DOMINIO 1 The IS Audit Process 1. Durante una revisión de los controles sobre el proceso de definir los niveles de servicios de TI, un auditor de SI entrevistaría MÁS probablemente al: A. programador de sistemas. sistemas. B. personal del departamento legal. C. gerente de la unidad de negocio. D. programador.
C. gerente de la unidad de negocio. Explicación: Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que cada una de las otras entidades enumeradas puede suministrar alguna definición la mejor elección aquí es el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos relacionados con la organización.
2. La evaluación de riesgos es un proceso:
A. subjetivo.
A. subjetivo. B. objetivo. C. matemático. D. estadístico.
Explicación: El lineamiento de auditoría de SI sobre el uso de un análisis del riesgo en la planeación de auditoría expresa: "Todas las metodologías de análisis de riesgo se basan en juicios subjetivos en ciento momento del proceso (por ejem plo, para asignar ponderaciones a los diversos parámetros.) El auditor de SI debe identificar las decisiones subjetivas requeridas para usar una metodología en particular y considerar si estos juicios pueden hacerse y ser validos a un un nivel apropiado de exactitud".
3. ¿Cuál de las siguientes debe ser la MAYOR preocupación A. No reportar un ataque ataque exitoso en la red para un auditor de SI? Explicación: A. No reportar un ataque ataque exitoso en la red No reportar una intrusión es equivalente a un auditor de SI B. No notificar a la policía sobre un intento de intrusión que esconde una intrusión maliciosa, lo cual sería un error C. La falta de examen periódico de derechos de acceso profesional. A pesar de que puede requerirse la notificación D. La falta de notificación al público sobre un intruso a la policía y que la falta de un examen periódico de derechos de acceso podría ser una preocupación, ellos no representan una preocupación tan grande como la de dejar de reportar un ataque. Reportar al público no es un requisito y depende del deseo de la organización o de la falta del mismo de hacer saber sobre la intrusión. 4. El riesgo general del negocio para una amenaza en particular se puede expresar como: A. un producto de la probabilidad y de la magnitud del impacto si una amenaza explotara exitosamente una vulnerabilidad B. la magnitud del im pacto si una fuente de amenaza explotara exitosamente la vulnerabilidad. C. la probabilidad de que cierta fuente de amenaza explotara cierta vulnerabilidad. D. la opinión colectiva del equipo de evaluación de riesgos.
5. La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la implementación de los controles necesarios. El auditor de SI debería: A. rehusar la asignación ya que no es la función del auditor de SI
A. un producto de la probabilidad probabilidad y de la magnitud del impacto si una amenaza explotara exitosamente una vulnerabilidad Explicación: La opción A toma en consideración tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. La opción B provee únicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible daño al activo. De manera similar, la opción C considera solamente la magnitud del daño y no la posibilidad de que una amenaza explote una vulnerabilidad. La opción D define el riesgo sobre una base arbitraria y no es adecuado para un proceso científico de administración del riesgo. B. informar a la gerencia de su incapacidad para llevar a cabo futuras auditorías. Explicación: En esta situación el auditor de SI debería informar a la gerencia sobre el perjuicio a la independencia para llevar a
B. informar a la gerencia de su incapacidad para llevar a cabo futuras auditorías. C. realizar la asignación y las futuras auditorías con debido cuidado profesional. D. obtener la aprobación de la gerencia usuaria para realizar la implementación y seguimiento.
cabo auditorías posteriores en el área del auditado. Un auditor de SI puede realizar asignaciones que no sean de auditoría cuando la experiencia y conocimientos del auditor pueden ser de utilidad para la gerencia; sin embargo, realizando la asignación que no es de auditoría, el auditor de SI no puede llevar a ca bo futuras auditorías del auditado ya que su independencia puede estar comprometida. Sin embargo, la independencia del auditor no se verá afectada cuando sugiera /recomiende controles al auditado después de la auditoría.
6. Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas de información. El auditor de SI debe PRIMERO revisar:
D. las amenazas /vulnerabilidades que afectan a los activos.
A. los controles ya establecidos. establecidos. B. la eficacia de los controles establecidos. C. el mecanismo para monitorear los riesgos relacionados con los activos. D. las amenazas /vulnerabilidades que afectan a los activos.
7. En una auditoría de SI de varios servidores críticos, el auditor quiere analizar las pistas de auditoría para descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de las herramientas siguientes es la MÁS adecuada para realizar esa tarea? A. Herramientas CASE B. Herramientas integradas (embedded) de recolección de datos C. Herramientas heurísticas de escaneo D. Herramientas de detección de tendencias /varianzas
Explicación: Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionados con el uso de diversos sistemas de información son las amenazas y l as vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de información deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigación del riesgo y no durante la etapa de evaluación del riesgo. Se debe establecer un mecanismo para monitorear constantemente los riesgos relacionados con los activos durante la función de monitoreo del riesgo que sigue a la etapa de evaluación del riesgo. D. Herramientas de detección de tendencias /varianzas Explicación: Las herramientas de detección de tendencias /varianzas buscan anomalías en el comportamiento de usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los números son secuenciales o incrementales. Las herramientas CASE se usan para asistir en el desarrollo de software. El software integrado de recolección de datos (auditoría) se usa para tomar muestras y para proveer estadísticas de producción. Las herramientas heurísticas de escaneo se pueden usar para escanear en busca de virus para indicar códigos posiblemente infectados.
8. ¿Cuál de los siguientes podría ser usado por un auditor de A. Prueba de integridad de dominio. SI para validar la efectividad de las rutinas de edición y de validación? Explicación: La prueba de integridad de dominio está dirigida a verificar A. Prueba de integridad de dominio. que los datos se ajusten a las definiciones, i.e., los B. Prueba de integridad relacional. elementos de datos están todos en los dominios correctos. C. Prueba de integridad referencial. El objetivo principal de este ejercicio es verificar que las D. Verificaciones de paridad. rutinas de edición y de validación están funcionando de manera satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican calcular y verificar diversos campos computados , tales como los totales de control. Las verificaciones de integridad referencial implican asegurar que todas las referencias a una llave/clave primaria desde otro archivo existen realmente en su arc hivo original. Una verificación o chequeo de paridad es un bit agregado a cada carácter antes de la transmisión. El bit de paridad es una función de los bits que forman parte del carácter. El destinatario realiza la misma función en el carácter recibido y compara el resultado con el bit de paridad
transmitido. Si fuera diferente, se asume que hay un error. 9. ¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)? A. Concentración en las áreas de alto riesgo B. El reemplazo de las responsabilidades de auditoría C. La realización de cuestionarios de control D. Los talleres de facilitación colaborativa
10. La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de los sistemas de información están debidamente documentadas en una carta o contrato de auditoría (Audit Charter) y DEBEN ser: A. aprobadas por el más alto nivel de la gerencia. B. aprobadas por la gerencia del departamento de auditoría. C. aprobadas por la gerencia del departamento de los usuarios. D. cambiadas cada año antes del inicio de las auditorías de SI.
A. Concentración en las áreas de alto riesgo Explicación: Los objetivos de los programas CSA incluyen la educación para la gerencia de línea en responsabilidad del control, seguimiento y concentración de todos en las áreas de alto riesgo. Los objetivos de los programas de CSA incluyen el aumento de las responsabilidades de auditoría, no el reemplazo de las responsabilidades de auditoría. Las opciones C y D son herramientas de CSA y no objetivos. A. aprobadas por el más alto nivel de la gerencia. Explicación: La norma sobre responsabilidad, autoridad y obligación de rendir cuentas expresa "La responsabilidad autoridad, y obligaciones de rendir cuentas de la función de auditoría de los sistemas de información deben ser debidamente documentadas en una carta de auditoría o carta compromiso." Las opciones B y C son incorrectas porque la carta de auditoría debe ser aprobada por la gerencia de mas alto nivel, no meramente por el departamento de auditoría de los sistemas de información, o del departamento de usuarios. Las metodología de planeación resultantes deben ser revisadas y aprobadas por la alta gerencia y por el comité de auditoría. La opción D es incorrecta porque la carta de auditoría, una vez establecida no es revisada de manera rutinaria y debe ser cambiada solo si el cambio puede ser, y es, justificado exhaustivamente.
11. Una prueba integrada (integrated test facility —ITF) se considera una herramienta útil de auditoría porque:
C. compara el resultado (output) del procesamiento con datos calculados de manera independiente.
A. es un enfoque eficiente en costos de los controles de aplicación de auditoría. B. permite a la gerencia financiera y al auditor de SI integrar sus pruebas de auditoría. C. compara el resultado (output) del procesamiento con datos calculados de manera independiente. D. provee al auditor de SI una herramienta para analizar una amplia gama de información.
Explicación: Una facilidad de prueba integrada se considera una herramienta útil de auditoría porque usa los m ismos programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicación y procesar datos de prueba o de producción contra la entidad como un medio de verificar el procesamiento adecuado.
12. Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál de las siguientes es una función de usuario que el auditor de SI debe revisar?
A. Disponibilidad de documentación de red en línea
A. Disponibilidad de documentación de red en línea B. Soporte de acceso a terminal a anfitriones (hosts) remotos C. Administración de transferencia de archivo entre anfitriones (hosts) y comunicaciones entre usuarios D. Gerencia, auditoría y control del desempeño
13. Un auditor de SI descubre evidencia de fraude
Explicación: Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en línea de documentación de red. Otras funciones serían el acceso del usuario a diversos recursos de anfitriones (hosts) de red, la autorización del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Las opciones B, C y D son ejemplos de funciones de sistemas operativos de red entre las cuales están incluidas las siguientes: soportar el acceso de terminales a anfitriones (hosts) remotos, manejar la transferencia de archivos entre anfitriones (hosts), y comunicaciones entre usuarios. B. perpetrador no puede ser establecido mas allá de la duda.
perpetrado con la identificación del usuario de un Gerente. El gerente había escrito la contraseña, asignada por e l administrador del sistema, dentro del cajón/ la gaveta de su escritorio. El auditor de SI debería concluir que el: A. asistente del gerente perpetró el fraude. B. perpetrador no puede ser establecido mas allá de la duda. C. fraude pudo haber sido perpetrado por el gerente. D. administrador del sistema perpetró el fraude. 14. Cuando se evalúa el diseño de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar: A. los diagramas de topología de red. B. el uso de ancho de banda de red. C. los informes de análisis de tráfico de red. D. las ubicaciones de cuellos de botella de la red.
Explicación: Las debilidades de control de contraseña significan que cualquiera de las otras tres opciones p odría ser cierta. La seguridad de contraseña identificaría normalmente al perpetrador. En este caso, no establece culpa más allá de la duda.
A. los diagramas de topología de red. Explicación: El primer paso para evaluar los controles de monitoreo de la red debe ser la revisión de la adecuación de documentación de red, específicamente los diagramas de topología. Si esta información no está actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no serán efectivos.
15. En una auditoría de una aplicación de inventario, ¿qué A. Probar si un personal no apropiado puede cambiar los método proveerá la MEJOR evidencia de que las órdenes de parámetros de aplicación. compra son válidas? Explicación: A. Probar si un personal no apropiado puede cambiar los Para determinar la validez de la orden de compra, probar los parámetros de aplicación. controles de acceso proveerá la mejor evidencia. Las B. Rastrear las órdenes de compra hasta un listado de opciones B y C están basadas en métodos posteriores al computadora hecho, y la opción D no sirve al propósito porque lo que está C. Comparar los reportes que se reciben con los detalles de en la documentación del sistema puede no ser lo mismo que las órdenes de compra lo que está ocurriendo. D. Revisar la documentación de aplicación 16. Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 formularios "nuevo usuario" más recientes fueron correctamente autorizados. Este es un ejemplo de: A. Muestreo de variables B. Prueba sustantiva C. Prueba de cumplimiento D. Muestreo detenerse o seguir (stop-or-go)
C. Prueba de cumplimiento Explicación: La prueba de cumplimiento determina si los controles se están aplicando de acuerdo con las políticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. El muestreo de variables se usa para estimar los valores numéricos, tales como valores de dólar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los saldos de los estados financieros. El desarrollo de pruebas sustantivas depende a menudo del resultado de las pruebas de cumplimiento. Si las pruebas de cumplimiento indican que hay controles internos adecuados, entonces las pruebas sustantivas se pueden minimizar. El muestreo stop-or-go permite que una prueba sea detenida lo antes posible y no es apropiada para verificar si se han seguido los procedimientos.
17. Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación de un hallazgo que debería ser reportado. El auditor debe:
A. incluir el hallazgo en el reporte final porque el auditor de SI es responsable de un reporte exacto de todos los hallazgos.
A. incluir el hallazgo en el reporte final porque el auditor de SI es responsable de un reporte exacto d e todos los hallazgos. B. no incluir el hallazgo en el reporte final porque el reporte de auditoría debe incluir solamente los hallazgos no resueltos.
Explicación: Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente aceptada. Si se emprende una acción después de que comenzó la auditoría y antes de que terminara, el reporte de auditoría debe identificar el hall azgo y describir la acción correctiva tomada. Un reporte de
C. no incluir el hallazgo en el reporte final porque la acción correctiva puede ser verificada por el auditor de SI durante la auditoría. D. incluir el hallazgo en la reunión de cierre para fines de discusión solamente.
auditoría debe reflejar la situación, tal como ésta existía en el comienzo de la auditoría. Todas las acciones correctivas emprendidas por el auditado deben ser reportadas por escrito.
18. La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para la gerencia de seguridad de información es que éste asegura que:
C. se apliquen niveles apropiados de protección a los activos de información.
A. los activos de información estén sobreprotegidos. B. se aplique nivel básico de protección independientemente del valor del activo. C. se apliquen niveles apropiados de protección a los activos de información. D. se dedique una proporción igual de recursos para proteger todos los activos de información.
19. Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata con cómputo de pagos. El auditor encuentra que el 50 % de los cálculos no coinciden con los totales predeterminados. ¿Cuál de los siguientes es MÁS probable que sea el siguiente paso en la auditoría? A. Diseñar más pruebas de los cálculos que están en error B. Identificar variables que pueden haber causado que los resultados de prueba sean incorrectos C. Examinar algunos de los casos de prueba para confirmar los resultados D. Documentar los resultados y preparar un reporte de hallazgos, conclusiones y recomendaciones
Explicación: Una evaluación completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el enfoque de la línea base aplica meramente un conjunto estándar de protección independientemente del riesgo. Hay una ventaja de costo en no sobreproteger la información. Sin embargo una ventaja aún mayor es asegurarse que ningún activo de información esta sobre ni protegido de manera insuficiente. El enfoque de la evaluación del riesgo asegurara que se aplique un nivel de protección apropiado al nivel de riesgo y al valor del activo, y por lo tanto, toma en cuenta el valor del activo. El enfoque de línea base permite que más recursos sean dirigidos hacia los activos que están en mayor riesgo de dirigir los recursos a todos los activos. C. Examinar algunos de los casos de prueba para confirmar los resultados Explicación: El auditor de SI debería luego examinar casos donde ocurrieron cálculos incorrectos y confirmar los resultados. Después de que los cálculos hayan sido confirmados, más pruebas pueden ser llevadas a cabo y revisadas. La preparación de reportes, hallazgos y recomendaciones no se haría hasta que todos los resultados fueran confirmados.
20. ¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo?
D. Los recursos de auditoría son asignados a las áreas de mayor preocupación
A. El cronograma de auditoría puede realizarse con meses de anticipación B. Es más probable que los presupuestos de auditoría sean cumplidos por el personal de auditoría de SI C. El personal de auditoría estará expuesto a una variedad de tecnologías D. Los recursos de auditoría son asignados a las áreas de mayor preocupación
Explicación: El método basado en el riesgo está diseñado para asegurar que el tiempo de auditoría sea empleado en las áreas de mayor riesgo. El desarrollo de un cronograma de auditoría no está dirigido por un método basado en el riesgo. Los cronogramas de auditoría pueden ser preparados con m eses de anticipación usando diversos métodos de cronograma. Un método de riesgo no tiene una correlación directa con que el personal de auditoría cumpla con los cronogramas en una auditoría en particular, ni quiere decir necesariamente que una variedad más amplia de auditorías se llevará a cabo en un año dado.
21. ¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correo electrónico se han convertido en una fuente útil de evidencia en litigios?
A. Permanecen disponibles archivos de respaldo de diferentes ciclos.
A. Permanecen disponibles archivos de respaldo de
Explicación: Los archivos de respaldo contienen documentos, que
diferentes ciclos. B. Los controles de acceso establecen la responsabilidad de dar cuenta de la información de correo electrónico. C. La clasificación de datos regula que información debería ser comunicada por correo electrónico. D. Dentro de la empresa, una política clara para usar el correo electrónico asegura que la evidencia esta disponible.
supuestamente han sido borrados, podrían ser recuperados de estos archivos. Los controles de acceso pueden a yudar a establecer responsabilidad de dar cuenta de la emisión de un documento en particular, pero esto no provee evide ncia del correo Electrónico. Las normas de clasificación de datos pueden haber sido fijadas respecto a lo que debería comunicarse por correo electrónico, pero la creación de la política no provee información requerida para fines de litigación.
22. El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los sobrepagos de planilla/nóm ina para el año anterior. ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?
B. Software generalizado de auditoría
A. Datos de prueba B. Software generalizado de auditoría C. Prueba integrada D. Módulo de auditoría integrado
23. El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen cuando en realidad existen, es un ejemplo de:
Explicación: Las características del software generalizado de auditoría incluyen cómputos matemáticos, estratificación, análisis estadístico, verificación de secuencia, verificación de duplicados y recálculos. El auditor de SI, usando software generalizado de auditoría, podría diseñar pruebas apropiadas para recalcular la planilla/nómina y, de ese modo, determinar si hubo sobrepagos, y a quiénes fueron efectuados. Los datos de prueba probarían si existen controles que pudieran impedir los sobrepagos, pero no detectarían los errores de cálculo específicos anteriores. Ni una prueba integrada ni un módulo integrado de auditoría detectarían errores para un período anterior. C. riesgo de detección. Explicación: Este es un ejemplo de riesgo de detección.
A. riesgo inherente. B. riesgo de control. C. riesgo de detección. D. riesgo de auditoría. 24. Respecto al muestreo, se puede decir que: A. El muestreo es generalmente aplicable cuando la población se refiere a un control intangible o no documentado. B. Si un auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede bajar. C. El muestreo de atributos ayudaría a prevenir el muestreo excesivo de un atributo deteniendo una prueba de auditoría lo antes posible. D. El muestreo variable es una técnica para estimar la velocidad de ocurrencia de un control d ado o conjunto de controles relacionados. 25. En un servidor crítico, un auditor de SI descubre un caballo de Troya que fue producido por un virus conocido que explota una vulnerabilidad de un sistema operativo. ¿Cuál de los siguientes debería hacer PRIMERO un auditor? A. Investigar el autor del virus B. Analizar el log del sistema operativo C. Asegurarse que el código malicioso sea eliminado D. Instalar el parche que elimina la vulnerabilidad.
B. Si un auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede bajar. Explicación: El muestreo estadístico cuantifica que tan aproximadamente debería una muestra representar a la población, por l o general como un porcentaje. Si el auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede descender. El muestreo es generalmente aplicable cuando la población se refiere a un control tangible o documentado. La opción C es una descripción del muestreo detenerse o seguir. La opción D es una definición de muestreo de atributos. C. Asegurarse que el código malicioso sea eliminado Explicación: La prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debería sugerir controles correctivos, i.e., eliminar el código. El auditor de SI no es responsable de investigar el virus. El auditor de SI puede analizar la información del virus y determinar si éste ha afectado el sistema operativo, pero esta es una tarea investigativa que tendría lugar después de asegurarse que el código malicioso ha sido eliminado. Instalar el parche que elimina la vulnerabilidad debe hacerlo el soporte técnico.
26. ¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión de seguridad del centro de datos? A. Evaluar los resultados de prueba de acceso físico B. Determinar los riesgos/amenazas al lugar del centro de datos C. Revisar los procedimientos de continuidad del negocio D. Probar si hay evidencia de acceso físico en los lugares sospechosos 27. Cuando se está desarrollando una estrategia de auditoría basada en el riesgo, un auditor de SI debe llevar a cabo una evaluación del riesgo para asegurar que: A. los controles necesarios para mitigar los riesgos están instalados. B. las vulnerabilidades y amenazas están identificadas. C. los riesgos de auditoría están considerados. D. un análisis de brecha es apropiado.
B. Determinar los riesgos/amenazas al lugar del centro de datos Explicación: Durante la planeación, el auditor de SI debería obtener una visión general de las funciones que están siendo auditadas y evaluar los riesgos de auditoría y de negocios. Las opciones A y D son parte del proceso de trabajo de campo de la auditoría que ocurre posterior a esta planeación y preparación. La opción C no es parte de una revisión de seguridad. B. las vulnerabilidades y amenazas están identificadas. Explicación: Para desarrollar una estrategia de auditoría basada en el riesgo, es crítico que se entiendan los riesgos y vulnerabilidades. Esto determinará las áreas a ser auditadas y la extensión de la cobertura. Entender si los controles apropiados requeridos para mitigar los riesgos están instalados es un efecto resultante de una auditoría. Los riesgos de auditoría son aspectos inherentes de la auditoría, están directamente relacionados con el proceso de auditoría y no son relevantes para el análisis de riesgo del entorno a ser auditado. El análisis de brecha por lo general se haría para comparar el estado real de un estado esperado o deseable.
28. Un auditor de SI ha evaluado los controles en busca de A. El propietario de la aplicación no tenía conocimiento de la integridad de los datos en una aplicación financiera. ¿Cuál varios cambios realizados a la aplicación por el de los hallazgos siguientes sería el MÁS significativo? departamento de TI. A. El propietario de la aplicación no tenía conocimiento de varios cambios realizados a la aplicación por el departamento de TI. B. Se realizan copias de respaldo de los datos de la aplicación, sólo una vez por semana. C. La documentación de desarrollo de la aplicación está incompleta. D. Las instalaciones de procesamiento de información no están protegidas por sistemas apropiados de detección.
Explicación: Este es el hallazgo más significativo ya que afecta directamente la integridad de los datos de la aplicación y es evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de procesamiento. A pesar de que las copias de respaldo sólo una vez por semana es un hallazgo, ello no afecta la integridad de los datos en el sistema. La documentación incompleta de desarrollo de la aplicación no afecta la integridad de los datos. La falta de sistemas apropiados de detección de incendios no afecta la integridad de los datos pero puede afectar el almacenamiento de los datos.
29. ¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MÁS confiable?
D. Una carta de confirmación recibida de una fuente externa
A. Una declaración verbal del auditado B. Los resultados de una prueba realizada por una auditor de SI C. Un reporte de contabilidad por computadora generado internamente D. Una carta de confirmación recibida de una fuente externa
30. Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede
Explicación: La evidencia obtenida de fuentes externas es p or lo general más confiable que la obtenida desde dentro de la organización. Las cartas de confirmación recibidas desde el exterior, como por ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del área técnica bajo revisión. A. implementó un control específico durante el desarrollo del sistema de aplicación.
haber comprometido la independencia del auditor de sistemas? El auditor de sistemas: A. implementó un control específico durante el desarrollo del sistema de aplicación. B. diseño un módulo integrado de auditoría exclusivamente para auditar el sistema de aplicación. C. participó como miembro del equipo del proyecto del sistema de aplicación, pero no tuvo responsabilidades operativas. D. suministró asesoramiento en relación con las mejores prácticas del sistema de aplicación. 31. La función tradicional de un auditor de SI en una autoevaluación de control (control self-assessment —CSA) debe ser la de A. facilitador. B. administrador. C. socio. D. accionista.
Explicación: Se puede comprometer la independencia si el auditor de sistemas está o ha estado involucrado activamente en el desarrollo, adquisición, e implementación del sistema de aplicación. Las opciones B y C son situaciones que no comprometen la independencia del auditor de sistemas. La opción D es incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesoría sobre las mejores prácticas conocidas.
A. facilitador. Explicación: Cuando se establecen los programas de CS A, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez de que el auditor de SI realice procedimientos detallados de auditoría, debería conducir y orientar a l os clientes para evaluar su ambiente. Las opciones B, C y D no deben ser la función del auditor de SI. Estas funciones son más apropiadas para el cliente.
32. Un auditor de SI revisa un organigrama PRIMARIAMENTE para:
C. entender las responsabilidades y la autoridad de las personas.
A. entender los flujos de trabajo. B. investigar diversos canales de comunicación. C. entender las responsabilidades y la autoridad de las personas. D. investigar la red conectada con diferentes empleados.
Explicación: Un organigrama provee información sobre las responsabilidades y la autoridad de personas en la organización. Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones. Un diagrama de fluj o de trabajo proporcionaría información sobre las funciones de diferentes empleados. Un diagrama de red proveerá información sobre el uso de diversos canales de comunicación e indicará la conexión de los usuarios a la red.
33. El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado basado en:
D. el propósito y el alcance de la auditoría que se haga.
A. la disponibilidad de la información critica requerida. B. la familiaridad del auditor con las circunstancias. C. la capacidad del auditado para encontrar evidencia relevante. D. el propósito y el alcance de la auditoría que se haga.
34. En un enfoque de auditoría basado en el riesgo, un auditor de SI, además del riesgo, estaría influenciado por la: A. disponibilidad de los CAATs.
Explicación: El grado hasta donde los datos serán recolectados durante una auditoría de SI debe relacionarse directamente con el alcance y el propósito de la auditoría. Una auditoría que tenga un propósito y un alcance estrechos lo más probable es que tendría como consecuencia menos recolección de datos, que una auditoría que tuviera un propósito y un alcance mas amplios. El alcance de una auditoría de SI no debería ser restringidos por la facilidad de o btener la información o por la familiaridad del auditor con el área que esta siendo auditada. Recolectar toda la evidencia requerida es un elemento requerido de un auditor de SI y el alcance de la auditoría no debe estar limitado por la capacidad del auditado de encontrar evidencia relevante. D. existencia de controles internos y operativos. Explicación: La existencia de controles internos y operativos tendrá un
B. representación de la gerencia. C. estructura de la organización y las responsabilidades del puesto de trabajo. D. existencia de controles internos y operativos.
peso sobre el enfoque de la auditoría por el auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el riesgo, sino también en los controles internos y operativos así como también en el conocimiento de la compañía y del negocio. Este tipo de decisión de análisis del riesgo puede ayudar a relacionar el análisis costo-beneficio del control con el riesgo conocido, permitiendo elecciones prácticas. La naturaleza de técnicas de prueba disponibles y las manifestaciones de la Gerencia, tienen poco impacto sobre el enfoque de auditoría basado en el riesgo. A pesar de que la estructura de la organización y las responsabilidades del puesto de trabajo n ecesitan ser consideradas ellas no son consideradas directamente a menos que tengan un impacto en los controles internos y operativos.
35. Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría:
B. el impacto de cualquier exposición descubierta.
A. la eficiencia de la aplicación para cumplir con el proceso del negocio. B. el impacto de cualquier exposición descubierta. C. los procesos del negocio atendidos por la aplicación. D. la optimización de la aplicación.
Explicación: Un control de revisión de aplicaciones implica la evaluación de los controles automatizados de la aplicación y una evaluación de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditoría de aplicación pero no forman parte de una auditoría restringida a una revisión de controles.
36. Un auditor de SI debe usar muestreo estadístico y no muestreo de juicio (no estadístico), cuando:
A. la probabilidad de error debe ser cuantificada de manera objetiva.
A. la probabilidad de error debe ser cuantificada de manera objetiva. B. el auditor desea evitar el riesgo de muestreo. C. el software generalizado de auditoría no está disponible. D. no se puede determinar la tasa de error tolerable.
Explicación: Dada una tasa de error esperado y un nivel de confianza, el muestreo estadístico es un método objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamaño de la muestra y a cuantificar la probabilidad de error (coeficiente de confianza). La opción B es incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea representativa de la población. Este riesgo existe tanto para las muestras de juicio como para las muestras estadísticas. La opción C es incorrecta porque el muestreo estadístico no requiere el uso de software generalizado de auditoría. La opción D es incorrecta porque la tasa de error tolerable debe estar predeterminada tanto para el muestreo de juicio como para el muestreo estadístico.
37. ¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba?
B. Crear datos de prueba que cubran todas las condiciones posibles válidas y no válidas
A. Asegurar que la versión de programa probada es la misma que el programa de producción. B. Crear datos de prueba que cubran todas las condiciones posibles válidas y no válidas C. Minimizar el impacto de transacciones adicionales sobre la aplicación que está siendo probada D. Procesar los datos de prueba bajo la supervisión de un auditor
Explicación: La eficacia de los datos de prueba está determinada por la extensión de la cobertura de todos los co ntroles clave a ser probados. Si los datos de prueba no cubren todas las condiciones válidas y no válidas, hay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el período cubierto por la auditoría, pueden haberse efectuado para depurar o para funcionalidades adicionales. Sin embargo, como el método de datos de prueba involucra la prueba de datos para el período de auditoría, los cambios en el programa probado pueden tener un impacto mínimo. Las aplicaciones con la tecnología actual por lo general no son afectadas por las transacciones adicionales. Los datos d e
prueba son desarrollados por el auditor, sin embargo, no es necesario que el procesamiento sea bajo la supervisión de un auditor, ya que los datos de entrada serán verificados por los datos de salida (outputs). 38. Un Contrato de auditoría debería: A. Ser dinámico y cambiar con frecuencia para coincidir con la naturaleza cambiante de la Tecnología y la profesión de auditoría. B. Establecer claramente los objetivos de la auditoría para la delegación de autoridad para el mantenimiento y revisión de los controles internos. C. Documentar los procedimientos de auditoría designados para lograr los objetivos planeados de auditoría. D. Descubrir la autoridad, alcance y responsabilidades generales de la función de auditoría. 39. Al planear una auditoría, el paso M S crítico es la identificación de: A. las áreas de alto riesgo. B. los conjuntos de habilidades del personal de auditoría. C. los pasos de prueba en la auditoría. D. el tiempo asignado para la auditoría.
40. Durante una revisión de implementación de una aplicación distribuida multiusuario, el auditor de SI encuentra debilidades menores en tres áreas —La disposición inicial de parámetros está instalada incorrectamente, se están usando contraseñas débiles y algunos reportes vitales no se están verificando debidamente. Mientras se prepara el informe de auditoría, el auditor de SI debería: A. registrar las observaciones por separado con el impacto de cada una de ellas marcado contra cada hallazgo respectivo. B. advertir al gerente sobre probables riesgos sin registrar las observaciones, ya que las debilidades de control de menor importancia. C. registrar las observaciones y el riesgo que surjan de las debilidades colectivas. D. evaluar los jefes de departamento concernidos con cada observación y documentarlo debidamente en el reporte. 41. Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había procedimientos de seguridad documentados. El auditor de SI debe: A. crear el documento de procedimientos. B. dar por terminada la auditoría. C. llevar a cabo pruebas de cumplimiento. D. identificar y evaluar las prácticas existentes.
D. Descubrir la autoridad, alcance y responsabilidades generales de la función de auditoría. Explicación: Un contrato de auditoría debería establecer los objetivos de la gerencia para, y la delegación de autoridad a la auditoría de SI. Este contrato no debería cambiar de manera significativa con él tiempo y debería ser aprobado al nivel mas alto de la gerencia. El contrato de auditoría no estaría a un nivel de detalle y por lo tanto no incluiría objetivos o procedimientos específicos de auditoría. A. las áreas de alto riesgo. Explicación: Cuando se diseña un plan de auditoría, es importante identificar las áreas de más alto riesgo para determinar las áreas a ser auditadas. Los conjuntos de habi lidades del personal de auditoría deberían haberse considerado antes de decidir y de escoger la auditoría. Los pasos de prueba para la auditoría no son tan críticos como identificar las áreas de riesgo, y el tiempo asignado para una auditoría está determinado por las áreas a ser auditadas. Las cua les son primariamente seleccionadas con base en la identificación de los riesgos. C. registrar las observaciones y el riesgo que surjan de las debilidades colectivas. Explicación: Las debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial de debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al gerente local sin reportar los hechos y observaciones ocultaría los hallazgos de los otras partes interesadas.
D. identificar y evaluar las prácticas existentes. Explicación: Uno de los principales objetivos de una auditoría es identificar los riesgos potenciales; por lo tanto, el método más proactivo sería identificar y evaluar las prácticas existentes de seguridad que la organización está siguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera, su independencia estaría en peligro. Dar por terminada la auditoría puede impedir que se logren los
objetivos de la auditoría, es decir, la identificación de los riesgos potenciales. Como no hay procedimientos documentados, no hay base contra la cual probar el cumplimiento. 42. El éxito de la autoevaluación de control (CSA) depende en gran medida de:
A. hacer que los gerentes de línea asuman una parte de la responsabilidad del monitoreo del control.
A. hacer que los gerentes de línea asuman una parte de la responsabilidad del monitoreo del control. B. asignar a los gerentes de personal la responsabilidad de crear, pero no monitorear, controles. C. la implementación de una política estricta de control y controles impulsados por reglas. D. la implementación de supervisión y el monitoreo de controles de tareas asignadas.
Explicación: El objetivo primario de un programa de CSA es repaldar la función de auditoría interna pasando algunas de las responsabilidades de monitoreo de control a los gerentes de línea del área funcional. El éxito de un programa de autoevaluación de control (CSA) depende del grado en el que los gerentes de línea asumen la responsabilidad de los controles. Las opciones B, C y D son características de un método tradicional de auditoría, no de un método de CSA.
43. ¿Cuál de las siguientes opciones sería normalmente la evidencia MÁS confiable para un auditor?
A. Una carta de confirmación recibida de un tercero verificando un saldo de cuenta.
A. Una carta de confirmación recibida de un tercero verificando un saldo de cuenta. B. Garantía de la gerencia de línea de que una aplicación está funcionando como se la diseño. C. Los datos de tendencia obtenidos de fuentes de la Word Wide Web (internet) D. Los análisis de ratio desarrollados por el auditor de SI a partir de los informes suministrados por la gerencia de línea.
Explicación: La evidencia obtenida de terceros independientes casi siempre es considerada la más confiable. Las respuestas B, C y D no serian consideradas confiables.
44. Un auditor de SI está evaluando una red corporativa en busca de una posible penetración por parte de empleados internos. ¿Cuál de los hallazgos siguientes debería preocupar MÁS al auditor de SI?
D. Muchos IDs de usuarios tienen contraseñas idénticas.
A. Hay un número de módems externos conectados a la red. B. Los usuarios pueden instalar software en sus computadores/ordenadores (desktops) C. El monitoreo de la red es muy limitado D. Muchos IDs de usuarios tienen contraseñas idénticas.
45. Un auditor de SI revisando la efectividad de los controles de TI, encontró un informe de auditoría anterior, sin documentos de trabajo. ¿Cómo debe proceder el auditor de SI? A. Suspender la auditoría hasta que los documentos de trabajo estén disponibles. B. Basarse en el informe de auditoría anterior. C. Volver a probar los controles asociados con las áreas de
Explicación: El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos conocimientos técnicos y expone los recursos de la red a la explotación (maliciosa). La barrera técnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos IDs de usuario tengan contraseñas idénticas representa la mayor amenaza. Los módems externos representan un riesgo de seguridad, pero la explotación o aprovechamiento aún depende del uso de una cuenta válida de usuario. Mientras que el impacto de muchos IDs de usuario que tengan contraseñas idénticas puede ser elevado, (por ejemplo, debido a la instalación de Caballos de Troya o programas de key-logging), la probabilidad no es elevada debido al nivel de conocimientos técnicos que se requiere para penetrar exitosamente a la red. A pesar que el monitoreo de red puede ser un control de detección útil, sólo detectará el abuso de cuentas de usuario en circunstancias especiales y por lo tanto no es una primera línea de defensa. D. Informar a la gerencia de auditoría y proponer volver a probar los controles. Explicación: En ausencia de documentos de trabajo de auditoría, un auditor de SI debe volver a probar los controles para ver su efectividad. Sin volver a probar el aud itor no estará ejerciendo el debido cuidado profesional mientras realiza la auditoría. Los documentos de trabajo pueden ayudar al
más alto riesgo. D. Informar a la gerencia de auditoría y proponer volver a probar los controles.
auditor a eliminar la necesidad de volver a probar; sin embargo, el auditor debe estar preparado para volver a probar los controles.
46. Cuando comunican los resultados de auditoría, los auditores de SI deben recordar que en última instancia ellos son los responsables ante:
A. la alta gerencia y/o el comité de auditoría.
A. la alta gerencia y/o el comité de auditoría. B. el gerente de la entidad auditada. C. el director de auditoría de SI. D. las autoridades judiciales.
47. El departamento de SI de una organización quiere asegurarse de que los archivos de computadora usados en la instalación de procesamiento de información, estén respaldados adecuadamente para permitir la recuperación apropiada. Este es un: A. procedimiento de control. B. objetivo de control. C. control correctivo. D. control operativo.
48. Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debería emprender el auditor de SI? A. Borrar personalmente todas las copia del software no autorizado B. Informar al auditado sobre el software no autorizado y dar seguimiento para confirmar la eliminación C. Reportar el uso del software no autorizado a la gerencia del auditado y la necesidad de prevenir que vuelva a ocurrir D. No emprender ninguna acción, ya que es una práctica comúnmente aceptada y la gerencia de operaciones es responsable de monitorear dicho uso 49. En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado amenazas e impactos potenciales. Inmediatamente después, un auditor de SI debe: A. identificar y evaluar el proceso de análisis del riesgo usado por la gerencia. B. identificar los activos de información y los sistemas subyacentes.
Explicación: El auditor de SI es en última instancia responsable ante la alta gerencia y ante el comité de auditoría de la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opción B), ello se hace únicamente para obtener acuerdo sobre los hallazgos y para desarrollar un curso de acción correctiva. La opción C es incorrecta porque el director de auditoría de SI debe revisar el reporte que el auditor de SI preparó, pero no es la persona que tomará las decisiones respecto a los hallazgos y sus consecuencias potenciales. La opción D es incorrecta porque la responsabilidad de reportar a las autoridades judiciales descansaría en la junta directiva y sus asesores legales. B. objetivo de control. Explicación: Los objetivos de control de SI especifican el conjunto mínimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organización. Los procedimientos de control se desarrollan para proveer una garantía razonable de que se lograran los obj etivos específicos. Un control correctivo es una categoría de controles, que está dirigida a minimizar la amenaza y/o a remediar los problemas que no fueron impedidos o que no fueron inicialmente detectados. Los controles operativos se ocupan de las funciones y actividades operativas cotidianas, y ayudan a asegurar que las operaciones estén cumpliendo con los objetivos de negocio deseados. C. Reportar el uso del software no autorizado a la gerencia del auditado y la necesidad de prevenir que vuelva a ocurrir Explicación: El uso de software no autorizado o ilegal debe estar prohibido en una organización. La piratería de software tiene como consecuencia la exposición inherente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un auditor de SI no debe asumir la función del oficial de cumplimiento niasumir participación personal alguna para retirar o eliminar el software no autorizado. D. identificar y evaluar los controles e xistentes. Explicación: Es importante que un auditor de SI identifique y evalúe los controles y la seguridad existentes una vez q ue las amenazas potenciales y los impactos posibles están identificados. Al concluirse una auditoría, un auditor de SI debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.
C. revelar las amenazas y los impactos a la gerencia. D. identificar y evaluar los controles existentes. 50. Los diagramas de flujo de datos son usados por los Auditores de SI para:
C. resumir gráficamente las rutas y el almacenamiento de datos.
A. ordenar los datos jerárquicamente. B. resaltar las definiciones de datos de alto nivel. C. resumir gráficamente las rutas y el almacenamiento de datos. D. describir detalles paso por paso de la generación de datos.
Explicación: Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento de l os datos. Los diagramas de flujo no ordenan los datos en ningún orden jerárquico. El flujo de los datos no coincidirá necesariamente con ningún orden jerárquico o de generación de datos.
51. Para identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho semanas, lo MÁS probable es que un auditor de SI utilice:
D. software generalizado de auditoría.
A. datos de prueba. B. muestreo estadístico. C. una facilidad de prueba integrada. D. software generalizado de auditoría.
52. ¿Cuál de las siguientes técnicas en línea es más efectiva para la detección temprana de errores o irregularidades? A. módulo integrado de auditoría B. facilidad integrada de prueba C. Instantáneas D. Ganchos de auditoría
53. El uso de procedimientos estadísticos de m uestreo ayuda a minimizar el riesgo: A. de muestreo. B. de detección. C. inherente. D. de control.
Explicación: El software generalizado de auditoría facilitara la r evisión de todo el archivo de inventario para buscar los rubros que cumplan los criterios de selección. El software generalizado de auditoría provee acceso directo a los datos y provee funciones de cómputo, estratificación, etc. Los datos de prueba son usados para verificar programas, pero no confirmaran nada sobre las transacciones en cuestión. El uso de métodos de muestreo estadístico no pretende seleccionar condiciones específicas, sino que se usa para seleccionar muestras de manera aleatoria registros desde un archivo. En este caso, el auditor de SI querría verificar todos los ítem que reúnen criterios y no solo una muestra de ellos. Una prueba integrada (integrated test facility —ITF) permite al auditor de SI probar transacciones a través del sistema en producción. D. Ganchos de auditoría Explicación: La técnica del gancho de auditoría implica integrar código en los sistemas de aplicación para el examen de transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. Un modulo integrado de auditoría implica integrar software escrito especialmente en el sistema anfitrión de aplicación de la organización para que los sistemas de aplicación sean monitoreados de manera selectiva. Una facilidad integrada de prueba se usa cuando no es práctico usar datos de prueba, y las instantáneas o snapshots se usan cuando se requiere una pista de auditoría. B. de detección. Explicación: El riesgo de detección es el riesgo de que el auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen, cuando en realid ad sí existen. Usando muestreo estadístico, un auditor de SI puede cuantificar con qué aproximación debe la muestra representar a la población y debe cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que se hagan supuestos incorrectos sobre las características de una población a partir de la cual se selecciona una muestra.
Suponiendo que no hay controles compensatorios relacionados, el riesgo inherente es el riesgo de que exista un error, que podría ser material o significativo cuando se combina con otros errores durante la auditoría. El muestreo estadístico será material o significativo cuando se combine con otros errores encontrados durante la auditoría. El muestreo estadístico no minimizará esto. El riesgo de control es el riesgo de que exista un error material, que el sistema de controles internos no impida ni detecte oportunamente. 54. Durante una revisión de un archivo maestro de clientes, un auditor de SI descubrió numerosas duplicaciones de nombre de cliente que surgían de variaciones en los primeros nombres del cliente. Para determinar la extensión de la duplicación, el auditor de SI usaría: A. datos de prueba para validar los datos ingresados. B. datos de prueba para determinar las capacidades de selección del sistema. C. software generalizado de auditoría para buscar duplicaciones de campo de dirección. D. software generalizado de auditoría para buscar duplicaciones de campos de cuenta.
55. El propósito PRIMARIO de las pistas de auditoría es: A. mejorar el tiempo de respuesta para los usuarios. B. establecer el deber de rendir cuenta y responsabilidad de las transacciones procesadas. C. mejorar la eficiencia operativa del sistema. D. proveer información útil a los auditores que puedan desear rastrear transacciones.
56. ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI? A. Discusión con la gerencia B. Revisión del organigrama C. Observación y entrevistas D. Prueba de derechos de acceso de usuario
C. software generalizado de auditoría para buscar duplicaciones de campo de dirección. Explicación: Como el nombre no es el mismo ( debido a variaciones de los primeros nombres ), un método para detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones Y podría entonces seguidamente llevarse a cabo una revisión para determinar los nombres de los clientes en estas direcciones. Buscar los números de cuenta duplicados probablemente no hallaría duplicaciones de nombres ya que lo mas probable es que los clientes tengan números de cuenta diferentes para cada combinación. Los datos de prueba no serian útiles para detectar la extensión de cualquier característica de dato, sino simplemente para determinar como fueron procesados los datos. B. establecer el deber de rendir cuenta y responsabilidad de las transacciones procesadas. Explicación: Habilitar pistas de auditoría ayuda establecer la obligación de rendir cuentas y la responsabilidad de las transacciones procesadas, rastreando transacciones a través del sistema. El objetivo de habilitar software para proveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Habilitar pistas de auditoría si implica almacenamiento y de eso modo ocupa espacio de disco. La opción D es también una razón valida; sin embargo, no es la razón primaria. C. Observación y entrevistas Explicación: Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos están realizando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregación d e funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusión con la gerencia proveería solo información limitada respecto a la segregación de funciones. Un organigrama no proveería detalles de las funciones de los empleados y la prueba de los derechos de usuario proveería información sobre los derechos que ellos tienen dentro de l os sistemas de SI, pero no proveería información completa sobre las funciones que
ellos desempeñan. 57. El propósito PRIMARIO de un contrato de auditoría es: A. documentar el proceso de auditoría usado por la empresa. B. documentar formalmente el plan de acción del departamento de auditoría. C. documentar un código de conducta profesional para el auditor. D. describir la autoridad y responsabilidades del departamento de auditoría.
D. describir la autoridad y responsabilidades del departamento de auditoría. Explicación: El contrato de auditoría típicamente establece la función y la responsabilidad del departamento de auditoría interna. Debería establecer los objetivos de la gerencia y la delegación de autoridad al departamento de auditoría. Este se cambia muy pocas veces y no contiene el plan de auditoría o el proceso de auditoría que es por lo general parte del plan anual de auditoría, ni describe un código de conducta profesional ya que dicha conducta es fijada por la profesión y no por la gerencia.
58. Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización, el PRIMER paso sería:
C. desarrollar el plan de auditoría en base a la evaluación detallada del riesgo.
A. programar las auditorías y monitorear el tiempo empleado en cada auditoría. B. capacitar al personal de auditoría de SI en la tecnología corriente usada en la compañía. C. desarrollar el plan de auditoría en base a la evaluación detallada del riesgo. D. monitorear el progreso de las auditorías e iniciar las medidas de control de costos.
Explicación: Monitorear el tiempo (A) y los programas de auditoría (D), así como también una capacitación adecuada (B) mejorará la productividad del personal de auditoría de SI (eficiencia y desempeño), pero lo que entrega valor a l a organización son los recursos y esfuerzos que se están dedicando y que están concentrados en las áreas de mayor riesgo.
59. En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un hallazgo, el auditor de SI debe:
B. elaborar sobre la significación del hallazgo y los riesgos de no corregirlo.
A. solicitar al auditado que firme un formulario de liberación aceptando plena responsabilidad legal. B. elaborar sobre la significación del hallazgo y los riesgos de no corregirlo. C. reportar el desacuerdo al comité de auditoría para su resolución. D. aceptar la posición de los auditados ya que ellos son los propietarios del proceso.
60. Cuando se implementan sistemas de m onitoreo continuo el PRIMER paso de un auditor de SI es identificar: A. los umbrales razonables objetivo. B. las áreas de alto riesgo dentro de la organización. C. la ubicación y el formato de los archivos de output. D. las aplicaciones que proveen la más alta retribución (payback) potencial.
Explicación: Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importante que el auditor de SI elabore y aclare los riesgos y exposiciones, ya que es posible que los auditados no aprecien totalmente la magnitud de la exposición. La meta debe ser explicar a los auditados o descubrir nueva información de que el auditor de SI puede no haber estado en conocimiento. Cualquier cosa que parezca amenazar a los auditados reducirá las comunicaciones efectivas y establecerá una relación adversa. Por la misma razón, el auditor de SI no debe aceptar automáticamente porque los auditados expresen un punto de vista alterno. B. las áreas de alto riesgo dentro de la organización. Explicación: El primer paso y el más crítico en el proceso es identificar las áreas de alto riesgo dentro de la organización. Los gerentes del departamento de negocios y altos ejecutivos están en las mejores posiciones para ofrecer una opinión respecto a estas áreas. Una vez que las áreas potenciales de implementación hayan sido identificadas, se debería realizar una evaluación del impacto potencial para identificar las aplicaciones que proveen el mayor payback potencial a la organización. En este punto las pruebas y los umbrales razonables objetivo deberían determinarse antes de la programación. Durante el desarrollo de sistemas, se debe definir la ubicación y el formato de los archivos de salida (output) generados por los programas de monitoreo.
61. Un elemento clave en un análisis de riesgo es /son:
C. las vulnerabilidades.
A. la planeación de auditoría. B. los controles. C. las vulnerabilidades. D. las responsabilidades.
Explicación: Las vulnerabilidades son un elemento clave en la realización de un análisis de riesgo. La planeación de la auditoría está constituida por procesos de corto y largo plazo que pueden detectar amenazas a los activos de información. Los controles mitigan los riesgos asociados con amenazas específicas. Las responsabilidades son parte del negocio y no son un riesgo en forma inherente.
62. ¿Cuál de los siguientes describe MEJOR una prueba integrada (integrated test facility —ITF)?
A. Una técnica que permite al auditor de SI probar una aplicación de computadora con el fin de verificar si hay un procesamiento correcto.
A. Una técnica que permite al auditor de SI probar una aplicación de computadora con el fin de verificar si hay un procesamiento correcto. B. La utilización de hardware y/o software para revisar y probar el funcionamiento de un sistema de computadora. C. Un método para usar opciones especiales de programación para permitir que se imprima la ruta a través de un programa tomado para procesar una transacción especifica. D. Un procedimiento para marcar y extender transacciones y registros maestros que son usados por una auditor d e SI para pruebas. 63. ¿Las decisiones y las acciones de un auditor es M S probable que afecten a cuál de los riesgos siguientes? A. Inherentes. B. De detección. C. De control. D. De negocio.
64. La ventaja PRIMARIA de un enfoque continuo de auditoría es que: A. no requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras está teniendo lugar el procesamiento. B. requiere que el auditor de SI revise y dé un seguimiento de inmediato a toda la información recolectada. C. puede mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran número de transacciones. D. no depende de la complejidad de los sistemas de computadora de una organización.
65. Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas está restringido a
Explicación: La respuesta A describe mejor una prueba i ntegrada (integrated test facility—ITF), que es un proceso de auditoría especializado asistido por computadora que permite que auditor de SI pruebe una aplicación de manera continua. La respuesta B es un ejemplo de un archivo de revisión de control de sistemas; las respuestas C y D son ejemplos de instantáneas.
B. De detección. Explicación: Un riesgo de detección está directam ente afectado por la selección, por parte del auditor, de los procedimientos y técnicas de auditoría. Los riesgos inherentes por lo general no están afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compañía. Los riesgos financieros no están afectados por el auditor de SI. C. puede mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran número de transacciones. Explicación: El uso de técnicas continuas de auditoría puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran numero de transacciones, pero dejan muy pocas pistas de papel. La opción A es incorrecta ya que el enfoque de auditoría continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras está llevando a cabo el procesamiento. La opción B es incorrecta ya que un auditor de SI normalmente revisaría y daría seguimiento sólo a las deficiencias materiales o errores detectados. La opción D es incorrecta ya que el uso de técnicas de auditoría continua depende efectivamente de la complejidad de los sistemas de computadora de una organización. B. entreviste a los programas para averiguar los procedimientos que se están siguiendo corrientemente.
las personas autorizadas, lo MÁS probable es que: A. evalúe los planes de retención de registros para almacenarlos fuera de la facilidad. B. entreviste a los programas para averiguar l os procedimientos que se están siguiendo corrientemente. C. compare los registros de utilización para programación de operaciones. D. revise los registros de acceso de archivos de datos para probar la función de biblioteca.
Explicación: Preguntar a los programadores sobre los procedimientos que se están siguiendo actualmente es útil para determinar si el acceso a la documentación de programas está restringido a las personas autorizadas. Evaluar los planes de retención de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperación, no el control de acceso a la documentación de programas. Probar los registros de utilización no resolverá la seguridad de acceso a la documentación de programas. Probar la seguridad de acceso a archivos de datos no resuelve la seguridad de la documentación de programas.
66. ¿Cuál de las siguientes es la ventaja PRINCIPAL de usar A. La preservación de la cadena de custodia para la software forense de computación para las investigaciones? evidencia electrónica A. La preservación de la cadena de custodia para la evidencia electrónica B. Ahorros en tiempo y en costo C. Eficiencia y eficacia D. Capacidad para investigar violaciones de los derechos de propiedad intelectual
Explicación: El objetivo primario del software forense es preservar la evidencia electrónica para satisfacer las reglas de evi dencia. Los ahorros en tiempo y en costos, opción B, y la eficiencia y la eficacia, opción C, son preocupaciones legítimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opción D, es un ejemplo de un uso de software forense.
67. Al llevar a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser el siguiente paso del auditor de SI?
C. Informar de inmediato al personal apropiado.
A. Observar el mecanismo de respuesta. B. Sacar el virus de la red. C. Informar de inmediato al personal apropiado. D. Asegurar que se elimine el virus.
68. ¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada una muestra de programas para determinar si las versiones fuentes y l as versiones objeto son las mismas? A. Una prueba sustantiva de los controles de la biblioteca de programas B. Una prueba de cumplimiento de controles de la biblioteca de programas C. Una prueba de cumplimiento de los controles del compilador de programas D. Una prueba sustantiva de los controles de compilador de programas
Explicación: Lo primero que un auditor de SI debe hacer después de detectar el virus es alertar sobre su presencia a la organización, luego esperar la respuesta de ésta. La opción A se debe emprender después de la opción C. Esto permitirá al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El auditor de SI n o debe hacer cambios al sistema que está siendo auditado, y asegurar la eliminación del virus es una responsabilidad de la gerencia. B. Una prueba de cumplimiento de controles de la biblioteca de programas Explicación: Una prueba de cumplimiento determina si los controles están operando como se diseñaron y si están siendo aplicados en tal forma que cumplan con las políticas y procedimientos de gerencia. Por ejemplo, si al auditor de SI le preocupa si los controles de biblioteca de programas están funcionando correctamente, el auditor de SI podría seleccionar una muestra de programas para determinar si las versiones fuente y las versiones objeto son las mismas. En otras palabras, el principal objetivo de cualquier prueba de cumplimiento es proveer a los auditores una garantía razonable de que un control en particular en el que el auditor planea basarse está operando como el auditor lo percibió en la evaluación preliminar.
69. Cuando se evalúa el efecto colectivo de los controles A. del punto en que los controles son ejercidos como flujos preventivos de detección o correctivos dentro de un proceso, de datos a través del sistema. un auditor de SI debería estar consciente: Explicación:
A. del punto en que los controles son ejercidos como flujos de datos a través del sistema. B. de que solo los controles preventivos y de detección son relevantes. C. de que los controles correctivos solo pueden ser considerados como compensatorios. D. de que la clasificación permite a un auditor de SI determinar que controles faltan.
Un auditor de SI debería concentrarse en cuando los controles son ejercidos como flujos de datos a través del sistema de computadora. La opción B es incorrecta ya que los controles correctivos pueden ser también relevantes. La opción C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. La opción D es incorrecta e irrelevante ya que la existencia y función de los controles es importante, no la clasificación.
70. Los análisis de riesgos realizados por los auditores de SI son un factor crítico para la planeación de la auditoría. Se debe hacer un análisis del riesgo para proveer:
A. garantía razonable de los puntos materiales de SI serán cubiertos durante el trabajo de auditoría.
A. garantía razonable de los puntos materiales de SI serán cubiertos durante el trabajo de auditoría. B. garantía suficiente de que los puntos materiales serán cubiertos durante el trabajo de auditoría. C. garantía razonable de que todos los puntos serán cubiertos durante el trabajo de auditoría. D. garantía suficiente de que todos los puntos serán cubiertos durante el trabajo de auditoría.
Explicación: La directriz para la auditoría de SI sobre la planeación de la auditoría de SI establece: "Se debe hacer un análisis de riesgo para proveer garantía razonable de que se abarcaran adecuadamente los puntos materiales. Este análisis debe identificar áreas con riesgo relativamente alto de existencia de problemas materiales". Garantía suficiente de que se abarcaran los puntos materiales durante el trabajo de auditoría es una proposición impractica. Garantía razonable de que se abarcaran todos los puntos durante el trabajo de auditoría no es la respuesta correcta ya que es necesario que los puntos materiales sean cubiertos, no todos los puntos.
71. ¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)?
B. Las pruebas periódicas no requieren procesos separados de prueba
A. Usa archivos maestros reales o dummies y el auditor de SI no tiene que revisar la fuente de la transacción B. Las pruebas periódicas no requieren procesos separados de prueba C. Valida los sistemas de aplicación y prueba la operación del sistema que se está realizando D. Elimina la necesidad de preparar datos de prueba
Explicación: Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultáneamente con la entrada en vivo. Su ventaja es que las pruebas periódicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeación cuidadosa y los datos de prueba deben ser aislados de los datos de producción.
72. El objetivo PRIMARIO de una función de auditoría de SI es:
B. determinar si los sistemas de información salvaguardan activos, y mantienen la integridad de datos
A. determinar si todos usan los recursos de SI de acuerdo con su descripción del trabajo B. determinar si los sistemas de información salvaguardan activos, y mantienen la integridad de datos C. examinar libros de contabilidad y evidencia documentaria relacionada para el sistema computarizado D. determinar la capacidad de la organización para detectar fraude.
Explicación: La razón primaria para llevar a cabo auditorías de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. Examinar libros de contabilidad es uno de los procesos involucrados en una auditoría de SI pero no es el propósito primario. Detectar fraudes podría ser una consecuencia de una auditoría de SI pero no es el propósito para el que se realiza una auditoría de SI.
73. ¿Cuál de las siguientes es una prueba sustantiva?
C. Usar una muestra estadística para inventariar la biblioteca de cintas
A. Verificar una lista de reportes de excepción B. Asegurar la aprobación para cambios de parámetros C. Usar una muestra estadística para inventariar la biblioteca de cintas D. Revisar los reportes históricos de contraseña
Explicación: Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva determinaría si los registros de la biblioteca de cintas están establecidos correctamente. Una prueba de cumplimiento determina si se están aplicando los controles de una forma consistente con
las políticas y procedimientos de la gerencia. Verificar la autorización de los reportes de excepción, revisar la autorización para cambiar parámetros y revisar los reportes históricos de contraseña son todas pruebas de cumplim iento. 74. En un enfoque de auditoría basado en el riesgo, un auditor de SI debería realizar primero una: A. evaluación del riesgo inherente. B. evaluación del riesgo de control. C. prueba de evaluación de control. D. evaluación de prueba sustantiva.
A. evaluación del riesgo inherente. Explicación: El primer paso en un enfoque de auditoría basada en el riesgo es recolectar información sobre el negocio y la industria para evaluar los riesgos inherentes. Después de realizar la evaluación de los riesgos inherentes, el siguiente paso sería realizar una evaluación de la estructura de control interno. Los controles serian entonces probados sobre la base de los resultados de prueba, se realizarían las pruebas sustantivas y serian evaluadas.
75. ¿Cuál de los métodos de muestreo es el M S útil cuando A. Muestreo de atributos. se pone a prueba su cumplimiento? Explicación: A. Muestreo de atributos. El muestreo de atributos es el método primario de muestreo B. Muestreo de variables. que se usa para comprobar el cumplimiento. E l muestreo de C. Media estratificada por unidad. atributos es un modelo de muestreo que se usa para estimar D. Estimación de la diferencia. la tasa de ocurrencia de una calidad especifica (atributo) en una población y se usa en la comprobación de cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobación de detalles o cantidad. 76. Un beneficio PRIMARIO para una organi zación que emplea técnicas de auto evaluación de controles (control self-assessment—CSA), es que ella: A. puede identificar las áreas de alto riesgo que pudieran necesitar una revisión detallada mas tarde. B. permite al auditor de SI que evalúe el riesgo de manera independiente. C. se puede usar como reemplazo de las auditorías tradicionales. D. permite que la gerencia delegue la responsabilidad de control.
77. Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados están completos se lleva a cabo: A. Comparar los totales de control de los datos importados con los totales de control de los datos originales B. Clasificando (sorting) los datos para confirmar si los datos están en el mismo orden que los datosoriginales C. Revisando la impresión de los primeros 100 registros de los datos originales con los primeros 100 registros de los datos importados D. Filtrando los datos para diferentes categorías y comparándolos con los datos originales.
A. puede identificar las áreas de alto riesgo que pudieran necesitar una revisión detallada mas tarde. Explicación: La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitan atención inmediata o una revisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requi ere la participación de tanto los auditores como la gerencia de línea. Lo que ocurre es que la función de auditoría interna pasa algunas de las responsabilidades de monitoreo de control a las áreas funcionales. La respuesta C es incorrecta porque la CSA no es un reemplazo de las auditorías tradicionales. La CSA no pretende reemplazar las responsabilidades de la auditoría, sino aumentarlas. La respuesta D es incorrecta porque la CSA no permite que la gerencia delegue su responsabilidad de controlar. A. Comparar los totales de control de los datos importados con los totales de control de los datos originales Explicación: Comparar los totales de control de los datos importados con los totales de control de los datos originales es el siguiente paso lógico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la totalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en el orden de clasificación. Además la clasificación no provee totales de control para verificar la totalidad (completeness). Revisar una impresión de 100 registros de datos originales con 100 registros de datos importados es un proceso de verificación física y
confirma la corrección de estos registros solamente. Filtrar datos para diferentes categorías y compararlos con los datos originales aún requeriría que se desarrollen los totales de control para confirmar la totalidad de los datos. 78. La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de un proyecto de desarrollo de aplicaciones es: A. asesorar sobre los procedimientos de control específico y detallado. B. asegurar que el diseño refleje exactamente el requerimiento. C. asegurar que todos los controles necesarios estén incluidos en el diseño inicial. D. asesorar a la gerencia de desarrollo sobre la adherencia al cronograma. 79. ¿Cuál de las siguientes herramientas de auditoría es la MÁS importante para un auditor de SI cuando se requiere una pista de auditoría? A. Prueba Integrada (ITF) B. Simulacro continuo e intermitente (CIS) C. Ganchos de auditoría (Audit hooks) D. Instantáneas (Snapshots)
80. ¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa en pruebas cambia? A. Listados de la biblioteca de prueba B. Listados de programas fuente C. Solicitudes de cambio de programas D. Listados de la biblioteca de producción
C. asegurar que todos los controles necesarios estén incluidos en el diseño inicial. Explicación: La función del auditor de SI es asegurar que estén incluidos los controles requeridos. A menos que esté presente específicamente como un consultor, el auditor de SI no debería participar en diseños detallados. Durante la fas e de diseño, la función primaria del auditor de SI es asegurar que estén incluidos los controles. A menos que haya algún desvío potencial que reportar, al auditor de SI no le concierne el control de proyecto en esta etapa. D. Instantáneas (Snapshots) Explicación: Una herramienta de instantánea (snapshot) es más útil cuando se requiere una pista de auditoría. ITF puede usarse para incorporar transacciones de prueba en una corrida normal de producción. CIS es útil cua ndo las transacciones que reúnen ciertos criterios necesitan ser examinadas. Los ganchos de auditoría son útiles cuando sólo se necesita examinar transacciones o procesos escogidos. D. Listados de la biblioteca de producción Explicación: La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de información es el sistema automatizado. Las bibliotecas de producción representan ejecutables que están aprobados y autorizados para procesar los datos de la organización. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay ninguna garantía de que hayan sido elaboradas las solicitudes para todos los cambios. Los listados de biblioteca de prueba no representan los ejecutables aprobados y autorizados.
81. Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a:
A. lograr un entendimiento de las metas y objetivos de una organización.
A. lograr un entendimiento de las metas y objetivos de una organización. B. probar los controles internos de la empresa. C. determinar si la organización puede confiar en los sistemas de información. D. determinar el número de recursos de auditoría que se necesitan.
Explicación: La planeación estratégica pone en movimiento los objetivos corporativos o departamentales. La planeación estratégica está orientada al tiempo y al proyecto, pero debe también tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Revisar los planes estratégicos a largo plazo no alcanzaría los objetivos expresados por las otras opciones.
82. El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:
C. preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados.
A. revisión visual detallada y análisis del código fuente de los programas de cálculo.
Explicación: Preparar transacciones simuladas para procesar y comparar
B. recrear un programa lógico usando software generalizado de auditoría para calcular los totales mensuales. C. preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados. D. creación automática de diagrama de flujo y análisis del código fuente de los programas de cálculo.
los resultados con resultados predeterminados es el MEJOR método para probar la corrección de un cálculo de impuestos. La revisión visual detallada, la creación de diagramas de flujo y el análisis de código fuente no son métodos efectivos, y los totales mensuales no resolverían la exactitud de cálculos individuales de impuestos.