previos al proceso de BPR.
B. diagramas de flujo posterior al proceso de BPR.
C. Proyecto de Planes de BPR.
D. planes continuados de mejoramiento y monitoreo.
51. ¿Cuál de las siguientes es a menudo una ventaja de usar
creación de prototipos para el desarrollo de sistemas?
A. El sistema terminado tendrá controles adecuados.
B. El sistema tendrá una pista de seguridad/auditoría
adecuada.
C. Reduce el tiempo para el despliegue.
D. Es fácil de lograr control de cambios.
52. ¿Cuál de los siguientes es el propósito PRIMARIO para
llevar a cabo una prueba paralela?
A. Determinar si el sistema es eficiente en costos.
B. Permitir pruebas comprensivas de unidad y de sistema
C. Destacar los errores en los interfaces de programa con
los archivos.
D. Asegurar que el nuevo sistema satisfaga los
requerimientos del usuario.
53. ¿Cuál de los siguientes tipos de verificaciones de edición
de verificación de datos se usa para determinar si un campo
contiene datos, y no ceros o espacios en blanco?
A. Dígito de verificación
B. Verificación de existencia
C. Verificación de totalidad
D. Verificación de razonabilidad
54. ¿Cuál de las siguientes tareas ocurre durante la etapa de
investigación del proceso de benchmarking?
A. Los procesos críticos son identificados.
B. Los socios de benchmarking son visitados.
comparadas con los ingresos previamente para asegurar
que ya no estén en el sistema.
B. diagramas de flujo posterior al proceso de BPR.
Explicación:
La tarea de un auditor de SI es identificar y asegurar que se
hayan incorporado controles clave en el proceso de
reingeniería. La opción A es incorrecta porque un auditor de
SI debe revisar el proceso como está actualmente, no como
estaba en el pasado. Las opciones C y D son incorrectas
porque son pasos dentro de un Proyecto de BPR.
C. Reduce el tiempo para el despliegue.
Explicación:
La creación de prototipos es el proceso de crear sistemas a
través de ensayo y error controlado. Este método de
desarrollo de sistemas puede proveer a la organización
considerable tiempo y ahorro en costos. Concentrándose
principalmente en lo que el usuario quiere y ve, los
desarrolladores pueden pasar desapercibido alguno de los
controles que vienen del método tradicional de desarrollo de
sistemas; por lo tanto, un riesgo potencial es que el sistema
terminado tendrá controles insuficientes. En la creación de
prototipos, los cambios en los diseños y requerimientos
ocurren muy rápidamente y son rara vez documentados o
aprobados; por ello, el control de cambios se vuelve más
complicado con los sistemas creados con prototipos.
D. Asegurar que el nuevo sistema satisfaga los
requerimientos del usuario.
Explicación:
El propósito de la prueba paralela es asegurar que la de un
nuevo sistema satisfaga los requerimientos del usuario. Es
posible que la prueba paralela muestren que el viejo sistema
es, de hecho, mejor que el nuevo sistema, pero esta no es la
razón primaria. La prueba de unidad y de sistema se llevarán
a cabo antes de la prueba paralela. Los errores en los
interfaces de programa con los archivos serán probados
durante la prueba de sistema.
C. Verificación de totalidad
Explicación:
Una verificación de totalidad se usa para determinar si un
campo contiene datos y no ceros o espacios en blanco. Un
dígito de verificación es un digito calculado
matemáticamente para asegurar que los datos originales no
fueron alterados. Una verificación de existencia verifica
también los datos ingresados para acuerdo en criterios
predeterminados. Una verificación de razonabilidad coincide
con el input a los límites razonables predeterminados o tasas
de ocurrencia.
D. Los socios de benchmarking son identificados.
Explicación:
Durante la etapa de investigación, el equipo recopila datos e
identifica a los socios del benchmarking. En la etapa de
C. Los hallazgos son traducidos en principios centrales.
D. Los socios de benchmarking son identificados.
55. Una compañía utiliza un banco para procesar su
planilla/nómina semanal. Los formularios de hojas de tiempo
y de ajuste de planilla/nómina (e.g., cambios de tarifa por
hora, terminaciones) son efectuados y entregados al banco,
el cual prepara los cheques y reporta para su distribución. La
asegurar MEJOR la corrección de los datos de
planilla/nómina:
A. los reportes de planilla/nómina deberían ser comparados
con los formularios de input.
B. la planilla/nómina bruta debería ser recalculada
manualmente.
C. los cheques deberían ser comparados con los formularios
de input.
D. los cheques deberían ser conciliados con los reportes de
output.
56. ¿Cuál de las siguientes tecnologías es una característica
de tecnología orientada a objetos que permite un grado
mejorado/ampliado de seguridad sobre los datos?
A. Herencia
B. Almacenamiento dinámico
C. Encapsulación
D. Polimorfismo
57. Una compañía ha implementado un nuevo sistema
cliente-servidor de planeación de empresas (ERP). Las
sucursales locales transmiten órdenes de clientes a una
instalación central de fabricación. ¿Cuál de los siguientes
aseguraría MEJOR que las órdenes sean ingresadas
correctamente y que se produzcan los productos
correspondientes?
A. Verificar la producción con las órdenes de cliente
B. Registrar todas las órdenes de cliente en el sistema ERP
C. Usar totales hash en el orden que transmite el proceso
D. Aprobar (supervisor de producción) órdenes antes de la
producción
58. Para hacer una transferencia electrónica de fondos
(EFT), un empleado ingresa el campo de cantidad y otro
empleado reingresa otra vez los mismos datos, antes de que
el dinero sea transferido. El control adoptado por la
organización en este caso es:
A. verificación de secuencia.
B. verificación de llave.
C. dígito de verificación.
D. verificación de totalidad.
planeación, el equipo identifica los procesos críticos a ser
marcados como referencia. La visita a los socios del
benchmarking se realiza en la etapa de observación. La
traducción de los hallazgos en principios centrales se realiza
durante la etapa de adaptación.
A. los reportes de planilla/nómina deberían ser comparados
con los formularios de input.
Explicación:
La mejor forma de confirmar la corrección de los datos,
cuando el input es suministrado por la compañía y el output
es generado por el banco, es verificar los datos ingresados
(formularios de input) con los resultados del input (reportes
de planilla/nómina). Por ello, comparar reportes de
planilla/nómina con formularios de input es el mejor
mecanismo para verificar la corrección de los datos.
Recalcular manualmente la planilla/nómina bruta sólo
verificaría si el procesamiento es correcto y no la exactitud
de los datos de input. Comparar los cheques con los
formularios de input no es factible ya que los cheques tienen
la información procesada y los formularios de input tienen los
datos de input. Conciliar los cheques con los reportes de
output sólo confirma que los cheques han sido emitidos
según los reportes de output.
C. Encapsulación
Explicación:
Encapsulación es una propiedad de los objetos a los que no
es posible tener acceso, ya sean propiedades o métodos,
que no han sido definidos previamente como públicos. Esto
significa que cualquier implementación del comportamiento
de un objeto no es accesible. Un objeto define una interfaz
de comunicación con el exterior y sólo se puede tener
acceso a lo que pertenezca a ese interfaz.
A. Verificar la producción con las órdenes de cliente
Explicación:
La verificación asegurará que las órdenes de producción
coincidan con las órdenes de cliente. El registro se puede
usar para detectar inexactitudes, pero en sí mismo no
garantiza un procesamiento exacto. Los totales hash
asegurarán la transmisión precisa de las órdenes, pero no el
procesamiento exacto centralmente. La aprobación de
supervisión de producción es un proceso manual que
consume tiempo que no garantiza un control apropiado.
B. verificación de llave.
Explicación:
La verificación de llave es un proceso en el que el ingreso de
la llave es repetido por una persona separada usando una
máquina que compara la entrada original con la entrada
repetida. La verificación de secuencia se refiere a la
continuidad en números seriales dentro del rango de
números en los documentos. Un dígito de verificación es un
valor numérico que ha sido calculado matemáticamente y

59. La gerencia de SI informa a un auditor de SI que la
organización ha alcanzado recientemente el nivel más alto
del modelo de madurez de capacidad de (CMM.) El proceso
de calidad de software MÁS recientemente agregado por la
organización es:
A. mejoramiento continuo.
B. metas de calidad cuantitativas.
C. procesos documentados.
D. procesos hechos a la medida para proyectos específicos.
60. Si un programa de aplicación es modificado y están
instalados procedimientos apropiados de mantenimiento de
sistema, ¿cuál de los siguientes se debería probar?
A. La integridad de la base de datos
B. Los controles de acceso para el programador de
aplicaciones
C. El programa completo, incluyendo cualesquiera sistemas
de interfaz
D. El segmento del programa que contenga el código
revisado
61. ¿Cuál de los siguientes es un riesgo de implementación
dentro del proceso sistemas de soporte de decisiones?
A. Control de gerencia
B. Dimensiones semiestructuradas
C. Incapacidad para especificar el propósito y los patrones
de uso
D. Cambios en los procesos de decisión
62. Probar la conexión de dos o más componentes de
sistema que pasan información desde un área a otra es:
A. Prueba piloto.
B. Prueba paralela.
C. Prueba de interfaz.
D. Prueba de regresión.
63. Un almacén de datos:
A. está orientado a objeto.
B. está orientado a sujeto.
que ha sido agregado a los datos para asegurar que los
datos originales no han sido alterados o que un valor
incorrecto pero válido ha sido sustituido. Las verificaciones
de totalidad aseguran que todos los caracteres requeridos
para un campo han sido ingresados.
A. mejoramiento continuo.
Explicación:
Una organización habría alcanzado el nivel más alto de
CMM de software en el nivel 5, optimización. Las metas de
calidad cuantitativas se pueden alcanzar en el nivel 4 y por
debajo de éste, los procesos documentados se hacen en el
nivel 3 y debajo de éste; y los procesos hechos a la medida
para proyectos específicos se pueden lograr en el nivel 3 o
por debajo de éste.
C. El programa completo, incluyendo cualesquiera sistemas
de interfaz
Explicación:
El programa completo con todas las interfaces necesita ser
probado para determinar el impacto total de un cambio al
código de programa. Por lo general, cuanto más complejo es
el programa, más pruebas se requieren.
C. Incapacidad para especificar el propósito y los patrones
de uso
Explicación:
La incapacidad para especificar el propósito y los patrones
de uso es un riesgo que los desarrolladores necesitan
anticipar mientras implementan un sistema de soporte de
decisiones (DSS). Las opciones A, B y D no son riesgos,
sino características de un DSS.
C. Prueba de interfaz.
Explicación:
La prueba de interfaz es una prueba de hardware o de
software que evalúa la conexión de dos o más componentes
que pasan información desde un área a otra. La prueba
piloto es una prueba preliminar que se concentra en
aspectos específicos o predeterminados de un sistema y no
está destinada para reemplazar otros métodos. La prueba
paralela es el proceso de alimentar datos de prueba a dos
sistemas—el sistema modificado y un sistema alternativo—y
comparar los resultados. La prueba de regresión es el
proceso de volver a ejecutar una porción de un escenario de
prueba o plan de prueba para asegurar que los cambios o
correcciones no han introducido nuevos errores. Los datos
usados en prueba de regresión son los mismos que los
datos usados en la prueba original.
B. está orientado a sujeto.
Explicación:
Los almacenes de datos están orientados a sujeto. El
C. es específico del departamento.
D. es una base de datos volátil.
64. En lugar de un sistema heredado, una organización está
implementando un nuevo sistema. ¿Cuál de las siguientes
prácticas de conversión crea el MAYOR riesgo?
A. Piloto
B. Paralelo
C. Corte Inmediato (Direct cut-over)
D. Por fases
65. ¿Cuál es el primer nivel de modelo de madurez de
capacidad de software (CMM) que incluye un proceso
estándar de desarrollo de software?
A. Inicial (nivel 1)
B. Repetible (nivel 2)
C. Definido (nivel 3)
D. Optimizante (nivel 5)
66. Un auditor de SI que evalúa la integridad de datos en un
entorno de sistema impulsado por transacciones debe
revisar la atomicidad para determinar si:
A. la base de datos sobrevive las fallas (de hardware y de
software).
B. cada transacción está separada de las otras
transacciones.
C. se mantienen las condiciones de integridad.
D. una transacción es finalizada o no, o una base de datos
está actualizada o no.
67. Durante la revisión de un proyecto de desarrollo basado
en la web, el auditor de SI se da cuenta que los estándares
de codificación no son ejecutados y que rara vez se llevan a
cabo revisiones de código. Los MAS probable es que esto
aumente la probabilidad de un exitoso:
A. desbordamiento del buffer.
B. Ataque de fuerza bruta.
C. ataque distribuido de negación de servicio.
D. ataque de Guerra de llamadas (war dialing).
almacén de datos está destinado a ayudar a tomar
decisiones cuando la o las funciones a ser afectadas por la
decisión pasan por todos los departamentos dentro de una
organización. No son volátiles. La orientación a objeto y la
volatilidad son irrelevantes para un sistema de almacén de
datos.
C. Corte Inmediato (Direct cut-over)
Explicación:
Un corte inmediato (Direct cut-over) implica cambiar al nuevo
sistema inmediatamente, por lo general sin la capacidad
para revertir al viejo sistema en el caso de problemas. Todas
las otras alternativas se hacen gradualmente y de ese modo
proveen mayor recuperabilidad y son por lo tanto menos
riesgosas.
C. Definido (nivel 3)
Explicación:
Basado en la lecciones aprendidas del nivel 1 (inicial) y el
nivel 2 (repetible), nivel 3 (definido) inicia documentación
para proveer procesos estandarizados de software en toda la
organización. El nivel 1 (inicial) se caracteriza como ad hoc,
donde la confianza está puesta en el personal clave y los
procesos no están documentados. Después del nivel 1, el
nivel 2 (repetible) crea un ambiente de aprendizaje donde los
procesos disciplinados se pueden repetir con éxito en otros
proyectos de tamaño y alcance similar. La capacidad de
controlar cuantitativamente proyectos de software surge al
alcanzar el nivel final (5) de CMM. Al alcanzar este nivel, una
organización está en una posición de usar estrategias de
mejoramiento continuo del proceso al aplicar soluciones
innovadoras y tecnologías de punta a sus proyectos de
software.
D. una transacción es finalizada o no, o una base de datos
está actualizada o no.
Explicación:
Este concepto está incluido en el principio de atomicidad,
integridad, aislamiento y durabilidad (ACID). Durabilidad
significa que la base de datos sobrevive a las fallas (de
hardware o de software). Aislamiento significa que cada
transacción está separada de las otras transacciones.
Consistencia significa que se mantienen las condiciones de
integridad.
A. desbordamiento del buffer.
Explicación:
Un código escrito de manera deficiente, en especial en
aplicaciones basadas en la web, a menudo es explotado por
hackers que usan técnicas de desbordamiento de buffer. Un
ataque de fuerza bruta se usa para quebrar las contraseñas.
Un ataque distribuido de negación de servicio inunda su
objetivo con numerosos paquetes, para impedirle responder
a las solicitudes legítimas. La guerra de llamadas usa
herramientas de escaneo de módem para penetrar en los
PBXs.
68. Una compañía emprende un proyecto de rediseño de un
proceso de negocio (BPR) en soporte de un método de
mercadeo nuevo y directo para sus clientes. ¿Cuál de los
siguientes sería la principal preocupación del auditor de SI
respecto al nuevo proceso?
A. ¿Están los controles clave establecidos para proteger los
activos y los recursos de información?
B. ¿Resuelve los requerimientos del cliente corporativo?
C. ¿El sistema cumple las metas de
desempeño/performancia (tiempo y recursos)?
D. ¿Se han identificado los propietarios que serán
responsables del proceso?
69. Cuando dos o más sistemas están integrados, los
controles de input/output deben ser revisados por el auditor
de SI en los:
A. sistemas que reciben el output de otros sistemas.
B. sistemas que envían output a otros sistemas.
C. sistemas que envían y reciben datos.
D. interfaces entre los dos sistemas.
70. ¿Cuál de los siguientes asegurará MEJOR el desarrollo
exitoso de las aplicaciones del negocio offshore?
A. Prácticas estrictas de manejo de contrato
B. Especificaciones aplicadas de manera detallada y
correcta
C. Conocimiento de las diferencias culturales y políticas
D. Revisiones posteriores a la implementación
71. Un software de buena calidad de logra MEJOR:
A. por medio de una prueba exhaustiva.
B. encontrando y corrigiendo rápidamente los errores de
programación.
C. determinando la cantidad de pruebas para el tiempo y el
presupuesto disponible.
D. aplicando procesos bien definidos y revisiones
estructuradas en todo el proyecto.
72. Un auditor de SI que ha descubierto transacciones no
autorizadas durante una revisión de Transacciones de EDI
A. ¿Están los controles clave establecidos para proteger los
activos y los recursos de información?
Explicación:
El equipo de auditoría debe defender la inclusión de los
controles clave y verificar que los controles estén
establecidos antes de implementar el nuevo proceso. Las
opciones B, C y D son objetivos que deben ser logrados por
el proceso de BPR, pero no son la preocupación primaria del
auditor.
C. sistemas que envían y reciben datos.
Explicación:
Ambos sistemas deben ser revisados para verificar si tienen
controles de input/output ya que el output para un sistema es
el input para el otro.
B. Especificaciones aplicadas de manera detallada y
correcta
Explicación:
Cuando se trata de operaciones offshore, es esencial que se
creen especificaciones detalladas. Las diferencias de idioma
y una falta de interacción entre los desarrolladores y los
usuarios finales distantes físicamente podrían crear brechas
en la comunicación en las cuales los supuestos y las
modificaciones probablemente no se comuniquen de manera
adecuada. Las prácticas de administración de contrato, las
diferencias culturales y políticas, y las revisiones posteriores
a la implementación, aunque importantes, no son tan
cruciales para el éxito del proyecto.
D. aplicando procesos bien definidos y revisiones
estructuradas en todo el proyecto.
Explicación:
La prueba puede señalar las deficiencias de calidad. Sin
embargo, por sí misma no puede corregirlas. La acción
correctiva en este punto en el proyecto es cara. Mientras que
es necesario detectar y corregir los errores de programa, la
principal ganancia viene de detectar los defectos a medida
que éstos ocurren en las fases nuevas, tales como los
requerimientos y el diseño. La opción C es representativa del
error más común cuando se aplica la gerencia de calidad a
un proyecto de software. Se ve como un gasto general, en
cambio, la eliminación temprana de defectos tiene una
retribución sustancial. La reelaboración es en realidad el
impulsador más grande de costos en la mayoría de los
proyectos de software. La opción D representa el núcleo de
lograr la calidad, es decir, seguir un procesos consistente
bien definido y revisando efectivamente los productos
disponibles clave.
C. las técnicas de autenticación para enviar y recibir
mensajes.
es probable que recomiende mejorar:
A. los acuerdos de los socios comerciales de EDI.
B. los controles físicos para las terminales.
C. las técnicas de autenticación para enviar y recibir
mensajes.
D. los procedimientos de control de cambio de programa.
73. Cuando se está auditando una conversión de un sistema
de contabilidad, un auditor de SI debe verificar la existencia
de una verificación de:
A. los totales de control.
B. validación.
C. integridad.
D. límite.
74. Después de descubrir una vulnerabilidad de seguridad
en una aplicación de terceros que tiene interfaces con varios
sistemas externos, se aplica un parche (patch) a un número
significativo de módulos. ¿Cuál de las pruebas siguientes
debe ser recomendada por un auditor de SI?
A. Stress
B. Caja negra (Black box)
C. Interfaz.
D. Sistema
75. La razón más común para que los sistemas dejen de
satisfacer las necesidades de los usuarios es que:
A. las necesidades del usuario están cambiando
constantemente.
B. el crecimiento de los requerimientos del usuario fue
pronosticado incorrectamente.
C. el sistema de hardware limita el número de usuarios
concurrentes.
D. la participación del usuario para definir los requerimientos
del sistema era inadecuada.
76. Al final de la etapa de prueba de desarrollo de software,
un auditor de SI observa que un error intermitente de
software no ha sido corregido. No se ha tomado ninguna
acción para resolver el error. El auditor de SI debe:
A. reportar el error como un hallazgo y dejar la exploración
adicional a discreción del auditado.
B. tratar de resolver el error.
C. recomendar que se escale una resolución de problema.
D. ignorar el error, ya que no es posible obtener evidencia
objetiva para el error de software.
77. ¿Cuál de los siguientes representa el MAYOR riesgo
potencial en un ambiente de EDI?
A. Autorización de transacción
Explicación:
Las técnicas de autenticación para enviar y recibir mensajes
tienen una función clave para minimizar la exposición a las
transacciones no autorizadas. Los acuerdos de socios
comerciales de EDI minimizarían la exposición a los
problemas legales.
A. los totales de control.
Explicación:
Cuadrando / Chequeando un total de control de todas las
cuentas antes y después de la conversión asegurará al
auditor de SI que todos los datos de importes han sido
tomados en el nuevo sistema. La verificación posterior uno a
uno por los usuarios asegurará que todos los datos hayan
sido convertidos. Las otras opciones son incorrectas. Las
verificaciones de validación, las verificaciones de integridad y
las verificaciones de límite se aplicarían en el punto en que
los datos son /fueron introducidos originalmente al sistema
de contabilidad.
D. Sistema
Explicación:
Dada la extensión del parche y sus interfaces con sistemas
externos, la prueba de sistema es la más apropiada. La
prueba de interfaz no es suficiente, y las pruebas de stress o
de black box son inadecuadas en estas circunstancias.
D. la participación del usuario para definir los requerimientos
del sistema era inadecuada.
Explicación:
La falta de participación adecuada del usuario, en especial
en la fase de requerimientos de sistemas, resultará por lo
general en un sistema que no resuelve las necesidades del
usuario en su totalidad o adecuadamente. Sólo los usuarios
pueden definir ¿Cuáles son sus necesidades y, por lo tanto,
lo que debería lograr el sistema?
C. recomendar que se escale una resolución de problema.
Explicación:
Cuando un auditor observa dichas condiciones, es mejor
apreciar totalmente al auditado y sugerir que se intenten más
resoluciones a problemas. Registrarlo como un error menor y
dejarlo a la discreción del auditado sería inapropiado, y
descuidar el error indicaría que el auditor no ha emprendido
pasos para investigar aún más el problema hasta su final
lógico.
A. Autorización de transacción
Explicación:
Ya que la interacción entre las partes es electrónica, no
B. Pérdida o duplicación de transmisiones de EDI
C. Demora de transmisión
D. Eliminación o manipulación de transacciones antes o
después del establecimiento de controles de aplicación
78. ¿Cuál de las siguientes es una característica de la
administración de caja de tiempo?
A. no es adecuada para crear prototipos ni desarrollo de
aplicación rápida (RAD).
B. elimina la necesidad de un proceso de calidad.
C. previene los excesos en costos y las demoras de entrega.
D. separa la prueba del sistema y la de aceptación de
usuario.
79. El uso de lenguajes de cuarta generación (4GLs) debería
ser sopesado cuidadosamente contra el uso de lenguajes
tradicionales porque 4GLs:
A. pueden carecer de los comandos de bajo nivel de detalle
necesarios para realizar operaciones intensivas de datos.
B. no pueden ser implementado tanto en los procesadores
de mainframe como en las microcomputadoras.
C. generalmente contienen subconjuntos de lenguajes
complejos que deben ser usados por usuarios expertos.
D. no pueden tener acceso a los registros de base de datos
y producen mensajes salientes complejos en línea.
80. Un auditor de SI está efectuando una revisión de un
sistema de aplicación después que los usuarios han
realizado una prueba de aceptación. ¿Cuál sería la mayor
preocupación del auditor de SI?
A. Determinar si los objetivos de la prueba fueron
documentados
B. Determinar si los usuarios documentaron los resultados
esperados de la prueba
C. Revisar si se efectuaron registros (logs) de los problemas
de la prueba
D. Determinar si hay problemas no resueltos
81. Una organización que planea comprar un paquete de
software solicita al auditor de SI una evaluación de riesgo.
¿Cuál de lo siguiente es el riesgo MAYOR?
A. No disponibilidad del código fuente.
B. Falta de una certificación de calidad del vendedor
C. Ausencia de referencias vendedor /cliente
D. Poca experiencia del vendedor con el paquete.
82. ¿En cuál de las siguientes etapas de ciclo de vida de
desarrollo de sistemas (SDLC) deben los procedimientos
tener una línea de base definida, para prevenir
desbordamiento del ámbito (scope creep)?
A. Desarrollo
B. Implementación
ocurre autenticación inherente, por lo tanto, la autorización
de transacción es el mayor riesgo. Las opciones B y D son
ejemplos de riesgos, pero el impacto no es tan grande como
el de las transacciones no autorizadas. Las demoras de
transmisión pueden terminar el proceso o mantener la línea
hasta que haya transcurrido el tiempo normal para
procesamiento, sin embargo, no habrá pérdida de datos.
C. previene los excesos en costos y las demoras de entrega.
Explicación:
La administración de caja de tiempo, por su naturaleza, fija
límites específicos de tiempo y de costo. Es muy adecuada
para crear prototipos y RAD, e integra las pruebas de
sistema y la de aceptación de usuario, pero no elimina la
necesidad de un proceso de calidad.
A. pueden carecer de los comandos de bajo nivel de detalle
necesarios para realizar operaciones intensivas de datos.
Explicación:
Todas las respuestas son ventajas de usar 4GLs excepto
que pueden carecer de los comandos de nivel de detalle
más bajo necesarios para realizar operaciones intensivas de
datos. Estas operaciones por lo general se requieren cuando
se desarrollan aplicaciones mayores.
D. Determinar si hay problemas no resueltos
Explicación:
Para evaluar el éxito o fracaso total de la prueba de
aceptación, el auditor de SI debe determinar si se
documentaron los planes de prueba y si los resultados reales
fueron comparados con los resultados esperados así como
también revisar el registro de problemas de prueba para
confirmar la resolución de los problemas de prueba
identificados. El auditor de SI debe luego determinar el
impacto de los problemas no resueltos sobre la funcionalidad
y utilidad del sistema.
A. No disponibilidad del código fuente.
Explicación:
Si el vendedor cierra el negocio, el no tener disponible el
código fuente haría imposible la actualización del paquete
(de software). La falta de una certificación de calidad del
vendedor, la ausencia de referencias vendedor /cliente y la
poca experiencia del vendedor con el paquete son aspectos
importantes pero no críticos.
C. Diseño
Explicación:
Para prevenir la entrada incontrolada de nuevos
requerimientos en un sistema que se está desarrollando, es
necesario un proceso estándar para autorización,
aprobación, prueba y documentación. Dichos procedimientos
C. Diseño
D. Factibilidad
83. La MAYOR ventaja del desarrollo rápido de
aplicaciones(RAD) sobre el tradicional ciclo de vida de
desarrollo de sistemas (SDLC) es que:
A. facilita la participación del usuario
B. permite pruebas tempranas de las funciones técnicas
C. facilita la conversión al nuevo sistema
D. acorta el marco de tiempo del desarrollo
84. Un auditor de SI que realiza una auditoría de
mantenimiento de aplicaciones revisaría el registro de
cambios de programa para:
A. la autorización para cambios de programa.
B. la fecha de creación de un módulo objeto corriente.
C. el número de cambios de programa realmente hechos.
D. la fecha de creación de un programa fuente corriente.
85. Un sistema de soporte de decisiones (DSS):
A. está dirigido a resolver problemas altamente
estructurados.
B. combina el uso de modelos con las funciones no
tradicionales de acceso a y recuperación de datos.
C. enfatiza en la flexibilidad de la metodología de toma de
decisiones de los usuarios.
D. soporta solamente las tareas de toma de decisión
estructurada.
86. ¿Cuál de los siguientes elementos es el MÁS importante
en el diseño de un depósito de datos?
A. La calidad de los metadatos
B. La velocidad de las transacciones
C. La volatilidad de los datos
D. La vulnerabilidad del sistema
87. Una organización ha contratado a un proveedor para una
solución llave en mano (turnkey solution) para su sistema
electrónico de cobro de peajes (ETCS). El proveedor ha
provisto su software privado de aplicación como parte de la
solución. El contrato debería requerir que:
A. un servidor de respaldo esté disponible para ejecutar
operaciones de ETCS con datos actualizados.
se basan en la etapa de diseño y se modifican en
conformidad con las necesidades de la organización. En la
etapa de desarrollo, las especificaciones de diseño se usan
para programar el sistema que soportará procesos
organizativos específicos. La etapa de implementación es
demasiado tarde y la etapa de factibilidad es demasiado
temprano para establecer los procedimientos de
desbordamiento de ámbito (scope creep).
D. acorta el marco de tiempo del desarrollo
Explicación:
La mayor ventaja del RAD es el marco de tiempo más corto
para el desarrollo de un sistema. Las opciones A y B son
ciertas, pero ellas son también ciertas para el tradicional
ciclo de vida de desarrollo de sistemas. La opción C no es
necesariamente siempre cierta.
A. la autorización para cambios de programa.
Explicación:
El registro manual es más probable que contenga
información sobre cambios autorizados a un programa. Los
cambios deliberados, autorizados no serán documentados
por la parte responsable. Un registro automatizado, que se
encuentra por lo general en los productos de administración
de biblioteca, y no un registro de cambio es más probable
que contenga información de fecha para los módulos fuente
y ejecutables.
C. enfatiza en la flexibilidad de la metodología de toma de
decisiones de los usuarios.
Explicación:
DSS enfatiza en la flexibilidad de la metodología de toma de
decisiones de los usuarios. Está dirigido a resolver
problemas menos estructurados, combina el uso de modelos
y técnicas analíticas con las funciones tradicionales de
acceso y recuperación de datos y soporta tareas
semiestructuradas de toma de decisiones.
A. La calidad de los metadatos
Explicación:
La calidad de los metadatos es el elemento más importante
en el diseño de un depósito de datos. Un depósito de datos
es una copia de datos de transacción estructurados
específicamente para investigación y análisis. Los metadatos
están dirigidos a proveer una tabla de contenido para la
información almacenada en el depósito de datos. Las
compañías que han construido depósitos creen que los
metadatos son el componente más importante del depósito.
D. el código fuente de la aplicación de ETCS sea puesto en
depósito de garantía (escrow.)
Explicación:
Cada vez que se compra un software privado de aplicación,
el contrato debería proveer un acuerdo de código fuente.
Esto asegurará que la compañía compradora tenga la
oportunidad de modificar el software si el proveedor deja de
B. un servidor de respaldo sea cargado con todo el software
y los datos relevantes.
C. el personal de sistemas de la organización sea entrenado
para manejar cualquier evento.
D. el código fuente de la aplicación de ETCS sea puesto en
depósito de garantía (escrow.)
88. Un empleado es responsable de actualizar diariamente
las tasas de interés en una aplicación de finanzas,
incluyendo las excepciones de tasa de interés para los
clientes preferenciales. ¿Cuál de los siguientes es el MEJOR
control para asegurar que todas las excepciones de tasas
sean aprobadas?
A. Un supervisor debe introducir su contraseña antes de que
se valide una excepción de tasa.
B. Las tasas fuera del rango normal requieren la previa
aprobación de la gerencia
C. El sistema da una alarma sonora cuando se introducen
las excepciones de tasas
D. Todas las tasas de interés deben ser registradas (logged)
y verificadas cada 30 días.
89. Un auditor de SI asignado para auditar un proceso
reorganizado debe PRIMERO revisar ¿cuál de los
siguientes?
A. Un mapa de los controles existentes
B. Controles eliminados
C. Cuadros (charts) de proceso
D. Controles compensatorios
90. A medida que un proceso del proyecto de reingeniería
del negocio (BPR) se establece se espera que:
A. las prioridades del negocio permanezcan estables.
B. las tecnologías de la información no cambien.
C. el proceso mejore el producto, servicio y rentabilidad.
D. el input de clientes y agentes ya no será necesario.
91. El beneficio PRIMARIO de integrar el manejo total de la
calidad (TQM) en un proyecto de desarrollo de software es:
A. documentación comprensiva.
B. entrega a tiempo.
C. control de costos.
D. satisfacción del usuario final.
estar en el negocio. Tener un servidor de respaldo con datos
actualizados y el entrenamiento de personal es crítico pero
no tan crítico como asegurar la disponibilidad del código
fuente.
B. Las tasas fuera del rango normal requieren la previa
aprobación de la gerencia
Explicación:
La aprobación previa por parte de la gerencia para las tasas
fuera del rango normal sería un control apropiado. Introducir
la contraseña de un supervisor no asegura la autorización.
Una alarma del sistema al introducir una excepción de tasa
es solamente una advertencia y el registro de excepciones
es un control de detección.
C. Cuadros (charts) de proceso
Explicación:
Para asegurar el control adecuado sobre el proceso del
negocio, el auditor debe primero revisar los diagramas de
flujo que muestran los procesos previos y posteriores. Los
diagramas del proceso ayudan a analizar los cambios en los
procesos. Las otras opciones—analizar los controles
eliminados, asegurar que los controles compensatorios estén
establecidos y analizar los controles existentes—son
incorrectas ya que cada una, realizada individualmente, no
sería tan efectiva y todas abarcan la revisión de los
diagramas de procesos.
C. el proceso mejore el producto, servicio y rentabilidad.
Explicación:
A medida que un proceso de reingeniería se establece,
ciertos resultados clave comenzarán a surgir, incluyendo una
concentración sobre el proceso como un medio de mejorar el
producto, el servicio y la rentabilidad. Además, las nuevas
prioridades del negocio y enfoques del uso de información
así como también surgirán tecnologías de información
poderosas y más accesibles. Con frecuencia, las funciones
de clientes y agentes serán redefinidas proveyéndolos de
más participación directa y activa en el proceso del negocio
de la empresa.
D. satisfacción del usuario final.
Explicación:
La calidad es en última instancia una medida de la
satisfacción del usuario final. Si el usuario final no está
satisfecho, entonces el producto no se desarrolló
debidamente. La documentación completa, la entrega en el
tiempo programado y los costos son todos ellos factores
secundarios para la satisfacción del usuario final.
92. Durante una revisión posterior a la implementación del
sistema de administración de recursos de una empresa,
¿qué es lo MÁS probable que un auditor de sistemas
realice?
A. Revise la configuración del control de acceso
B. Evalúe la prueba de interfaz
C. Revise la documentación detallada de diseño
D. Evalúe la prueba de sistema
93. La diferencia entre prueba de caja blanca (whitebox) y
prueba de caja negra (blackbox) es que la prueba de caja
blanca:
A. involucra al auditor de SI.
B. es efectuada por un equipo de programadores
independientes.
C. examina la estructura lógica interna de un programa.
D. usa el enfoque de abajo hacia arriba.
94. Las órdenes de venta son numeradas automáticamente
en forma secuencial en cada uno de los puntos de venta
múltiples de un vendedor minorista. Las órdenes pequeñas
son procesadas directamente en los puntos de venta,
enviándose las órdenes grandes a una instalación central de
producción. El control más apropiado para asegurar que
todas las órdenes transmitidas a producción sean recibidas y
procesadas sería:
A. enviar y conciliar los conteos y totales de transacciones.
B. hacer que los datos sean transmitidos de regreso al sitio
local para comparación.
C. comparar los protocolos de comunicaciones de datos con
verificación de paridad.
D. rastrear y dar cuenta de la secuencia numérica de las
órdenes de venta en la instalación de producción.
95. ¿Cuál de los siguientes grupos /personas debería asumir
la dirección general y la responsabilidad de los costos y
cronogramas de los proyectos de desarrollo de sistemas?
A. La gerencia de usuario
B. El comité de dirección del proyecto
A. Revise la configuración del control de acceso
Explicación:
Revisar la configuración de control de acceso sería la
primera tarea que realizaría para determinar si la seguridad
ha sido establecida debidamente en el sistema. Como se
trata de una revisión posterior a una implementación que por
lo general se hace después de la prueba de aceptación del
usuario y de una implementación real, uno no se pondría a
probar la interfaz ni la documentación detallada de diseño, la
cual probablemente no estaría actualizada. Evaluar la
prueba de la interfaz sería parte de un proceso de
implementación. El aspecto de revisar la documentación
detallada de diseño en general no es relevante para un
sistema de administración de recursos de empresa ya que
éstos son por lo general paquetes de vendedor con
manuales de usuario. La prueba de sistema también se
realiza normalmente antes de que el usuario final registre su
salida.
C. examina la estructura lógica interna de un programa.
Explicación:
La prueba de caja negra observa el comportamiento externo
de un sistema, mientras que la prueba de caja blanca es un
examen detallado de una ruta lógica, verificando las posibles
condiciones. El auditor de SI no necesita participar en ningún
método de prueba. El enfoque de abajo hacia arriba puede
ser usado en ambas pruebas. La prueba de caja blanca
requiere conocimiento de las interioridades del programa o el
módulo que va a ser implementado/ probado. La prueba de
caja negra requiere que la funcionalidad del programa se
conozca. El equipo de programadores independientes no
estarían en conocimiento de la aplicación de un programa en
el que no han participado. Por ello, el equipo de
programadores independientes no puede proveer asistencia
alguna en ninguno de estos métodos de prueba.
A. enviar y conciliar los conteos y totales de transacciones.
Explicación:
Enviar y conciliar totales de transacción no solamente
asegura que las órdenes fueron recibidas, sino que también
fueron procesadas por el lugar central de producción.
Transmitir los datos de la transacción de regreso al sitio local
confirma que el lugar central la recibió, pero no que la hayan
procesado realmente. Rastrear y dar cuenta de la secuencia
numérica solamente confirma qué órdenes están a la mano,
y no si las mismas se han efectuado realmente. El uso de
verificación de paridad solamente confirmaría que la orden
no fue cambiada durante la transmisión.
B. El comité de dirección del proyecto
Explicación:
El comité de dirección del proyecto es en última instancia
responsable de todos los costos y cronogramas. La gerencia
de usuario asume la propiedad del proyecto y del sistema
C. La alta gerencia
D. La gerencia de desarrollo de sistemas
96. ¿Cuál de los siguientes representa un prototipo típico de
una aplicación interactiva?
A. Pantallas y programas de procesamiento
B. Pantallas, ediciones interactivas y muestras de reportes
C. Ediciones interactivas, programas de procesamiento y
muestras de reportes
D. Pantallas, ediciones interactivas, programas de
procesamiento y muestras de reportes
97. ¿Cuál de los siguientes tipos de prueba determinaría si
un sistema nuevo o modificado puede operar en su ambiente
objetivo sin afectar adversamente otros sistemas existentes?
A. Prueba paralela
B. Prueba piloto
C. Prueba de interfaz/integración
D. Prueba de sociabilidad
98. ¿Cuál de las siguientes es una técnica de gerencia que
permite que las organizaciones desarrollen sistemas
estratégicamente importantes más rápidamente al tiempo
que reduce los costos de desarrollo y mantiene la calidad?
A. Análisis de punto de función
B. Metodología de ruta crítica
C. Desarrollo de aplicación rápida
D. Técnica de revisión de evaluación de programa
99. Durante el desarrollo de una aplicación, la prueba de
aseguramiento de la calidad y la prueba de aceptación de
usuario se combinaron. La MAYOR preocupación para un
auditor de SI que revisa el proyecto es que habrá:
A. Un incremento en el mantenimiento.
resultante. La alta gerencia se compromete con el proyecto y
aprueba los recursos necesarios para llevar a cabo el
proyecto. La gerencia de desarrollo de sistema provee
soporte técnico para los ambientes del hardware y del
software desarrollando, instalando y operando el sistema
solicitado.
B. Pantallas, ediciones interactivas y muestras de reportes
Explicación:
Los programas de procesamiento no son producidos por una
herramienta de creación de prototipos. Esto a menudo
conduce a confusión al usuario final, quien espera la rápida
implementación de programas que obtengan los resultados
que producen estas herramientas.
D. Prueba de sociabilidad
Explicación:
El propósito de la prueba de sociabilidad es confirmar que un
sistema nuevo o modificado puede operar en su
ambiente/entorno objetivo sin afectar adversamente los
sistemas existentes. Esto debería cubrir la plataforma que
realizará el procesamiento primario de aplicación y las
interfaces con otros sistemas, así como también los cambios
al desktop en un desarrollo de cliente-servidor o de web. La
prueba paralela es el proceso de alimentar datos a dos
sistemas - el sistema modificado y el sistema anterior - y
comparar los resultados. En este método, los sistemas viejo
y nuevo operan concurrentemente por un período de tiempo
y realizan las mismas funciones de procesamiento. La
prueba piloto tiene lugar primero en una ubicación y luego es
extendida a otras ubicaciones. El propósito es ver si el nuevo
sistema opera satisfactoriamente en un lugar antes de
implementarlo en otros lugares. La prueba de
interfaz/integración es una prueba de hardware o de
software que evalúa la conexión de dos o más componentes
que pasan información desde un área a otra. El objetivo es
tomar módulos probados por unidad y construir una
estructura integrada.
C. Desarrollo de aplicación rápida
Explicación:
El desarrollo de aplicación rápida es una técnica de gerencia
que permite a las organizaciones desarrollar sistemas
estratégicamente importantes más rápidamente al tiempo
que reduce los costos de desarrollo y mantiene la calidad. La
técnica de revisión de evaluación de programa (PERT) y la
metodología de ruta crítica (CPM) son ambas técnicas de
evaluación y control, mientras que se usa el análisis de
punto de función par estimar la complejidad de desarrollar
aplicaciones del negocio.
C. Unas pruebas funcionales inadecuadas.
Explicación:
El riesgo mayor de combinar las pruebas de garantía de la
calidad y las pruebas de aceptación del usuario es que las
pruebas funcionales pueden ser inadecuadas. Las opciones
B. Una documentación inapropiada de las pruebas
C. Unas pruebas funcionales inadecuadas.
D. Demoras en la resolución de problemas.
100. La solicitud de propuesta (RFP) para la adquisición de
un sistema de aplicación es MÁS probable que sea
aprobada por el:
A. comité de seguimiento del proyecto (project steering
committee).
B. patrocinador de proyecto.
C. gerente de proyecto.
D. equipo de proyecto de usuario.
101. Los supuestos mientras se planea un proyecto de SI
implican un alto grado de riesgo porque:
A. están basados en limitaciones conocidas.
B. están basados en datos pasados objetivos.
C. son resultado de la falta de información.
D. están g echos frecuentemente por personas no
calificadas.
102. Un auditor de SI encuentra datos fuera de orden en
algunas tablas de una base de datos. ¿Cuál de los
siguientes controles debe el auditor recomendar para evitar
esta situación?
A. Registrar (log) todas las transacciones de actualización de
tablas
B. Implementar el reporte de imágenes antes y después
C. Usar rastreo y etiquetado (tracing – tagging)
D. Implementar restricciones (constraints) de integridad en la
base de datos.
103. ¿Cuál de los siguientes es la PRIMERA cosa que un
auditor de SI debería hacer después de descubrir un
programa de caballo de Troya en un sistema de
computadora?
A. Investigar el autor
B. Eliminar cualesquiera amenazas subyacentes
C. Establecer controles de compensación
D. Hacer que se elimine el código trasgresor
A, B y D no son tan importantes.
A. comité de seguimiento del proyecto (project steering
committee).
Explicación:
Un comité de seguimiento del proyecto (project steering
committee) está por lo general constituido por un alto
representante de cada función que será afectada por el
nuevo sistema y sería el grupo más apropiado para aprobar
el RFP. El patrocinador del proyecto provee financiamiento
para el proyecto. El gerente de proyecto y el equipo de
proyecto de usuario son responsables de redactar la RFP.
C. son resultado de la falta de información.
Explicación:
Los supuestos se hacen cuando no se dispone de
información adecuada. Cuando un gerente de proyecto de SI
hace un supuesto, hay un alto grado de riesgo porque la falta
de información apropiada puede causar una pérdida
inesperada a un proyecto de SI. Los supuestos no se basan
en limitaciones "conocidas". Cuando las limitaciones son
conocidas de antemano, un gerente de proyecto puede
planear de acuerdo con esas limitaciones, en lugar de
suponer que las limitaciones no afectarán el proyecto. Tener
datos objetivos sobre proyectos pasados de SI no conducirá
a hacer supuestos, sino más bien ayuda al gerente de
proyecto de SI a planear el proyecto en una mejor forma. De
ahí que, si se dispone de datos objetivos pasados y el
gerente de proyecto hace uso de ellos, el riesgo para el
proyecto es menor. Independientemente de si los hicieron
personas calificadas o personas no calificadas, los
supuestos son riesgosos.
D. Implementar restricciones (constraints) de integridad en la
base de datos.
Explicación:
Implementar restricciones de integridad en la base de datos
es un control preventivo, porque los datos son verificados
contra tablas predefinidas o reglas que previenen que
cualquier dato no definido sea introducido. Registrar
(logging) todas las transacciones de actualización de datos e
implementar reportes de imágenes antes y después son
controles de detección que no evitarían la situación. Rastrear
(tracing) y etiquetar (tagging) se usan para probar sistemas y
controles de aplicación y no podrían prevenir datos fuera de
rango.
D. Hacer que se elimine el código trasgresor
Explicación:
La primera función de un auditor de SI es impedir que el
caballo de Troya cause más daño. Después de eliminar el
código trasgresor, las acciones de seguimiento incluirían
investigación y recomendaciones (las opciones B y C).
104. Cuando se está implementando un sistema adquirido
en un entorno cliente – servidor, ¿cuál de las pruebas
siguientes confirmaría que las modificaciones en el registro
de Windows no tienen un impacto adverso en el ambiente de
escritorio (desktop)?
A. Prueba de sociabilidad
B. Prueba paralela
C. Prueba de caja blanca
D. Prueba de validación
105. La prueba de regresión es el proceso de probar un
programa para determinar si:
A. el nuevo código contiene errores.
B. existen discrepancias entre las especificaciones
funcionales y el desempeño/performancia.
C. se han satisfecho nuevos requerimientos.
D. los cambios han introducido algún error en el código no
cambiado.
106. Al evaluar los proyectos de desarrollo de aplicaciones
contra el modelo de madurez de capacidad (CMM), un
auditor debe poder verificar que:
A. se garanticen los productos confiables.
B. se mejore la eficiencia de los programadores.
C. se diseñen los requerimientos de seguridad.
D. se sigan los procesos predecibles de software.
107. El uso de técnicas de diseño y desarrollo orientada a
objetos, es más probable que:
A. faciliten la capacidad para reutilizar módulos.
B. mejoren el desempeño del sistema.
C. aumenten la efectividad del control.
D. aumenten la velocidad del ciclo de vida del desarrollo del
sistema.
108. ¿Qué datos se deben usar para la prueba de regresión?
A. Datos diferentes de los usados en la prueba anterior
B. Los datos más actuales de producción
C. Los datos usados en las pruebas anteriores
D. Los datos producidos por un generador de datos de
prueba
D. Prueba de validación
Explicación:
Cuando se está implementando un sistema adquirido en un
ambiente cliente-servidor, la prueba de sociabilidad
confirmaría que el sistema puede operar en el ambiente
objetivo sin tener un impacto adverso sobre otros sistemas.
La prueba paralela es el proceso de alimentar con datos de
prueba tanto al viejo como al nuevo sistema y comparar los
resultados. La prueba de caja blanca se basa en un examen
minucioso de los detalles de procedimiento (procedural), y
las pruebas de validación prueban la funcionalidad del
sistema contra los requerimientos detallados para asegurar
que el software que haya sido construido sea rastreable con
los requerimientos del cliente.
D. los cambios han introducido algún error en el código no
cambiado.
Explicación:
La prueba de regresión es el proceso de volver a ejecutar
una porción de un escenario de prueba o plan de prueba
para asegurar que los cambios o las correcciones no hayan
introducido nuevos errores. Los datos usados en la prueba
de regresión deben ser los mismos que los datos usados en
la prueba original. La prueba de unidad se usaría para
determinar si el nuevo código contiene errores o no satisface
los requerimientos.
D. se sigan los procesos predecibles de software.
Explicación:
Al evaluar los proyectos de desarrollo de aplicaciones contra
el modelo de madurez de capacidad (CMM), el auditor de IS
determina si la organización de desarrollo sigue un proceso
estable, predecible de software. Aún cuando la probabilidad
de éxito debe aumentar a medida que los procesos de
software maduran hacia el nivel de optimización, los
procesos maduros no garantizan un producto confiable.
CMM no evalúa procesos técnicos tales como programación,
ni evalúa los requerimientos de seguridad u otros controles
de aplicación.
A. faciliten la capacidad para reutilizar módulos.
Explicación:
Uno de los mayores beneficios del diseño y desarrollo
orientado hacia el objeto es la capacidad para reutilizar
módulos. Las otras opciones no requieren necesariamente
dicha técnica.
C. Los datos usados en las pruebas anteriores
Explicación:
La prueba de regresión asegura que los cambios o las
correcciones en un programa no hayan introducido nuevos
errores. Por lo tanto, esto se lograría si los datos usados
para la prueba de regresión fueran los mismos que los datos
usados en las pruebas anteriores.
109. Un objetivo de una revisión posterior a la
implementación de un sistema de aplicación de negocio
nuevo o extensamente modificado es:
A. determinar si los datos de prueba cubrieron todos los
escenarios
B. llevar a cabo un proceso de certificación y de acreditación
C. determinar si los beneficios esperados del proyecto fueron
obtenidos
D. diseñar informes de pistas de auditoría
110. Cuando se revisa la calidad del proceso de desarrollo
de un departamento de SI, el auditor de SI encuentra que
ellos no usan ninguna metodología y normas formales
documentadas. La acción más apropiada del auditor de SI
sería:
A. completar la auditoría y reportar el hallazgo.
B. investigar y recomendar normas formales apropiadas.
C. documentar los estándares informales y probar su
cumplimiento.
D. retirarse y recomendar una auditoría adicional cuando
normas estén implementadas.
111. El uso de un diagrama de GANTT puede:
A. ayudar a hacer un cronograma de tareas de proyecto.
B. determinar los puntos de verificación del proyecto.
C. asegurar las normas de documentación.
D. dirigir la revisión posterior a la implementación.
112. ¿Cuál de los siguientes facilita el mantenimiento del
programa?
A. Programas más cohesivos y acoplados libremente
B. Programas menos cohesivos y acoplados libremente
C. Programas más cohesivos y acoplados fuertemente
D. Programas menos cohesivos y acoplados fuertemente
113. Durante una revisión posterior a la implementación,
¿cuál de las siguientes herramientas usaría un auditor para
tener una idea general del contenido de la memoria interna
en las diferentes etapas del programa de ejecución?
A. Depósito de memoria
B. Monitor de ruta lógica
C. Utilería de rastreo
D. Analizador de output
C. determinar si los beneficios esperados del proyecto fueron
obtenidos
Explicación:
Determinar si los beneficios esperados del proyecto fueron
alcanzados sería uno de los objetivos de una revisión
posterior a la implementación. Determinar si los datos de
prueba cubrieron todos los escenarios y llevar a cabo un
proceso de certificación y acreditación son objetivos de la
fase de implementación del desarrollo de los sistemas de
aplicación. Diseñar pistas de auditoría es parte de la fase de
diseño del desarrollo.
C. documentar los estándares informales y probar su
cumplimiento.
Explicación:
La primera preocupación de un auditor de SI sería asegurar
que los proyectos sean administrados de manera
consistente. Cuando se alega que existe una norma interna,
es importante asegurarse que esté operada correctamente,
aún cuando ello signifique documentar primero las normas
alegadas. Reportar solamente el caso como una debilidad y
cerrar la auditoría sin hallazgos no ayudaría a la
organización en ninguna forma e investigar las metodologías
formales puede ser innecesario si los estándares informales
existentes demuestran ser adecuados y efectivos.
A. ayudar a hacer un cronograma de tareas de proyecto.
Explicación:
Un diagrama de GANTT se usa en el control de proyectos.
Puede ayudar a identificar los puntos de verificación que se
necesitan pero su uso primario es la creación de un
cronograma. No asegurará la realización de documentación
ni proveerá indicación para la revisión posterior a la
implementación.
A. Programas más cohesivos y acoplados libremente
Explicación:
La cohesión se refiere a la ejecución de una sola función
dedicada por cada programa. Acoplamiento se refiere a la
independencia de las unidades comparables. Unidades
libremente acopladas, cuando el código de programa es
cambiado, reducirá la probabilidad de afectar otras unidades
de programa. Unidades más cohesivas y libremente
acopladas son mejores para el mantenimiento.
C. Utilería de rastreo
Explicación:
Una utilería de rastreo se usa para tener una idea general
del contenido de la memoria interna en las diferentes etapas
de ejecución del programa para mostrar la evolución de
cosas tales como contadores y registros. El depósito de
memoria se usa para tener una idea general del contenido
de la memoria interna en un punto en el tiempo, se produce
principalmente cuando el programa se interrumpe o se
aborta. El monitor de ruta lógica informa sobre la secuencia

114. Una ventaja de usar en transacciones en vivo saneadas
(sanitized live transactions) en los datos de prueba, es que:
A. todos los tipos de transacción serán incluidos.
B. cada condición de error probablemente sea probada.
C. no se requiere ninguna rutina especial para evaluar los
resultados.
D. las transacciones de prueba son representativas de
procesamiento en vivo.
115. El propósito de una checksum en un campo de cantidad
en una comunicación de intercambio electrónico de datos
(EDI) de transacciones financieras, es asegurar:
A. integridad.
B. autenticidad.
C. autorización.
D. no repudio.
116. La responsabilidad de diseñar, implementar y mantener
un sistema de control interno la tiene:
A. el auditor de SI.
B. la gerencia.
C. el auditor externo.
D. el personal de programación.
117. El grupo de garantía de calidad (quality assurance) es
típicamente responsable de:
A. asegurar que el output recibido del procesamiento de
sistemas esté completo.
B. monitorear la ejecución de tareas de procesamiento de
computadora.
C. asegurar que los programas y los cambios de programas
y la documentación se adhieran a las normas establecidas.
D. diseñar procedimientos para proteger los datos contra
revelación accidental, modificación o destrucción.
118. ¿Cuál de los siguientes es crítico para la selección y
adquisición del software de sistema operativo correcto?
A. Licitaciones competitivas
B. Aprobación del departamento de usuario
C. Análisis de configuración del hardware
D. Aprobación del departamento de compras
119. ¿Cuál de los siguientes métodos de desarrollo usa un
prototipo que puede ser actualizado continuamente para
satisfacer los requerimientos cambiantes del usuario o del
negocio?
de eventos logrados por el programa, suministrando así
indicios sobre errores lógicos. Los analizadores de output
ayudan a verificar los resultados de la ejecución del
programa para ver si éste está correcto.
D. las transacciones de prueba son representativas de
procesamiento en vivo.
Explicación:
La fecha de prueba será representativa del procesamiento
en vivo; sin embargo, es improbable que todos los tipos de
transacción o condiciones de error sean probados de esta
forma.
A. integridad.
Explicación:
Una checksum calculada sobre un campo de cantidad e
incluida en la comunicación EDI puede ser usada para
identificar modificaciones no autorizadas. La autenticidad y la
autorización no pueden ser establecidas por una checksum
solamente y necesitan otros controles. El no repudio puede
ser asegurado usando firmas digitales.
B. la gerencia.
Explicación:
Diseñar, implementar y mantener un sistema de controles
internos, incluyendo la prevención y detección de fraude es
responsabilidad de la gerencia. El auditor de SI analiza los
riesgos, y realiza pruebas para detectar irregularidades
creadas por debilidades en la estructura de los controles
internos.
C. asegurar que los programas y los cambios de programas
y la documentación se adhieran a las normas establecidas.
Explicación:
El grupo de garantía de calidad es típicamente responsable
de asegurar que los programas, cambios de programas y
documentación se adhieran a las normas establecidas. La
opción A es la responsabilidad del grupo de control de datos,
la opción B es responsabilidad de operaciones de
computadora, y la opción D es responsabilidad de
responsabilidad de datos.
C. Análisis de configuración del hardware
Explicación:
La compra de software de sistema operativo depende del
hecho de que el software sea compatible con el hardware
existente. Las opciones A y D, a pesar de ser importantes,
no son tan importantes como la opciónC. Los usuarios no
aprueban normalmente la adquisición de software de
sistema operativo.
D. Desarrollo de aplicación rápida (RAD)
Explicación:
Sólo RAD usa la creación de prototipos como su herramienta

A. Desarrollo orientado a los datos (DOD)
B. Desarrollo orientado al objeto (OOD)
C. Reingeniería del proceso del negocio (BPR)
D. Desarrollo de aplicación rápida (RAD)
120. Un sistema existente está siendo mejorado
extensamente extrayendo y reutilizando componentes de
diseño y de programa. Este es un ejemplo de:
A. ingeniería de reversa.
B. creación de prototipos.
C. reutilización de software.
D. reingeniería.
121. Una característica distintiva de los lenguajes de cuarta
generación (4GLs) es la portabilidad, ¿qué significa?
A. Independencia ambiental
B. Conceptos de Mesa de Trabajo (Workbench)
(almacenamiento temporal, edición de la prueba, etc.)
C. Capacidad para diseñar formatos de pantalla y desarrollar
outputs gráficos
D. Capacidad para ejecutar operaciones en línea
122. Un auditor de SI que realiza una revisión del
departamento de SI descubre que no existen procedimientos
formales de aprobación. En ausencia de estos
procedimientos, el gerente de SI ha estado aprobando
arbitrariamente proyectos a los niveles superiores de la
gerencia para su aprobación. El auditor de SI debería
recomendar como un PRIMER curso de acción que:
A. los usuarios participen en la revisión y en el proceso de
aprobación.
B. se adopten y documenten procedimientos formales de
aprobación.
C. los proyectos sean referidos a los niveles apropiados de
la gerencia para su aprobación.
D. la descripción del puesto de trabajo del gerente de SI sea
cambiada para que incluya la autoridad de aprobación.
123. Una herramienta de depuración (debugging), la cual
reporta sobre la secuencia de pasos ejecutados por un
programa, se denomina:
A. analizador de output.
B. depósito provisional de memoria (memory dump).
C. compilador.
central de desarrollo. OOD y DOD usan modelos en continuo
desarrollo, y BPR intenta convertir un proceso existente de
negocio en lugar de hacer cambios dinámicos.
D. reingeniería.
Explicación:
Los viejos sistemas (heredados) que han sido corregidos,
adaptados y aumentados extensamente requieren
reingeniería para continuar siendo mantenidos. La
reingeniería es una actividad de reconstrucción para
incorporar nuevas tecnologías en los sistemas existentes.
Usando afirmaciones de lenguajes de programa, la
reingeniería de reversa implica revertir el código de máquina
de un programa en el código fuente en el que estaba escrito,
para identificar contenido malicioso en un programa, como
por ejemplo un virus, o adaptar un programa escrito para uso
con un procesador para uso con un procesador diseñado de
manera diferente. La creación de prototipos es desarrollar un
sistema por medio de ensayo y error controlado. La
reutilización de software es el proceso de planear, analizar y
usar componentes de software desarrollados anteriormente.
Los componentes reutilizables son integrados
sistemáticamente en el producto actual de software.
A. Independencia ambiental
Explicación:
La portabilidad describe la capacidad de 4GLs de ejecutar
arquitecturas en toda la computadora, sistemas operativos,
procesadores mainframe y computadoras personales. Las
opciones B, C y D son otros atributos de los 4GLs.
B. se adopten y documenten procedimientos formales de
aprobación.
Explicación:
Es imperativo que se establezcan procedimientos formales
escritos de aprobación para establecer la responsabilidad de
rendir cuenta. Esto es verdad tanto para los niveles del
gerente de SI como para los niveles superiores de la
gerencia. Las opciones A, C y D sería recomendaciones
subsiguientes una vez que se haya establecido la autoridad.
D. monitor de ruta lógica.
Explicación:
Los monitores de rutas lógicas reportan sobre la secuencia
de pasos ejecutados por un programa. Este provee al
programador de indicios para los errores lógicos, si los
hubiera, en el programa. Un analizador de output verifica los
D. monitor de ruta lógica.
124. ¿Cuál de los siguientes sistemas o herramientas puede
reconocer que una transacción de tarjeta de crédito es más
probable que haya sido consecuencia de una tarjeta de
crédito robada que del tarjeta-habiente de una tarjeta de
crédito?
A. Los sistemas de detección de intrusos
B. Las técnicas de extracción de datos
C. Los firewalls
D. Los ruteadores (routers) de filtrado de paquetes
125. ¿Cuál de los siguientes es una verificación (control) de
totalidad?
A. Dígitos de verificación
B. Bits de paridad
C. Verificación uno a uno
D. Input registrado previamente
126. ¿Cuál de los siguientes riesgos sería consecuencia de
una definición inadecuada de línea base (baseline) de
software?
A. Desbordamiento del ámbito (scope creep)
B. Demoras de sign-off
C. Violaciones de integridad de software
D. Controles inadecuados
127. ¿Cuál de los siguientes se usa para asegurar que los
datos de lote sean transferidos completa y correctamente
entre dos sistemas?
A. Dígito de verificación
B. Total de control
resultados de un programa en busca de exactitud
comparando los resultados esperados con los resultados
reales. Un dump de memoria provee un cuadro del contenido
de la memoria interna de una computadora en cualquier
momento en el tiempo, a menudo cuando el programa
abortó, proveyendo así información sobre inconsistencias en
los datos o en los valores de los parámetros. A pesar de que
los compiladores tienen algún potencial para proveer
retroalimentación a un programador, ellos generalmente no
son considerados una herramienta de depuración.
B. Las técnicas de extracción de datos
Explicación:
La extracción de datos es una técnica para detectar
tendencias o patrones de transacciones o de datos. Si el
patrón histórico de cargos contra una cuenta de tarjeta de
crédito es cambiado, entonces es una señal de que la
transacción puede haber sido consecuencia del uso
fraudulento de la tarjeta.
B. Bits de paridad
Explicación:
Los bits de paridad se usan para verificar si hay totalidad de
transmisiones de datos. La opción A es incorrecta porque los
dígitos de verificación una verificación de control de
exactitud. La opción C es incorrecta porque en la verificación
uno a uno, los documentos individuales se hacen coincidir
con un listado detallado de documentos procesados por la
computadora, pero no aseguran que todos los documentos
hayan sido recibidos para procesamiento. La opción D (input
registrado previamente) es un control de archivo de datos
para el que los campos seleccionados de información están
preimpresos en formularios de input en blanco para reducir
la oportunidad de errores de input.
A. Desbordamiento del ámbito (scope creep)
Explicación:
Una línea base (baseline) de software es el punto de corte
en el diseño y desarrollo de un sistema más allá del cual los
requerimientos o modificaciones adicionales al diseño no
ocurren o no pueden ocurrir sin someterse a procedimientos
formales estrictos de aprobación basada en un análisis
costo-beneficio del negocio. El no administrar
adecuadamente los requerimientos de un sistema mediante
la definición de la línea base puede tener como
consecuencia un número de riesgos. El riesgo más
importante entre éstos es el desbordamiento del ámbito
(Scope creep), el proceso a través del cual los
requerimientos cambian durante el desarrollo. Las opciones
B, C y D no siempre resultan, pero la opción A es inevitable.
B. Total de control
Explicación:
Los totales de control con frecuencia se usan como un
control fácilmente recalculado. El número de facturas en un
lote, o el valor de las facturas en un lote, son ejemplos de
C. Suma de verificación
D. Cuenta de control
128. El modelo en cascada de ciclo de vida del desarrollo de
software es usado de manera más apropiada cuando:
A. los requerimientos son bien entendidos y se espera que
sigan siendo estables, como lo es el entorno del negocio en
el que el sistema operará.
B. Los requerimientos son bien entendidos y el proyecto está
sujeto a presiones de tiempo.
C. el proyecto pretende aplicar un diseño orientado a objeto
y un método de programación.
D. el proyecto implicará el uso de nueva tecnología.
129. En un sistema de transferencia electrónica de fondos
(EFT), ¿cuál de los siguientes controles sería útil para
detectar una duplicación de mensajes?
A. Código de autenticación de mensajes.
B. Firma digital.
C. Número de secuencia de autorización.
D. Segregación de autorización.
130. La documentación de un caso de negocio usado en un
proyecto de desarrollo de TI debe ser retenida hasta:
A. el final del ciclo de vida del sistema.
B. que el proyecto sea aprobado.
C. la aceptación de usuario del sistema.
D. que el sistema esté en producción.
totales de control. Ellos brindan una forma sencilla de seguir
una pista de auditoría desde un resumen de rubro de mayor
general hasta una transacción individual, y de regreso. Un
dígito de verificación es una forma de verificar la corrección
de un solo rubro de datos, como por ejemplo un número de
tarjeta de crédito. A pesar de que una suma de verificación
es un control excelente de la integridad y corrección de un
lote, no es fácilmente recalculado y por lo tanto, no es tan
comúnmente usado en los sistemas financieros como totales
de control. Las sumas de verificación se usan con frecuencia
en la transferencia de datos como parte de los protocolos de
encripción. Las cuentas de control se usan en los sistemas
financieros para asegurar que los componentes que
intercambian información resumen, como por ejemplo un
registro de ventas y un mayor general, puedan ser
reconciliados.
A. los requerimientos son bien entendidos y se espera que
sigan siendo estables, como lo es el entorno del negocio en
el que el sistema operará.
Explicación:
Históricamente, el modelo en cascada ha sido más
adecuado para las condiciones estables descritas en la
opción A. Cuando el grado de incertidumbre del sistema a
ser entregado y las condiciones en las que éste será usado
se elevan, el modelo en cascada no ha tenido éxito. En estas
circunstancias, las diferentes formas de ciclo de vida de
desarrollo iterativo da la ventaja de desglosar el alcance del
sistema total a ser entregado, haciendo más manejable la
recolección de requerimientos y las actividades de diseño.
La capacidad de entregar software de trabajo antes también
actúa para aliviar la incertidumbre y puede permitir una
realización de beneficios más temprana. La opción de un
método de diseño y de programación no es en sí misma un
factor determinante del tipo de ciclo de vida de desarrollo de
software que es apropiado. El uso de nueva tecnología en un
proyecto introduce un elemento de riesgo significativo. Una
forma iterativa de desarrollo, en particular una de la familia
de los métodos ágiles que se concentra en el desarrollo
temprano de software de trabajo real, es probable que sea la
mejor opción para manejar esta incertidumbre.
C. Número de secuencia de autorización.
Explicación:
Todos los controles son necesarios en un sistema de EFT;
sin embargo, el número de secuencia de autorización es el
control que detectará la duplicación de un mensaje. Un
código de autenticación de mensaje detecta modificaciones
no autorizadas, una firma digital asegura el no repudio, y la
segregación de la creación del mensaje y la autorización
evitarán mensajes falsos (dummy).
A. el final del ciclo de vida del sistema.
Explicación:
Un caso de negocio puede y debe ser usado durante todo el
ciclo de vida del producto. Sirve como un ancla para el
nuevo personal (gerencia), ayuda a mantener la
concentración y provee información valiosa sobre estimados

131. Durante una auditoría de aplicaciones, el auditor de SI
encuentra varios problemas relacionados con datos
corruptos en la base de datos. ¿Cuál de los siguientes es un
control correctivo que debe ser recomendado por el auditor
de SI?
A. Implementar procedimientos de copias de respaldo de
datos y de recuperación
B. Definir estándares y monitorear de cerca el cumplimiento.
C. Asegurar que sólo el personal autorizado pueda actualizar
la base de datos.
D. Establecer controles para manejar los problemas
concurrentes de acceso.
132. Cuando se selecciona el software, ¿cuál de los
siguientes aspectos del negocio y técnicos es el MÁS
importante a considerar?
A. La reputación de un vendedor
B. Los requerimientos de la organización
C. Los factores de costo
D. La base instalada
133. La explicación MÁS probable para el uso de applets en
una aplicación de Internet es que:
A. se envía a través de la red desde el servidor.
B. el servidor no ejecuta el programa y el output no es
enviado a través de la red.
C. mejoran el desempeño tanto del servidor de la web como
de la red.
D. es un Programa JAVA bajado por medio del buscador
web y ejecutado por el servidor de la web de la máquina del
cliente.
134. Un auditor de SI recomienda que se programe una
validación inicial a una aplicación de captación de
transacción de tarjeta de crédito. El proceso de validación
inicial es MÁS probable que:
vs. datos reales. Las preguntas como ―por qué hacemos
eso,‖ ―cuál era la intención original‖ y ―cómo nos
desempeñamos en comparación con el plan‖ pueden ser
respondidas y se pueden aprender lecciones para desarrollar
futuros casos de negocio. Durante la fase de desarrollo de
un proyecto, uno debe siempre validar el caso de negocio,
ya que es un buen instrumento de administración. Después
de terminar un proyecto y de entrar a la producción, el caso
de negocio y toda la investigación hecha son fuentes
valiosas de información que deben ser guardadas para
futura referencia.
A. Implementar procedimientos de copias de respaldo de
datos y de recuperación
Explicación:
Implementar procedimientos de copias de respaldo de datos
y de recuperación es un control correctivo, porque los
procedimientos de copia de respaldo y de recuperación se
pueden usar para deshacer los errores de base de datos.
Definir o establecer estándares es un control preventivo, y
monitorear el cumplimiento es un control de detección.
Asegurar que sólo el personal autorizado pueda actualizar la
base de datos es un control preventivo. Establecer controles
para manejar los problemas de acceso concurrente es un
control preventivo.
B. Los requerimientos de la organización
Explicación:
Establecer los requerimientos de la organización es una
tarea que debe ser completada en el inicio del proceso. Los
factores de costo son una parte del análisis en la evaluación
de las alternativas de software. La reputación de un
vendedor y la base instalada se vuelven importantes sólo
después que se satisfacen los requerimientos.
C. mejoran el desempeño tanto del servidor de la web como
de la red.
Explicación:
Un applet es un Programa JAVA que es enviado a través de
la red desde el servidor de la web, por medio de un buscador
web, a la máquina del cliente. Luego se ejecuta el código en
la máquina. Como el servidor no ejecuta el programa y el
output no es enviado a través de la red, el desempeño tanto
en el servidor de la web como en la red a través de la que el
servidor y el cliente están conectados mejora drásticamente
por medio del uso de applets. El mejoramiento del
desempeño es más importante que las razones ofrecidas en
las opciones A yB. Como la máquina virtual de JAVA (JVM)
está integrada en la mayoría de los buscadores de la web, la
carga de applet por medio del buscador web se ejecuta en la
máquina del cliente desde el buscador web, no desde el
servidor de la web, lo que hace a la opción D incorrecta.
B. verifique el formato del número ingresado luego lo
coloque en la base de datos.
Explicación:
La validación inicial debería confirmar si la tarjeta es válida.
A. verifique para asegurar que el tipo de transacción es
válido para el tipo de tarjeta.
B. verifique el formato del número ingresado luego lo
coloque en la base de datos.
C. asegure que la transacción ingresada esté dentro del
límite de crédito del tarjeta habiente.
D. confirme que la tarjeta no aparezca como perdida o
robada en el archivo maestro.
135. ¿Cuál de las actividades siguientes debe realizar un
auditor de SI para evaluar la confiabilidad de un software?
A. Revisar el número de intentos fallidos de conectarse
(login).
B. Contar el número de errores de programa en un período
determinado de tiempo de ejecución.
C. Medir el tiempo de respuesta de diferentes solicitudes.
D. Entrevistar a los usuarios para determinar el grado al que
se cumplen sus requerimientos.
136. Una ventaja de usar una metodología de abajo hacia
arriba frente a una de arriba hacia abajo para la prueba de
software es que:
A. los errores de interfaz se detectan antes.
B. la confianza en el sistema se logra antes.
C. los errores en los módulos críticos se detectan antes.
D. las principales funciones y procesamientos se prueban
antes.
137. Un auditor de SI que revisa una propuesta para la
adquisición de un software de aplicación debe asegurarse de
que:
A. el sistema operativo (OS) que se está usando es
compatible con la plataforma de hardware existente
B. las actualizaciones planificadas del OS hayan sido
programadas para minimizar impactos negativos sobre las
necesidades de la compañía
C. el OS tenga las versiones y actualizaciones más recientes
D. los productos sean compatibles con el OS actual o
previsto.
138. ¿Cuál de los siguientes debería ser incluido en un
estudio de factibilidad para un proyecto para implementar un
Esta validez se establece a través del número de tarjeta y
del PIN entrado por el usuario. Basado en esta validación
inicial, se procederán a todas las otras validaciones. Un
control de validación en la captación de datos asegurará que
los datos ingresados sean válidos (i.e., pueden ser
procesados por el sistema). Si los datos captados en la
validación inicial no son válidos (si el número de tarjeta o PIN
no coincide con los de la base de datos), entonces la tarjeta
será rechazada o captada por los controles establecidos.
Una vez que se realiza la validación inicial, se realizarían las
otras validaciones específicas de la tarjeta y del tenedor de
la tarjeta.
B. Contar el número de errores de programa en un período
determinado de tiempo de ejecución.
Explicación:
El número de errores de programa es una medida de la
confiabilidad de un sistema. El número de intentos fallidos de
conectarse es un problema de seguridad pero no se
relaciona con la confiabilidad. El tiempo de respuesta es un
indicador de eficiencia más bien que de confiabilidad. La
percepción del usuario es un indicador de valor práctico, no
de confiabilidad.
C. los errores en los módulos críticos se detectan antes.
Explicación:
La metodología de abajo hacia arriba para la prueba de
software comienza con la prueba de unidades atómicas,
como por ejemplo programas y módulos, y trabaja hacia
arriba hasta que una prueba completa de sistema se haya
llevado a cabo Las ventajas de usar una metodología de
abajo hacia arriba para la prueba de software es el hecho de
que no hay necesidad de fragmentos o pistas y los errores
en los módulos críticos se encuentran antes. Las otras
opciones en esta pregunta se refieren todas a las ventajas
de una metodología de arriba hacia abajo que sigue la ruta
opuesta, ya sea en orden de búsqueda primero a lo profundo
o primero a lo ancho.
D. los productos sean compatibles con el OS actual o
previsto.
Explicación:
Las opciones A, B y C son incorrectas porque ninguna de
ellas se relaciona con el área que está siendo auditada. Al
revisar la aplicación propuesta, el auditor debe asegurarse
de que los productos a ser comprados sean compatibles con
el OS actual o previsto. Con respecto a la opción A, si el OS
se está utilizado actualmente, es compatible con la
plataforma de hardware existente, porque de lo contrario, no
operaría debidamente. En la opción B, las actualizaciones
del OS planificadas deben ser programadas para minimizar
los impactos negativos sobre la organización. Para la opción
C, el OS instalado debería estar equipado con las versiones
y las actualizaciones más recientes (con historia y
estabilidad suficientes).
C. Los protocolos necesarios de comunicación
proceso de EDI?
A. El formato de algoritmo de encripción
B. Los procedimientos detallados de control interno
C. Los protocolos necesarios de comunicación
D. El acuerdo propuesto de un tercero de confianza
139. ¿Quién de los siguientes es el responsable final de
proporcionar las especificaciones de requerimientos al
equipo del proyecto de desarrollo de software?
A. Jefe de equipo
B. Patrocinador del proyecto
C. Analista de sistemas
D. Comité de supervisión
140. Un número de fallas de sistema están ocurriendo
cuando las correcciones a los errores detectados
previamente son nuevamente presentados a la prueba de
aceptación. ¿Esto indicaría que el equipo de mantenimiento
probablemente no está desempeñándo adecuadamente cuál
de los siguientes tipos de prueba?
A. Prueba de unidad
B. Prueba de integración
C. Recorridos de diseño
D. Gerencia de configuración
141. ¿Cuál de los siguientes tipos de controles está
diseñado para proveer la capacidad de verificar datos y
registrar valores a través de las etapas de procesamiento de
aplicación?
A. Verificación de rangos
B. Totales de ejecución a ejecución
C. Verificaciones de límite sobre sumas calculadas
D. Reportes de excepción
142. La razón para establecer un alto, o punto de
congelación sobre el diseño de un nuevo sistema es:
A. impedir más cambios a un proyecto en proceso.
B. iniciar el punto en que el diseño va a ser realizado.
C. requerir que los cambios después de ese punto sean
Explicación:
Los algoritmos de encripción, los acuerdos de terceros y los
procedimientos de control interno son demasiado detallados
para esta etapa. Ellos serían solamente descritos y cualquier
costo o implicaciones de ejecución mostrados. Los
protocolos de comunicaciones deben ser incluidos, ya que
puede implicaciones significativas de costo si están
involucrados nuevo hardware y nuevo software, y las
implicaciones de riesgo si la tecnología es nueva para la
organización.
B. Patrocinador del proyecto
Explicación:
El patrocinador de proyecto es el gerente a cargo del
funcionamiento del negocio, el propietario de los datos y el
dueño del sistema en desarrollo. Proveer especificaciones
funcionales a través de usuarios funcionales es
responsabilidad del patrocinador de proyecto. Las otras
opciones son incorrectas. El jefe de equipo o gerente de
proyecto que trabaja con el patrocinador de proyecto es
responsable del control total del proyecto. El comité de
seguimiento provee la dirección total y asegurar la
representación de todas las áreas afectadas por el nuevo
sistema. El comité de supervisión es responsable de
monitorear el progreso total del proyecto pero no es
responsable de que la función sea automatizada y, por lo
tanto, no puede proveer especificaciones de requerimiento.
El analista de sistemas que trabaja a partir de las
especificaciones diseña el nuevo sistema de aplicación.
B. Prueba de integración
Explicación:
Un problema común de mantenimiento de sistema es que los
errores a menudo son corregidos rápidamente (en particular
cuando las fechas tope son apretadas), las unidades son
probadas por el programador, y luego transferidas al área de
prueba de aceptación. A menudo esto tiene como
consecuencia problemas de sistema que deberían haber
sido detectados durante la prueba de integración o de
sistema. La prueba de integración está dirigida a asegurar
que los principales componentes del sistema se
intercomuniquen correctamente.
B. Totales de ejecución a ejecución
Explicación:
Los totales de ejecución a ejecución proveen la capacidad
de verificar valores de datos a través de las etapas de
procesamiento de aplicaciones. La verificación total de
ejecución a ejecución asegura que los datos leídos en la
computadora sean aceptados y luego aplicados al proceso
de actualización.
C. requerir que los cambios después de ese punto sean
evaluados por su efectividad de costos.
Explicación:
Los proyectos con frecuencia tienen una tendencia a
expandirse, en especial durante la fase de definición de
evaluados por su efectividad de costos.
D. proveer el equipo de administración de proyectos con más
control sobre el diseño del proyecto.
143. Un auditor de SI que revisa un proyecto, en el que la
calidad es una preocupación importante, debe usar el
triángulo de gerencia de proyecto para explicar que:
A. se puede lograr un aumento en la calidad, incluso si
disminuyera la asignación de recursos.
B. sólo se lograría un aumento de la calidad, si aumentara la
asignación de recursos.
C. se puede lograr una disminución en el tiempo de entrega
incluso si se reduce la asignación de recursos.
D. solo se puede lograr una reducción en el tiempo de
entrega si se reduce la calidad.
144. Cuando se planea agregar personal a tareas que
imponen limitaciones de tiempo en la duración de un
proyecto, ¿cuál de los siguientes debe revalidarse
PRIMERO?
A. El presupuesto del proyecto
B. La vía crítica para el proyecto
C. la longitud de las tareas restantes
D. El personal asignado a otras tareas
145. ¿Cuál de los siguientes métodos de prueba es el MÁS
efectivo durante las etapas iniciales de creación de
prototipos?
A. Sistema
B. Paralelo
C. Volumen
D. De arriba hacia abajo
146. ¿Cuál de los siguientes pruebas de integridad examina
la exactitud, totalidad, consistencia y autorización de datos?
A. De datos
B. De relación
C. De dominio
D. De referencia
requerimientos. Esta expansión con frecuencia crece hasta
un punto en que los costos beneficios originalmente
anticipados son disminuidos porque el costo del proyecto ha
aumentado. Cuando esto ocurre se recomienda que el
proyecto sea detenido o congelado para permitir una nueva
revisión de todos los costos beneficios y del período de
recuperación de la inversión.
A. se puede lograr un aumento en la calidad, incluso si
disminuyera la asignación de recursos.
Explicación:
Las tres dimensiones primarias de un proyecto están
determinadas por los entregables, los recursos asignados y
el tiempo de entrega. El área del triángulo de administración
de proyecto, constituido por estas tres dimensiones, es fijo.
Dependiendo del grado de libertad, los cambios en una
dimensión podrían compensarse cambiando o bien una o
ambas dimensiones restantes. De ese modo, si se redujera
la asignación de recursos se podría lograr un aumento en la
calidad si se aceptara una demora en el tiempo de entrega
del proyecto. El área del triángulo siempre sigue siendo
constante.
B. La vía crítica para el proyecto
Explicación:
Como agregar recursos puede cambiar la ruta de la vía
crítica, la vía crítica debe ser reevaluada para asegurar que
los recursos adicionales efectivamente acortarán la duración
del proyecto. Dado que puede haber disponible tiempo
inactivo en algunas de las tareas que no están en la vía
crítica, los factores tales como el presupuesto de proyecto, la
longitud de las otras tareas y el personal asignado a éstas
pueden o no verse afectados.
D. De arriba hacia abajo
Explicación:
La prueba de arriba hacia abajo comienza con las principales
funciones del sistema y trabaja hacia abajo. El énfasis inicial
cuando se usa la creación de prototipos es crear pantallas y
reportes, dando así forma a la mayoría de las características
del sistema propuesto en un corto período. La prueba del
volumen y del sistema se realiza durante las etapas finales
de prueba del sistema. La prueba paralela no es
imprescindible, en especial si no hay un viejos sistema con el
cual comparar.
A. De datos
Explicación:
La prueba de integridad de datos examina la exactitud,
totalidad, consistencia, y autorización de los datos. La
prueba de integridad de relación detecta la modificación a los
datos sensitivos mediante el uso de totales de control. La
prueba de integridad de dominio verifica de los datos se
ajusten a las especificaciones. La prueba de integridad
referencial asegura que los datos existan en su archivo
maestro u original antes de que existan en el archivo
derivado o en otro.
147. Cuando se está haciendo una auditoría de la propuesta
adquisición de un nuevo sistema de computadoras, el auditor
de sistemas debe PRIMERO establecer:
A. que la administración haya aprobado un caso claro de
negocio.
B. que se cumplirán las normas corporativas de seguridad.
C. que los usuarios participarán en el plan de
implementación.
D. que el nuevo sistema satisfará la funcionalidad que todos
los usuarios requieran.
148. ¿Cuál de los siguientes sería un riesgo específicamente
asociado con el proceso de desarrollo ágil?
A. Falta de documentación
B. Falta de comprobación
C. Definición insuficiente de los requerimientos
D. Prácticas deficientes de administración de proyecto
149. Una organización tiene un entorno integrado de
desarrollo (IDE), donde las bibliotecas de programa residen
en el servidor, pero la modificación /desarrollo y prueba se
hacen desde estaciones de trabajo de PCs. ¿Cuál de los
siguientes sería una fortaleza de un entorno integrado de
desarrollo?
A. Controla la proliferación de múltiples versiones de
programas
B. Expande los recursos de programación y ayudas
disponibles
C. Aumenta el programa y la integridad de procesamiento
D. Previene los cambios válidos de ser sobre-escritos por
otros cambios
150. Cuando se transmite una instrucción de pago, ¿cuál de
los siguientes ayudará a verificar que la instrucción no fue
duplicada?
A. que la administración haya aprobado un caso claro de
negocio.
Explicación:
La primera preocupación del auditor de sistemas debe ser
establecer que la propuesta satisfaga las necesidades del
negocio, y esto debe ser establecido por un caso claro de
negocio. A pesar de que es esencial que se cumplan las
normas de seguridad, como lo es satisfacer las necesidades
de los usuarios y hacer que los usuarios se involucren y
participen en el proceso de implementación, es demasiado
prematuro en el proceso de consecución para que estas
sean las preocupaciones primarias del auditor de sistemas.
A. Falta de documentación
Explicación:
El desarrollo ágil se basa en los conocimientos que tienen
las personas dentro de la organización, en oposición a los
conocimientos externos. El problema principal es la
necesidad de proveer controles compensatorios para
asegurar que posteriormente se puedan cambios y
ampliaciones al sistema, incluso si el personal clave que
conoce la lógica de negocio implementada se fuera de la
compañía. La falta de comprobación podría ser un problema
pero sin documentación formal es difícil para un auditor
recopilar evidencia objetiva. La respuesta rápida a los
requerimientos de cambio es una fortaleza de los procesos
de desarrollo ágil. Replanear el proyecto al final de cada
iteración, incluyendo requerimientos de reordenación por
orden de prioridad, identificar cualquier nuevo requerimiento
y determinar sobre qué funcionalidad entregada de versión
se va a implementar, es un aspecto principal del proceso
ágil. Las prácticas aplicadas de administración /gestión de
proyecto son levemente diferentes de las requeridas para los
métodos tradicionales de desarrollo de software. La función
del gerente de proyecto. Este rol va desde uno
primariamente preocupado por la planeación del proyecto,
asignar tareas y monitorear el avance, hasta el de un
facilitador y defensor. La responsabilidad de la planeación y
el control pasa a los miembros del equipo.
B. Expande los recursos de programación y ayudas
disponibles
Explicación:
Una fortaleza de un entorno integrado de desarrollo es que
éste expande los recursos y ayudas de programación
disponibles. Las otras opciones son debilidades de IDE.
D. Un número de secuencia y un sello de tiempo
Explicación:

A. El uso de un algoritmo criptográfico de hashing
B. Cifrar el digesto de mensaje
C. Descifrar el digesto de mensaje
D. Un número de secuencia y un sello de tiempo
151. La responsabilidad y las líneas de reporte no pueden
siempre ser establecidas cuando se auditan sistemas
automatizados ya que:
A. el control diversificado hace irrelevante a la propiedad.
B. el personal tradicionalmente cambia de puestos de trabajo
con mayor frecuencia.
C. la propiedad es difícil de establecer cuando los recursos
son compartidos.
D. las funciones cambian con frecuencia en el rápido
desarrollo de la tecnología.
152. Muchos Proyectos de TI experimentan problemas
porque el tiempo de desarrollo y/o los requerimientos de
recursos son subestimados. ¿Cuál de las siguientes técnicas
proveería la MAYOR asistencia para desarrollar una
duración estimada de proyecto?
A. Análisis de punto de función
B. Diagrama de PERT
C. Desarrollo de aplicación rápida
D. Desarrollo de sistema orientado a objeto
153. Una institución financiera está usando un sistema
experto para administrar / gestionar límites de crédito. Un
auditor de SI que revisa el sistema debería estar MAS
preocupado con:
A. la validación de las entradas de datos al sistema
B. el nivel de experiencia y de capacidades contenidas en la
base de conocimientos
C. Los criterios (settings) de control de acceso
D. Controles de procesamiento implementados
154. Cuando un nuevo sistema va a ser implementado
dentro de un corto marco de tiempo, es MÁS importante:
Cuando se transmiten datos, un número de secuencia y/o
sello de tiempo integrado en el mensaje para hacerlo único
puede ser verificado por el destinatario para asegurar que el
mensaje no fue interceptado y reproducido. Esto se conoce
como protección de replay y podría ser usado para verificar
que una instrucción de pago no fue duplicada. El uso de un
algoritmo criptográfico de hashing comparado con todo el
mensaje ayuda a lograr la integridad de los datos. Cifrar el
digesto de mensaje usando la llave privada del remitente,
que firma la firma digital del remitente en el documento
ayuda a autenticar la transacción. Cuando el mensaje es
descifrado por el destinatario, usando la llave pública del
remitente, esto asegura que el mensaje sólo podría haber
venido del remitente. Este proceso de autenticación del
remitente logra no repudio.
C. la propiedad es difícil de establecer cuando los recursos
son compartidos.
Explicación:
A causa de la naturaleza diversificada tanto de datos como
de sistemas de aplicación, puede ser difícil establecer el
verdadero propietario de los datos y de las aplicaciones.
B. Diagrama de PERT
Explicación:
El análisis de punto de función es una técnica para
determinar el tamaño de una tarea de desarrollo basada en
el número de puntos de función. Los puntos de función son
factores tales como inputs, outputs, preguntas, archivo
interno lógico, etc. Aunque esto ayudará a determinar el
tamaño de las actividades individuales, no será de ayuda
para determinar la duración del proyecto ya que hay muchas
tareas que se superponen. Un diagrama de PERT ayudará a
determinar la duración del proyecto una vez que se
conozcan todas las actividades y el trabajo involucrado en
las actividades. El desarrollo de aplicación rápida es una
metodología que permite a las organizaciones desarrollar
estratégicamente sistemas importantes más rápido al tiempo
que reducen los costos de desarrollo y mantienen la calidad,
y el desarrollo de sistemas orientados a objeto es el proceso
de especificación y diseño de soluciones.
B. el nivel de experiencia y de capacidades contenidas en la
base de conocimientos
Explicación:
El nivel de experiencia o de inteligencia en la base de
conocimientos es una preocupación clave para el auditor de
SI ya que los errores de decisión, basado en una falta de
conocimientos, podrían tener un impacto severo sobre la
organización. Las opciones A, C y D no son tan importantes
como B.
B. realizar una prueba de aceptación de usuario.

A. terminar de escribir los manuales de usuario.
B. realizar una prueba de aceptación de usuario.
C. agregar aumentos de último minuto a las funcionalidades.
D. asegurar que el código ha sido documentado y revisado.
155. Los precios se cargan sobre la base de una tarifa
estándar de archivo maestro que cambia a medida que
aumenta el volumen. Cualesquiera excepciones deben ser
aprobadas manualmente. ¿Cuál es el control automatizado
MÁS efectivo para ayudar a asegurar que todas las
excepciones de precios sean aprobadas?
A. Todas las sumas son mostradas de regreso al empleado
de ingreso de datos, quien debe verificarlos visualmente.
B. Los precios fuera del rango normal deberían ser
ingresados dos veces para verificar la corrección de los
datos ingresados.
C. El sistema pita cuando se ingresas excepciones de
precios e imprime dichos incidentes en un reporte.
D. Una contraseña de segundo nivel debe ingresarse antes
de que se pueda procesar una excepción de precio.
156. La edición/validación de datos entrados/capturados en
un sitio remoto sería realizada MÁS efectivamente en el:
A. sitio central de procesamiento después de ejecutar el
sistema de aplicación.
B. sitio central de procesamiento durante la ejecución del
sistema de aplicación.
C. sitio remoto de procesamiento después de la transmisión
de los datos al sitio central de procesamiento.
D. sitio remoto de procesamiento antes de transmitir los
datos al sitio central de procesamiento.
157. ¿Cuál de los siguientes niveles de modelo de madurez
de capacidad asegura el logro de los controles básicos de
administración de proyectos?
A. Repetible (Nivel 2)
B. Definido (Nivel 3)
C. Administrado (Nivel 4)
D. Optimizado (Nivel 5)
158. Cuando se revisa un proyecto de desarrollo de sistema
en la etapa de iniciación del proyecto, un auditor de SI
Explicación:
Sería más importante completar la prueba de aceptación de
usuario para asegurar que el sistema, que va a ser
implementado esté trabajando correctamente. La
terminación de los manuales de usuario es similar al
desempeño de las revisiones de código. Si el tiempo es
corto, la última cosa que uno querría hacer es agregar otra
ampliación. Sería necesario congelar el código y completar
la prueba, luego hacer cualesquiera otros cambios como
futuras ampliaciones. Sería apropiado hacer documentar y
revisar el código, pero a menos que la prueba de aceptación
se haya completado, no hay garantía de que el sistema
trabajará correctamente y satisfará los requerimientos de
usuario.
D. Una contraseña de segundo nivel debe ingresarse antes
de que se pueda procesar una excepción de precio.
Explicación:
El control automatizado debería asegurar que el sistema
procese las excepciones de precio sólo previa aprobación de
otro usuario que esté autorizado a aprobar dichas
excepciones. Una contraseña de segundo nivel aseguraría
que las excepciones de precios fueran aprobadas por un
usuario que haya sido autorizado por la gerencia. La
verificación visual de todas las sumas por un empleado de
ingreso de datos no es un control, sino un requerimiento
básico para cualquier ingreso de datos. Que el usuario
pueda verificar visualmente lo que ha entrado es un control
manual básico. Ingresar dos veces las excepciones de
precios, es un control de input. Esto no asegura que las
excepciones serán verificadas automáticamente por otro
usuario. El hecho que el sistema pite al ingresarse una
excepción de precios sólo es una advertencia al empleado
de ingreso de datos; no impide que se siga procesando.
Imprimir estas excepciones en un reporte es un control
(manual) de detección.
D. sitio remoto de procesamiento antes de transmitir los
datos al sitio central de procesamiento.
Explicación:
Es importante que los datos entrados desde un sitio remoto
sean editados y validados antes de ser transmitidos al sitio
central de procesamiento.
A. Repetible (Nivel 2)
Explicación:
El nivel 2 tiene las características de los controles básicos de
administración de proyectos. El nivel 3 asegura un proyecto
documentado, el nivel 4 asegura metas cuantitativas de
calidad, y el nivel 5 asegura un mejoramiento continuado del
proceso.
D. reportaría los riesgos asociados con la vía acelerada (fast
tracking) al comité de dirección del proyecto.
encuentra que el equipo del proyecto está siguiendo el
manual de calidad de la organización. Para cumplir las
fechas tope críticas, el equipo del proyecto propone acelerar
los procesos de validación y de verificación, comenzando
algunos elementos antes de que se firme el producto
disponible previo. Bajo estas circunstancias, el auditor de SI
MÁS probablemente:
A. reportaría esto como un hallazgo crítico a la alta gerencia.
B. aceptaría que se pueden diferentes procesos de calidad
para cada proyecto.
C. reportaría a la gerencia de SI que el equipo no siguió los
procedimientos de calidad.
D. reportaría los riesgos asociados con la vía acelerada (fast
tracking) al comité de dirección del proyecto.
159. La preocupación PRIMARIA de un auditor de SI cuando
los desarrolladores de aplicaciones desean usar una copia
del archivo de transacciones de producción de ayer para las
pruebas de volumen es que:
A. es posible que los usuarios prefieran usar datos
inventados para prueba.
B. puede tener como consecuencia el acceso no autorizado
a datos sensitivos.
C. es posible que el manejo de errores y las verificaciones
de credibilidad no sean probados plenamente.
D. necesariamente no se prueba la total funcionalidad del
nuevo proceso.
160. Las revisiones por instituciones pares para detectar los
errores de software durante una actividad de desarrollo de
programa se denominan:
A. técnicas de emulación.
B. recorridos (walk-throughs) estructurados.
C. técnicas modulares de programa.
D. construcción de programas de arriba hacia abajo.
161. El fin primario de una prueba de sistema es:
A. probar la generación de los totales diseñados de control.
B. determinar si la documentación del sistema es exacta.
C. evaluar la funcionalidad del sistema.
D. asegurar que los operadores del sistema se familiaricen
con el nuevo sistema.
162. Usar datos de prueba como parte de una prueba
comprensiva de controles de programa en una forma
continuada en línea se denomina:
A. datos /cubierta de prueba.
B. evaluación de sistema de caso base.
C. instalación integrada de prueba (ITF).
D. simulacro paralelo.
Explicación:
Es importante que los procesos de calidad sea apropiados a
los proyectos individuales Los intentos de aplicar procesos
inapropiados se encontrarán a menudo abandonados bajo
presión. Un proceso de fast-tracking es una opción aceptable
bajo ciertas circunstancias. Sin embargo, es importante que
el comité de dirección del proyecto sea informado sobre los
riesgos asociados con esto (i.e., posibilidad de reelaboración
si se requieren cambios).
B. puede tener como consecuencia el acceso no autorizado
a datos sensitivos.
Explicación:
A menos que los datos estén saneados, existe el riesgo de
revelar datos sensitivos.
B. recorridos (walk-throughs) estructurados.
Explicación:
Un recorrido estructurado es una herramienta de gerencia
para mejorar la productividad. Los recorridos estructurados
pueden detectar una interpretación incorrecta o impropia de
las especificaciones del programa. Esto, a su vez, mejora la
calidad de prueba y aceptación de éste por el sistema. Las
otras opciones son métodos o herramientas en el proceso
general de desarrollo de sistemas.
C. evaluar la funcionalidad del sistema.
Explicación:
La razón primaria por la que un sistema es probado es
evaluar la funcionalidad de todo el sistema. Las otras
opciones son incorrectas.
B. evaluación de sistema de caso base.
Explicación:
La evaluación de sistema de caso base usa conjuntos de
datos de prueba desarrollados como parte de programas
comprensivos de prueba. Se usa para verificar operaciones
correctas de sistema antes de aceptación, así como también
validación periódica. Los datos /cubierta de prueba simula
transacciones a través de programas reales. Un ITF crea
archivos ficticios en la base de datos con transacciones de
prueba procesadas simultáneamente con input vivo. El
simulacro paralelo es la producción de datos procesados

163. ¿Cuál de los siguientes describe MEJOR los objetivos
de seguir una metodología estándar de desarrollo de
sistema?
A. Asegurar que el contrato de personal apropiado sea
asignado y proveer un método de controlar costos y
cronogramas
B. Proveer un método de controlar los costos y cronogramas
y asegurar la comunicación entre los usuarios, los auditores
de SI, la gerencia y el personal de SI
C. Proveer un método de controlar los costos y los
cronogramas y un medio efectivo de auditar el desarrollo de
proyectos
D. Para asegurar la comunicación entre usuarios, los
auditores, la gerencia y el personal de SI y para asegurar
que se asigne el personal apropiado
164. Idealmente, las pruebas de stress sólo deberían
llevarse a cabo en los casos siguientes:
A. En un entorno de prueba usando datos de prueba
B. En un entorno de producción usando cargas de trabajo en
vivo
C. En un entorno de prueba usando cargas de trabajo en
vivo
D. En un entorno de producción usando datos de prueba
165. Una aplicación de procesamiento de transacción
propuesta tendrá muchas fuentes de captación de datos y
outputs tanto en papel como en forma electrónica. Para
asegurar que las transacciones no se pierdan durante el
procesamiento, el auditor de SI debería recomendar la
inclusión de:
A. controles de validación.
B. verificaciones de credibilidad interna.
C. procedimientos control de oficina.
D. balanceo automatizado de sistemas.
166. Un auditor de SI que realiza una revisión de las
operaciones de EFT de una compañía minorista verificaría
que el límite de crédito de los clientes sea verificado antes
que los fondos sean transferidos mediante la revisión del
EFT:
A. del interfaz del sistema.
B. la instalación de conmutador.
C. procedimiento de generación de número de identificación
personal.
D. procedimientos de operación de respaldo.
167. El MAYOR beneficio de implementar un sistema
usando programas de computadora que simulan lógica de
programa de aplicación.
B. Proveer un método de controlar los costos y cronogramas
y asegurar la comunicación entre los usuarios, los auditores
de SI, la gerencia y el personal de SI
Explicación:
Una metodología bien definida de desarrollo de sistema
facilitará la gerencia efectiva del proyecto ya que los costos y
cronogramas serán monitoreados consistentemente.
También, las metodologías de diseño requieren diversas
aprobaciones y firmas de diferentes grupos funcionales. Esto
facilita las comunicaciones adecuadas entre estos grupos.
C. En un entorno de prueba usando cargas de trabajo en
vivo
Explicación:
La prueba de stress se lleva a cabo para asegurar que un
sistema pueda soportar las cargas de trabajo de producción,
pero como puede ser probado hasta la destrucción, siempre
se debe usar un entorno de prueba para evitar dañar el
entorno de producción. Es por ello que la prueba nunca debe
llevarse a cabo en un entorno de producción (B y D) y si sólo
se usan datos de prueba, no hay seguridad de que el
sistema fue probado adecuadamente para el stress.
D. balanceo automatizado de sistemas.
Explicación:
El balanceo automatizado del sistema sería la mejor forma
de asegurar que no se pierda ninguna transacción ya que
cualquier desbalance entre el total de inputs y el total de
outputs se reportaría para investigación y corrección. Los
controles de validación y certificaciones de credibilidad
interna son ciertamente controles válidos, pero no detectarán
y reportarán las transacciones perdidas. Además, a pesar de
que se podría usar un procedimiento de oficina para sumar y
comparar inputs y outputs, un proceso automatizado es
menos susceptible de error.
A. del interfaz del sistema.
Explicación:
En el procesamiento de nivel de aplicación, el auditor de SI
debería revisar el interfaz entre el sistema de EFT sistema y
el sistema de aplicación que procesa las cuentas desde las
que se transfieren fondos. La opción B es incorrecta porque
un conmutador de EFT es la instalación que provee el enlace
de comunicación para todos los equipos de la red. Las
opciones C y D son procedimientos que no ayudarían a
determinar si el límite de crédito del cliente es verificado
antes que los fondos sean transferidos.
A. captar los conocimientos y la experiencia de las personas
experto es:
A. captar los conocimientos y la experiencia de las personas
dentro de una organización
B. compartir un conocimiento en un repositorio central
C. el aumento de la productividad y el desempeño del
personal
D. la reducción de la rotación de los empleados en los
departamentos clave.
168. ¿Cuál de lo siguiente es MÁS crítico cuando se crean
datos para probar la lógica de un sistema de aplicación
nuevo o modificado?
A. Una cantidad suficiente de datos para cada caso de
prueba
B. Datos que representan condiciones que se esperan en un
procesamiento real
C. Terminar la prueba en el tiempo programado
D. Una muestra al azar de datos reales
169. Durante la auditoría de un paquete de software
adquirido, el auditor de SI se enteró de que la compra del
software se basó en información obtenida a través de la
Internet, en lugar de basarse en respuestas a una solicitud
de propuesta (RFP). El auditor de SI debe PRIMERO:
A. probar el software para ver su compatibilidad con el
hardware existente.
B. realizar un análisis de brecha (gap analysis.)
C. revisar la política de concesión.
D. asegurarse de que el procedimiento había sido aprobado.
170. Funcionalidad es una característica asociada con
evaluar la calidad de los productos de software durante todo
su ciclo de vida, y se describe MEJOR como el conjunto de
atributos que recaen sobre:
A. existencia de un conjunto de funciones y sus propiedades
especificadas.
B. capacidad del software de ser transferido de un ambiente
a otro.
C. capacidad del software de mantener su nivel de
desempeño bajo condiciones establecidas.
D. relación entre el desempeño del software y la cantidad de
recursos usados.
171. ¿Cuál de los siguientes es MÁS efectivo para controlar
el mantenimiento de aplicaciones?
A. Informar a los usuarios sobre la situación de los cambios
B. Establecer prioridades en los cambios de programa
C. Obtener la aprobación del usuario de los cambios de
dentro de una organización
Explicación:
La base para un sistema experto es la captación y registro
de los conocimientos y de la experiencia de las personas
dentro de una organización. La codificación y la introducción
de conocimientos en un repositorio central, que se pueda
compartir dentro de la empresa, es un medio de facilitar el
sistema experto. Aumentar la productividad y el desempeño
del personal es un beneficio; sin embargo, no es tan
importante como captar los conocimientos y la experiencia.
La rotación de empleados no está necesariamente afectado
por un sistema experto.
B. Datos que representan condiciones que se esperan en un
procesamiento real
Explicación:
Seleccionar el tipo correcto de datos es clave para probar un
sistema de computación. Los datos no solo deben incluir
datos válidos e inválidos sino que deben ser representativos
del procesamiento real. La calidad es más importante que la
cantidad. Es más importante tener datos adecuados de
prueba que realizar la prueba en el tiempo programado. Es
improbable que una muestra al azar de datos reales cubra
todas las condiciones de prueba y provea una
representación razonable de datos reales.
D. asegurarse de que el procedimiento había sido aprobado.
Explicación:
En el caso de una desviación de los procedimientos
predefinidos, el auditor de SI debe primero asegurarse de
que el procedimiento seguido para adquirir el software es
consistente con los objetivos del negocio y ha sido aprobado
por las autoridades apropiadas. Las otras opciones no son
las primeras acciones que el auditor de SI debería
emprender. Ellas son pasos que pueden o no ser dados
después de determinar que el procedimiento usado para
adquirir el software había sido aprobado.
A. existencia de un conjunto de funciones y sus propiedades
especificadas.
Explicación:
Funcionalidad es el conjunto de atributos que recae sobre la
existencia de un conjunto de funciones y sus propiedades
específicas. Las funciones son las que satisfacen las
necesidades establecidas o implícitas. La opción B se refiere
la portabilidad, la opción C se refiere a confiabilidad y la
opción D se refiere a eficiencia.
C. Obtener la aprobación del usuario de los cambios de
programa
Explicación:
Las aprobaciones de los usuarios de los cambios a los
programas asegurará que los cambios sean correctos como
programa
D. Requerir especificaciones documentadas de los usuarios
para los cambios.
172. En un sistema de inteligencia artificial, ¿el acceso a
cuál de los siguientes componentes debe ser estrictamente
controlado?
A. Motor de inferencia
B. Módulo de explicación
C. Base de conocimiento
D. Interfaz de datos
173. ¿Cuál de los siguientes es una fortaleza de la técnica
de revisión de evaluación de programas (PERT) sobre otras
técnicas? PERT:
A. considera diferentes escenarios para planear y controlar
proyectos.
B. permite que el usuario entre parámetros de programa y de
sistema.
C. prueba con exactitud los procesos de mantenimiento de
sistema.
D. estima los costos de los proyectos de sistema.
174. ¿Durante cuál de las siguientes fases en el desarrollo
de sistemas serían preparados generalmente los planes de
aceptación de usuario?
A. Estudio de factibilidad
B. Definición de requerimientos
C. Planeación de la implementación
D. Revisión posterior a la implementación
los especifican los usuarios y que ellos estén autorizados.
Por lo tanto, los cambios erróneos o no autorizados es
menos probable que ocurran, minimizando el tiempo
improductivo y los errores del sistema.
C. Base de conocimiento
Explicación:
La base de conocimientos contiene información específica o
patrones de hechos asociados con un objeto en particular y
las reglas para interpretar estos hechos; por lo tanto, se
deben implementar y monitorear controles estrictos de
acceso para asegurar la integridad de las reglas de decisión.
El motor de inferencia es un programa que usa la base de
conocimientos y determina el resultado más apropiado
basado en la información suministrada por el usuario. El
interfaz de datos permite que el sistema experto recabe
datos de fuentes no humanas, por ejemplo, instrumentos de
medición en una planta de generación de energía y el
módulo de explicación ayuda al usuario a resolver el
problema a ser analizado y provee la conclusión experta.
A. considera diferentes escenarios para planear y controlar
proyectos.
Explicación:
PERT considera diferentes escenarios para planear y
controlar proyectos. Estimados de tres veces, optimistas,
pesimistas, y muy probablemente se usan para crear un
nivel de incertidumbre en la estimación del tiempo para las
actividades individuales.
B. Definición de requerimientos
Explicación:
Durante la definición de los requerimientos, el equipo del
proyecto estará trabajando con los usuarios para definir sus
objetivos precisos y sus necesidades funcionales. En este
momento, los usuarios deberían estar trabajando con el
equipo para considerar y documentar cómo se puede probar
la funcionalidad del sistema para asegurar que éste satisfaga
sus necesidades establecidas. El estudio de factibilidad es
demasiado temprano para dicha participación detallada del
usuario y las fases de planeación de implementación y de
revisión posterior a la implementación son demasiado
tardías. El auditor de SI debería saber en qué punto
deberían planearse la prueba del usuario para asegurar que
sea más efectiva y eficiente.