DOMINIO 3 2. Las fases y los productos disponibles de un proyecto de ciclo de vida de desarrollo de sistemas (SDLC) deberían ser determinadas:
A. durante las etapas iniciales de planeación del proyecto.
A. durante las etapas iniciales de planeación del proyecto. B. después de efectuarse una planeación anticipada, pero antes de que el trabajo haya comenzado. C. a través de las etapas del d el trabajo basadas en riesgos y exposiciones. D. sólo después de que se hayan identificado todos los riesgos y exposiciones y que el auditor de SI haya recomendado los controles apropiados.
Explicación: Es extremadamente importante que el proyecto según planeado debidamente y que las etapas específicas y los productos disponibles sean identificados durante las primeras etapas del proyecto.
3. ¿Cuál de los siguientes es un control para compensar que un programador tenga acceso a datos de producción de cuentas por pagar?
D. Hacer que el supervisor de cuentas por pagar haga coincidir todos los cheques con las facturas aprobadas
A. Controles de procesamiento como por ejemplo verificación de rangos y ediciones lógicas B. Revisar reportes de cuentas por pagar de output por ingreso de datos C. Revisar reportes producidos por sistema en busca d e cheques por una suma declarada D. Hacer que el supervisor de cuentas por pagar haga coincidir todos los cheques con las facturas aprobadas
4. A las unidades de negocio les preocupa el desempeño (performance) de un sistema recién implementado. ¿cuál de los siguientes recomendaría el auditor de SI? A. Desarrollar una línea base y monitorear el uso del sistema B. Definir procedimientos alternos de procesamiento C. Preparar el manual de mantenimiento D. Implementar los cambios que los usuarios han sugerido
5. La información para detectar input no a utorizado proveniente de una terminal sería provista MEJOR por: A. un impreso de registro registro de consola. B. el diario de transacciones. C. un listado automatizado de archivos en suspenso. D. un reporte de error de usuario.
Explicación: Para asegurar que el programador no pudo hacer generar un cheque, sería necesario que alguien confirmara todos los cheques generados por el sistema. Las verificaciones de rango y lógicas podrían fácilmente ser evadidas por un programador ya que son exclusivas de los controles que han sido integrados al sistema. La revisión de los reportes de cuentas por pagar por ingreso de datos solamente identificaría los cambios que podrían haberse efectuado al input de datos. No identificaría la i nformación que podría haber sido cambiada en los archivos maestros. Revisar los reportes en busca de cheques sobre una c ierta suma no permitiría la identificación de ningún cheque por valor bajo no autorizado ni atraparía alteraciones a los m ismos cheques reales. A. Desarrollar una línea base y monitorear el uso del sistema Explicación: El auditor de SI recomienda el desarrollo de una línea base de desempeño/performancia y monitorea el desempeño/performancia del sistema contra la línea base para desarrollar datos empíricos sobre los cuales se p ueden tomar decisiones para modificar el sistema. Los procedimientos de procesamiento alterno y un manual de mantenimiento no alterarán el desempeño/performancia de un sistema. Implementar cambios sin conocer la o l as causas del desempeño/performancia insuficiente percibido, puede no tener como consecuencia un sistema m ás eficiente. B. el diario de transacciones. Explicación: El diario de transacciones registraría toda la actividad de transacciones, que luego podría ser comparada con los documentos fuente autorizados para identificar cualquier input no autorizado. Un impreso de registro de consola no es lo mejor porque no registraría actividad proveniente de una terminal específica. Un listado automatizado de archivos en
suspenso enumeraría solamente la actividad de transacciones donde ocurrió un error de edición, y el reporte de error de usuario enumeraría solamente input que tuvo como consecuencia un error de edición. 6. Los reconocimientos funcionales se usan: A. como una pista de auditoría auditoría para las Transacciones de EDI. B. describir funcionalmente el departamento de SI. C. documentar las funciones y responsabilidades del usuario. D. como una descripción funcional de software de aplicación.
A. como una pista de auditoría para las Transacciones de EDI. Explicación: Los reconocimientos funcionales son transacciones estándar de EDI que dicen a los socios comerciales que sus documentos electrónicos fueron recibidos. Diferentes tipos de reconocimientos funcionales provee diferentes niveles de detalle y por lo tanto pueden actuar una pista de auditoría para Transacciones de EDI. Las otras opciones no son relevantes para la descripción de reconocimientos funcionales.
7. ¿Cuál de las siguientes sig uientes situaciones aumentaría la probabilidad de fraude?
A. Los programadores de de aplicaciones están implementando cambios a los programas de producción
A. Los programadores de aplicaciones aplicaciones están implementando cambios a los programas de producción B. Los programadores de aplicaciones están implementando cambios a los programas de prueba C. El personal de soporte de operaciones está implementando cambios a los cronogramas de lotes D. Los administradores de base de datos están implementando cambios a las estructuras de datos
Explicación: Los programas de producción se usan p ara procesar los datos reales y corrientes de la empresa. Es imperativo asegurar que los controles de los cambios cam bios a los programas de producción sean tan estrictos como para los programas originales. La falta de control en esta área podría tener como resultado que los programas de aplicación se an modificados de manera que manipulen los datos. A los programadores de aplicaciones se les exige que implementen cambios en los programas de prueba. Estos son usados únicamente en el desarrollo, y no impactan directamente el procesamiento en vivo de los datos. El personal de soporte de operaciones que implementa cambios a los cronogramas de lotes sólo afectará la programación de los lotes. Esto no afecta los datos vivos. A los administradores de base de datos se les exige que implementen cambios a las estructuras de datos. Esto se requiere para que la reorganización de la base de datos permita adiciones, modificaciones eliminación de campos o de tablas en la base de datos. La probabilidad de fraude a causa de dichos cambios cam bios es remota ya que estos cambios afectan los datos futuros y todos los campos relacionados para todos los registros en la base de datos. Por lo tanto, no es viable hacer cambios a las estructuras de datos.
8. Durante la prueba de unidad, la estrategia de prueba aplicada es de:
B. caja blanca.
A. caja negra. B. caja blanca. C. abajo hacia arriba. D. arriba hacia abajo.
9. El impacto de EDI sobre los controles internos será: A. que existirán menos oportunidades oportunidades para revisar y
Explicación: La prueba de caja blanca examina la estructura interna de un módulo. Un programador debe ejecutar esta prueba pa ra cada módulo antes de integrar el módulo m ódulo con otros. La prueba de caja negra se concentra en los requerimientos funcionales y no considera la estructura de control del módulo. Las opciones C y D no son correctas porque estas pruebas requieren que varios módulos hayan ya sido ensamblados y probados. A. que existirán menos oportunidades oportunidades para revisar y autorizar.
suspenso enumeraría solamente la actividad de transacciones donde ocurrió un error de edición, y el reporte de error de usuario enumeraría solamente input que tuvo como consecuencia un error de edición. 6. Los reconocimientos funcionales se usan: A. como una pista de auditoría auditoría para las Transacciones de EDI. B. describir funcionalmente el departamento de SI. C. documentar las funciones y responsabilidades del usuario. D. como una descripción funcional de software de aplicación.
A. como una pista de auditoría para las Transacciones de EDI. Explicación: Los reconocimientos funcionales son transacciones estándar de EDI que dicen a los socios comerciales que sus documentos electrónicos fueron recibidos. Diferentes tipos de reconocimientos funcionales provee diferentes niveles de detalle y por lo tanto pueden actuar una pista de auditoría para Transacciones de EDI. Las otras opciones no son relevantes para la descripción de reconocimientos funcionales.
7. ¿Cuál de las siguientes sig uientes situaciones aumentaría la probabilidad de fraude?
A. Los programadores de de aplicaciones están implementando cambios a los programas de producción
A. Los programadores de aplicaciones aplicaciones están implementando cambios a los programas de producción B. Los programadores de aplicaciones están implementando cambios a los programas de prueba C. El personal de soporte de operaciones está implementando cambios a los cronogramas de lotes D. Los administradores de base de datos están implementando cambios a las estructuras de datos
Explicación: Los programas de producción se usan p ara procesar los datos reales y corrientes de la empresa. Es imperativo asegurar que los controles de los cambios cam bios a los programas de producción sean tan estrictos como para los programas originales. La falta de control en esta área podría tener como resultado que los programas de aplicación se an modificados de manera que manipulen los datos. A los programadores de aplicaciones se les exige que implementen cambios en los programas de prueba. Estos son usados únicamente en el desarrollo, y no impactan directamente el procesamiento en vivo de los datos. El personal de soporte de operaciones que implementa cambios a los cronogramas de lotes sólo afectará la programación de los lotes. Esto no afecta los datos vivos. A los administradores de base de datos se les exige que implementen cambios a las estructuras de datos. Esto se requiere para que la reorganización de la base de datos permita adiciones, modificaciones eliminación de campos o de tablas en la base de datos. La probabilidad de fraude a causa de dichos cambios cam bios es remota ya que estos cambios afectan los datos futuros y todos los campos relacionados para todos los registros en la base de datos. Por lo tanto, no es viable hacer cambios a las estructuras de datos.
8. Durante la prueba de unidad, la estrategia de prueba aplicada es de:
B. caja blanca.
A. caja negra. B. caja blanca. C. abajo hacia arriba. D. arriba hacia abajo.
9. El impacto de EDI sobre los controles internos será: A. que existirán menos oportunidades oportunidades para revisar y
Explicación: La prueba de caja blanca examina la estructura interna de un módulo. Un programador debe ejecutar esta prueba pa ra cada módulo antes de integrar el módulo m ódulo con otros. La prueba de caja negra se concentra en los requerimientos funcionales y no considera la estructura de control del módulo. Las opciones C y D no son correctas porque estas pruebas requieren que varios módulos hayan ya sido ensamblados y probados. A. que existirán menos oportunidades oportunidades para revisar y autorizar.
autorizar. B. una autenticación inherente. C. una distribución apropiada de las Transacciones de EDI mientras están en poder de terceros. D. que la gerencia de IPF tendrá mayores responsabilidades de controlar el centro de datos.
Explicación: EDI promueve un ambiente sin papeles más eficiente, pero al mismo tiempo, menos intervención humana le hace más difícil revisar y autorizar. La opción B es incorrecta ya que como la interacción entre las partes es electrónica n o hay una autenticación inherente ocurriendo. Los datos computarizados pueden parecer los mismos independientemente de la fuente y no inclu yen ningún elemento humano o firma que los distinga. La opción C es incorrecta porque este es un riesgo de s eguridad asociado con EDI. La opción D es incorrecta porque hay relativamente pocos, si hubiera alguno, controles adicionales de centro de datos asociados con la implementación de aplicaci ones de EDI. En vez de ello, será necesario que se ejerza más control por parte del sistema de aplicación d el usuario para reemplazar los controles manuales, como por ejemplo revisiones de documentos del sitio. Será necesario po ner más énfasis sobre el control sobre la transmisión de datos (controles de gerencia de red).
10. ¿Cuál de los si guientes ayudaría a asegurar la portabilidad de una aplicación conectada a una base de datos?
B. el uso de un lenguaje estructurado de pregunta (SQL)
A. la verificación de los procedimientos de importación y exportación de base de datos B. el uso de un lenguaje estructurado de pregunta (SQL) C. el análisis de los procedimientos /disparadores (triggers) almacenados D. la sincronización del modelo entidad-relación con el esquema físico de la base de datos
11. Una empresa de manufactura quiere automatizar su sistema de procesamiento de facturas y pagos con sus proveedores. Los requerimientos establecen que el sistema de alta integridad requerirá considerablemente menos tiempo para la revisión y la autorización. El sistema debería aún ser capaz de identificar rápidamente los errores que requieran seguimiento. ¿Cuál de los sigui entes enfoques es el MÁS adecuado para alcanzar estos requerimientos? A. Establecer un sistema interconectado interconectado de redes de servidores de clientes con los proveedores para una mayor eficiencia B. Contratar por outsourcing la función, a una empresa que se especialice en el procesamiento automatizado de pagos y cuentas por cobrar /facturas C. Establecer un sistema de intercambio electrónico de datos (EDI, siglas de los términos en inglés) de documentos de negocios y de transacciones con los proveedores clave, de computadora a computadora, en un formato estándar D. Hacer un trabajo de reingeniería rein geniería del procesamiento existente y rediseñar el sistema existente 12. El propósito de los programas de depuración es: A. generar datos aleatorios que que puedan ser usados para probar los programas antes de implementarlos. B. proteger los cambios válidos de que sean sobreescritos
Explicación: El uso de lenguaje estructurado de pregunta (SQL) facilita la portabilidad. La verificación de procedimientos de importación y exportación con otros sistemas asegura mejor interfaz con otros sistemas, analizar los procedimientos/triggers almacenados asegura el acceso/desempeño apropiado, y revisar el diseño, el m odelo entidad-relación, todos serán de ayuda pero no contribuyen a la portabilidad de una aplicación que conecta a una base de datos. C. Establecer un sistema de intercambio electrónico de datos (EDI, siglas de los términos en inglés) de documentos de negocios y de transacciones con los proveedores clave, de computadora a computadora, en un formato estándar Explicación: EDI es la mejor respuesta. Implementado debidamente (por ejemplo, contratos con normas para transacciones entre los socios comerciales, controles sobre los mecanismos de seguridad de la red en conjunto con los controles de aplicación) EDI se adecúa mejor para identificar y dar seguimiento a los errores más rápidamente dadas las reducidas oportunidades de revisión y de autorización.
D. asegurar que las terminaciones anormales y los errores de codificación sean detectados y corregidos. Explicación: El propósito de los programas de depuración d epuración es asegurar
por otros cambios durante la programación. C. definir el desarrollo del programa y los costos de mantenimiento a ser incluidos en el estudio de factibilidad. D. asegurar que las terminaciones anormales y los errores de codificación sean detectados y corregidos.
que lar terminaciones anormales de programa y los errores de codificación sean detectado y corregidos antes de que el programa final vaya a producción. Hay herramientas especiales, tales como los monitores de rutas lógicas, depósitos provisionales de memoria y los anali zadores de output, para ayudar en los esfuerzos de depuración.
13. ¿Cuál de los siguientes es una ventaja de creación de prototipos?
B. Los sistemas de prototipo pueden proveer ahorro significativo de tiempo y costo.
A. El sistema terminado tiene por lo general fuertes controles controles internos. B. Los sistemas de prototipo pueden proveer ahorro significativo de tiempo y costo. C. El control de cambio es a menudo menos complicado con los sistemas de creación de prototipos. D. Asegura que las funciones o extras no sean agregados al sistema que se pretende.
Explicación: Los sistemas de prototipo pueden proveer ahorro significativo de tiempo y costo; sin embargo, también tienen varias ventajas. Ellos tienen frecuentemente controles internos deficientes, el control de cambio se vuelve mucho más complicado y a menudo ello conduce a que se agreguen al sistema funciones o extras que originalmente no se deseaba incluir.
14. La edición de validación de datos que compara los datos de input con una tasa de ocurrencia es una verificación de:
B. razonabilidad.
A. límite. B. razonabilidad. C. rango. D. validez.
15. ¿Cuál de las fases siguientes representa el punto óptimo para que tenga lugar la línea base (baselining) del software? A. Pruebas. B. Diseño C. Requerimientos D. Desarrollo
16. ¿Cuál de los siguientes debe un auditor de SI revisar para llegar a entender la efectividad de los controles sobre la administración de múltiples proyectos? A. Bases de datos de proyectos proyectos B. Documentos de política C. Base de datos de portafolio de proyecto D. Organización de programas
Explicación: Una verificación de razonabilidad es una verificación de edición, donde los datos de input son comparados con límites razonables predeterminados o con tasas de ocurrencia. Las verificaciones de límite verifican que lo s datos no excedan una cantidad predeterminada. Las verificaciones de rango verifican que los d atos estén dentro de un rango predeterminado de valores. Las verificaciones de validez prueban la validez de los datos en conformidad con criterios predeterminados. B. Diseño Explicación: El baselining del software es el punto de corte en el diseño y desarrollo de una aplicación, más allá de lo cual no deben tener lugar cambios sin pasar procedimientos formales de aprobación, y debe ser soportado por un análisis de impacto de costo beneficio del negocio. El punto óptimo para que ocurra el baselining del software es la fase de diseño. C. Base de datos de portafolio de proyecto Explicación: Una base de datos de portafolio de proyectos es la base para la administración de portafolio de proyectos. Incluye datos de proyectos, como por ejemplo propietario, cronogramas, objetivos, tipo de proyecto, estatus y costo. La administración de portafolio de proyectos requiere reportes de portafolio de proyectos específicos. Una base de datos de proyecto puede contener lo anterior para un proyecto específico y actualizaciones de diversos parámetros pertenecientes al estatus corriente de ese solo proyecto. Los documentos de política sobre administración de proyectos fijan la dirección para el diseño, desarrollo, implementación y monitoreo del proyecto. La organización de programas es el equipo requerido (comité de seguimiento, aseguramiento de la calidad, personal de sistemas, analista, programador, soporte de hardware, etc.) para cumplir el objetivo de entrega del proyecto.
17. ¿Cuál de las ediciones de validación de datos siguientes podría ser usada por un banco, para asegurar l a exactitud de los números de cuentas bancarias asignados a clientes, ayudando así a evitar la transposición y la trascripción de errores? A. Verificación de secuencia B. Verificación de validez C. Dígito de verificación (Check Digit) D. Verificación de existencia.
18. El auditor de SI encuentra que un sistema en desarrollo tiene 12 módulos vinculados (linked) y cada elemento de los datos puede llevar hasta 10 campos de atributos definibles. El sistema maneja varios millones de transacciones al año. ¿Cuál de estas técnicas podría el auditor de SI usar para estimar el tamaño del esfuerzo de desarrollo? A. La técnica de evaluación y revisión de programas (PERT). B. Conteo de las líneas fuente del código (SLOC). C. Análisis del punto de función. D. Prueba de caja blanca (white box).
19. Un control que detecta errores de transmisión anexando bits calculados al final de cada segmento de datos se conoce como: A. verificación de razonabilidad. B. verificación de paridad. C. verificación de redundancia. D. dígitos de verificación.
C. Dígito de verificación (Check Digit) Explicación: Un dígito de verificación (Check digit) es un valor calculado matemáticamente que se agrega a los datos para asegurar que los datos originales no han sido alterados o que un valor incorrecto, aunque aceptable, ha sustituido un valor correcto. Esto ayuda a evitar los errores de transposición y de trascripción. De ese modo, un dígito de verificación se puede agregar a un número de cuenta para verific ar exactitud. Las verificaciones de secuencia aseguran que un núm ero siga secuencialmente y que cualquier número fuera de secuencia o números de control duplicados sean rechazados o marcados en un informe de excepción. Las verificaciones de validez y las verificaciones de existencia verifican los datos contra criterios predeterminados para asegurar la exactitud. C. Análisis del punto de función. Explicación: El análisis de punto de función es un método indirecto para medir el tamaño de una aplicación considerando el número y la complejidad de sus entradas, salidas y archivos. Es útil para evaluar aplicaciones complejas. PERT es una técnica de administración /gestión de proyectos que ayuda tanto con la planificación como con el control. SLOC da una medida directa del tamaño del programa, pero no lo permite para la complejidad que puede ser causada por t ener módulos múltiples vinculados y una variedad de entradas y salidas. La prueba de caja blanca implica una revisión detallada del comportamiento del código de programa, y es una técnica de aseguramiento de la calidad adecuado para las aplicaciones más sencillas durante las etapas de diseño y construcción del desarrollo. C. verificación de redundancia. Explicación: Una verificación de redundancia detecta errores de transmisión anexando bits calculados al final de cada segmento de datos. Una verificación de razonabilidad compara datos con los límites predefinidos de razonabilidad o con tasas de ocurrencia establecidas para los datos. Una verificación de paridad es un control de hardware que detecta errores de datos cuando los datos son leídos desde una computadora a la otra, desde la m emoria o durante transmisión. Los dígitos de verificación detectan errores de trasposición y de trascripción.
20. Una organización que dona computadoras usadas debe asegurarse que:
C. los medios de almacenamiento de datos hayan sido limpiados.
A. las computadoras no fueron usadas para almacenar datos confidenciales. B. se haya firmado un contrato de no divulgación. C. los medios de almacenamiento de datos hayan sido limpiados. D. todos los datos hayan sido borrados.
Explicación: para asegurar la confidencialidad de los datos de la organización cuando se dispone de computadoras usadas, la información almacenada en las computadoras no debe estar disponible una vez que las computadoras estén fuera del control de la organización. Destruir o limpiar los medios de almacenamiento proveerá esta garantía. El siguiente mejor método es asegurarse que las computadoras no fueron
usadas para almacenar información confidencial. Un contrato firmado de no divulgación no impedirá que los datos sensitivos que estén en las computadoras donadas sean recuperados. Eliminar los datos no los qui ta del almacenamiento. 21. Un auditor de SI que participa en la etapa de prueba de un proyecto de desarrollo de software establece que los módulos individuales se desempeñan correctamente. El auditor de SI debe: A. concluir que los módulos individuales operando como un grupo serán correctos. B. documentar la prueba como prueba positiva de que el sistema puede producir los resultados deseados. C. informar a la gerencia y recomendar una prueba integrada. D. proveer datos adicionales de prueba. 22. ¿Cuál de los siguientes es el primer paso en un proceso de proyecto de reingeniería del negocio (BPR)? A. Definir las áreas a ser revisadas B. Desarrollar un plan de proyecto C. Entender el proceso en revisión D. Reingeniería y modernización del proceso en revisión
23. Una compañía de ventas al por menor instaló recientemente software de clientes de almacenamiento de datos en diferentes sitios geográficos. Debido a diferencias de zonas de tiempo entre los sitios, las actualizaciones al almacén no están sincronizadas. ¿Cuál de los siguientes será MÁS afectado?
C. informar a la gerencia y recomendar una prueba integrada. Explicación: Los módulos que han sido probados individualmente pueden tener problemas de interfaz, causando efectos adversos sobre otros módulos. Por lo tanto, la acción más apropiada para el auditor de SI es recomendar a la gerencia que lleve a cabo una prueba integrada, que demostrará si los módulos trabajando juntos pueden producir el output deseado. Ejecutar datos adicionales de prueba contra módulos individuales no probará la capacidad de los módulos de trabajar juntos. A. Definir las áreas a ser revisadas
Explicación: Sobre la base de la evaluación de todo el proceso del negocio, definir correctamente las áreas a ser revisadas es el primer paso en un Proyecto de BPR. Sobre la base de la definición de las áreas a ser revisadas, se desarrolla el plan del proyecto. Entender el proceso en revisión es importante, pero el sujeto de la revisión debe estar definido primero. De ahí en adelante, el proceso puede ser reestructurado, modernizado, implementado y monitoreado en pos de un mejoramiento continuo. B. Totalidad de datos Explicación: Las actualizaciones no sincronizadas generalmente causarán que la totalidad de los datos se vea afectada; por ejemplo, los datos de ventas provenientes de un sitio no coinciden con los costos incurridos en otro sitio.
A. Disponibilidad de datos B. Totalidad de datos C. Redundancia de datos D. Inexactitud de datos 24. ¿Cuál de los siguientes sería M S probable que asegurase que los requerimientos del negocio se cumplan durante el desarrollo de software? A. Entrenamiento adecuado B. Los programadores entienden claramente los procesos del negocio C. Documentación de las reglas del negocio D. Participación temprana de los usuarios clave
25. Cuando se está implementando un paquete de software de aplicación, ¿cuál de los siguientes representa el MAYOR
D. Participación temprana de los usuarios clave Explicación: Los usuarios clave, como están familiarizados con l as necesidades cotidianas, son las personas que pueden proveer los requerimientos para asegurar que la aplicac ión desarrollada satisfará las necesidades del negocio. El entrenamiento ayudaría para aprender cómo usar el sistema pero no proveería los requerimientos del negocio. Las opciones B y C son importantes; sin embargo, por ellas mismas no aseguran que se cumplan los requerimientos. C. Que los parámetros no estén fijados correctamente
riesgo? A. Que las versiones múltiples de software no estén controladas B. Que los programas fuente no estén sincronizados c on el código de objeto C. Que los parámetros no estén fijados correctamente D. Errores de programación
Explicación: Los parámetros que no están fijados correctamente serían de la mayor preocupación cuando se im plementa un paquete de software de aplicación. Las otras opciones, a pesar de ser importantes, son una preocupación del proveedor, no de l a organización que está implementando el software mismo.
26. Al planear un proyecto de desarrollo de software, ¿cuál de los siguientes es lo MÁS difícil de determinar?
C. Los requerimientos de tiempo y de recursos para las tareas individuales
A. Tiempos inadecuados del proyecto B. La ruta crítica del proyecto C. Los requerimientos de tiempo y de recursos p ara las tareas individuales D. Las relaciones que impiden el inicio de una actividad antes de que se realicen otras
Explicación: El problema más difícil es estimar efectivamente el tiempo inadecuado y /o los requerimientos de recursos de un proyecto para las tareas individuales o las actividades de desarrollo. Esto se hace por lo general a través de medidas directas de software (líneas fuente SLOCK de código orientadas a tamaño; KLOC-mil líneas de código) o medidas indirectas de software (puntos de función-valores para el número de inputs, outputs, averiguaciones de usuario; número de archivos y de interfaces de usuario). Las otras opciones son métodos y técnicas de administración de proyecto empleados que dependen de la efectividad d e métodos usados para derivar las medidas correctas y confiables de productividad de desarrollo y de desempeño de software.
27. El control de cambios para los sistemas de aplicación de negocios que se están desarrollando usando prototipos podría verse complicado por:
B. el ritmo rápido de las modificaciones en los requerimientos y el diseño.
A. la naturaleza iterativa de la utilización de prototipos. B. el ritmo rápido de las modificaciones en los requerimientos y el diseño. C. el énfasis sobre los informes y las pantallas. D. la falta de herramientas integradas. 28. La base de conocimientos de un sistema experto que usa cuestionarios para conducir al usuario a través de una serie de opciones antes de llegar a una conclusión se conoce como: A. reglas. B. árboles de decisión. C. redes semánticas. D. diagrama de flujo de datos.
29. ¿Cuál de lo siguiente es MÁS probable que ocurra cuando un proyecto de desarrollo de sistema está en medio de la fase de programación / codificación? A. Pruebas de unidad B. Pruebas de stress C. Pruebas de regresión D. Pruebas de aceptación
Explicación: Los cambios en los requisitos y el diseño ocurren tan rápidamente que ellos rara vez son documentados o aprobados. Las opciones A, C y D son características de la creación de prototipos, pero no tienen un efecto adverso sobre el control de cambios. B. árboles de decisión. Explicación: Los árboles de decisión usan cuestionarios para conducir al usuario a través de una serie de opciones hasta que se llega a una conclusión. Las reglas se refieren a la expresión de conocimiento declarativo a través del uso de relaciones "sientonces". Las redes semánticas consisten en una gráfica en la que los nodos representan objetos físicos o conceptuales y los arcos describen la relación entre los nodos. Las redes semánticas se parecen a un diagrama de flujo de datos y hacen uso de un mecanismo de herencia para impedir la duplicación de datos. A. Pruebas de unidad Explicación: Durante la fase de programación, el equipo de desarrollo debería tener instalados mecanismos para asegurar que la codificación esté siendo desarrollada en conformidad con el estrada y esté trabajando correctamente. Las pruebas de unidad son elementos clave de ese proceso en que aseguran que los programas individuales estén trabajando
correctamente. Ellos serían por lo general soportados por revisiones de código. Las pruebas de stress, pruebas de regresión y pruebas de aceptación se llevarían a cabo por lo general en las fases de desarrollo y de prueba. Como parte del proceso de determinar el cumplimiento de los procesos de calidad, los auditores de SI deberían verificar que se lleven a cabo dichas revisiones. 30. ¿Cuál de los siguientes elementos es el MÁS crítico y contribuye MÁS a la calidad de datos en un almacén de datos? A. Corrección de los datos fuente B. Credibilidad de los datos fuente C. Corrección del proceso de extracción D. Corrección de los datos transformación 31. ¿Cuál de los siguientes es una debilidad de control que puede poner en peligro un proyecto de reemplazo de sistema? A. El documento de iniciación del proyecto no ha sido actualizado para reflejar cambios en el alcance del sistema. B. Un análisis de brechas que compara la solución escogida para la especificación original ha revelado un número de cambios significativos en la funcionalidad. C. El proyecto ha estado sujeto a un número de cambios en las especificaciones de los requerimientos. D. La organización ha decidido que no se requiere un comité de seguimiento de proyecto.
32. ¿La falla en cuál de las siguientes etapas de prueba tendría el MAYOR impacto sobre la implementación de nuevo software de aplicación? A. Prueba de sistema B. Prueba de aceptación C. Prueba de integración D. Prueba de unidad
33. ¿Cuál de los elementos siguientes es una herramienta de análisis dinámico para probar los módulos de software? A. Prueba de caja negra B. Verificación de escritorio
A. Corrección de los datos fuente Explicación: La corrección de los datos fuente es u n prerrequisito para la calidad de los datos en un almacén de datos. La credibilidad de los datos fuente es importante, los procesos correctos de extracción son importantes y las rutinas correctas de transformación son importantes, pero no cambiarían los datos incorrectos en datos de calidad (correctos). D. La organización ha decidido que no se requiere un comité de seguimiento de proyecto. Explicación: Incluso en un proyecto pequeño, la falta de un comité de seguimiento de proyecto representa la ausencia de un control fundamental. El documento de iniciación del proyecto capta el alcance y estructura inicial del proyecto, y no es práctico mantenerlo actualizado, ya que los cambios al proyecto pueden ser captados a través de procedimientos de control de cambios y de las decisiones del comité. Un análisis de brechas es un proceso que permite que las diferencias sean identificadas y resueltas. Los cambios en el alcance y en los requerimientos son riesgos si gnificativos que pueden tener un efecto significativo sobre el éxito del proyecto; sin embargo, , ellos en si m ismos, no son debilidades de control. Ellos deberían ser controlados por medio de procedimientos de control de cambios. B. Prueba de aceptación Explicación: La prueba de aceptación es la etapa final antes de que el software sea instalado y esté disponible para su uso. El mayor impacto ocurriría si el software fallara en el nivel de prueba de aceptación, ya que esto podría tener como consecuencia demoras y excesos de costo. La prueba de sistema es emprendida por el equipo de desarrolladores para determinar si el software satisface los requerimientos de usuario según las especificaciones. La prueba de integración, prueba las unidades/módulos como un sistema integrado y la prueba de unidad, prueba las unidades o componentes individuales del software. Las pruebas de sistema, integración y unidad son todas realizadas por los desarrolladores en diversas etapas de desarrollo, y el impacto de una falla es comparativamente menor para cada una, que la falla en la etapa de prueba de aceptación. A. Prueba de caja negra Explicación: Una prueba de caja negra es una técnica que se considera como una herramienta de análisis dinámico para probar los
C. Recorrido estructurado D. Diseño y código
módulos de software. Durante la prueba de m ódulos de software una prueba de caja negra trabaja primero en una forma cohesiva como una sola unidad/entidad, constituida por numerosos módulos y segundo, junto con los datos de usuario que fluyen a través de los módulos de software. En algunos casos esto impulsa el comportamiento del software. En las opciones B, C y D, el software (diseño o código) permanece estático y alguien sencillamente lo examina de cerca aplicando su mente, sin activar realmente el software. Es por esta razón que no se puede hacer referencia a estas como herramientas de análisis dinámico.
34. Cuando se analiza la portabilidad de una aplicación de base de datos, el auditor de SI debe verificar que:
A. se usa un lenguaje de consultas estructuradas (SQL).
A. se usa un lenguaje de consultas estructuradas (SQL). B. existen procedimientos de importación y exportación de información con otros sistemas. C. se usan índices. D. todas las entidades tienen un nombre significativo y llaves primaria y extranjera identificadas.
35. ¿Cuál de los siguientes grupos debería asumir la propiedad de un proyecto de desarrollo de sistemas y el sistema resultante? A. Gerencia de usuario B. Alta gerencia C. Comité de dirección de proyectos D. Gerencia de desarrollo de sistemas
36. En un sistema de procesamiento de transacciones en línea, la integridad de datos es mantenida asegurando que una transacción sea o bien concluida en su totalidad o no lo sea en absoluto. Este principio de integridad de datos se conoce como: A. aislamiento. B. consistencia. C. atomicidad. D. durabilidad.
37. Para reducir la posibilidad de perder datos durante el procesamiento, el PRIMER punto en el que se deberían implementar los totales de control es: A. durante la preparación de datos. B. en tránsito a la computadora.
Explicación: El uso de un lenguaje de consultas estructuradas (SQL) es un elemento clave para la portabilidad de la base de datos. La importación y exportación de información con otros sistemas es un objetivo de revisión de interfaces de base de datos. El uso de un índice es un objetivo de una revisión de acceso a base de datos, y el hecho de que todas las entidades tengan un nombre significativo y ll aves primaria y extranjera identificadas es un objetivo de una re visión de diseño de base de datos. A. Gerencia de usuario Explicación: La gerencia de usuario asume la propiedad del proyecto y del sistema resultante. Ellos deberían revisar y a probar los productos disponibles a medida que éstos son definidos y realizados. La alta gerencia aprueba el proyecto y los recursos que se necesitan para llevarlo a cabo. El comité de dirección de proyectos provee la dirección general y es responsable de monitorear los costos y los horarios. La gerencia de desarrollo de sistemas provee soporte técnico. C. atomicidad. Explicación: El principio de atomicidad requiere que una transacción sea completada en su totalidad o no lo sea en absoluto. Si ocurriera un error o interrupción, todos los cambios efectuados hasta ese punto son retirados. La consistencia asegura que todas las condiciones de integridad en la base de datos sean mantenidas con cada transacción. El aislamiento asegura que cada transacción sea aislada de otras transacciones , y de ahí que, cada transacción sólo tenga acceso a los datos que forman parte de un estado consistente de base de datos. La durabilidad asegura que cuando una transacción ha sido reportada de regreso a un usuario como completa, los cambios resultantes a la base de datos sobrevivirán las fallas posteriores de hardware o software. A. durante la preparación de datos. Explicación: Durante la preparación de datos es la mejor respuesta porque establece control en el punto más temprano.
C. entre ejecuciones de programas relacionados de computadora. D. durante la devolución de los datos al departamento de usuario. 38. Recientemente una compañía ha ampliado la capacidad de su sistema de compras para incorporar transmisiones de EDI. ¿Cuál de los siguientes controles se debería implementar en el interfaz de EDI para proveer un mapeo eficiente de datos? A. Verificación de llave B. Verificación uno a uno C. Recálculos manuales D. Reconocimientos funcionales 39. ¿Cuál de los siguientes asegura la totalidad y corrección de los datos acumulados? A. Procedimientos de control de procesamiento B. Procedimientos de control de archivo de datos C. Controles de output D. Controles de aplicación
40. En un almacén de datos (data warehouse), la calidad de datos se logra mediante la: A. limpieza. B. reestructuración. C. credibilidad de datos fuente. D. transformación.
41. Una compañía ha contratado una firma consultora externa para implementar un sistema financiero comercial para reemplazar su sistema existente desarrollado localmente. Al revisar el método de desarrollo propuesto, ¿cuál de los siguientes sería de MAYOR preocupación? A. La prueba de aceptación va a ser administrada por los usuarios. B. Un plan de calidad no es parte de los productos contratados. C. No todas las funciones de negocios estarán disponibles en la implementación inicial. D. Se está usando la creación de prototipos para confirmar que el sistema satisface los requerimientos del negocio.
D. Reconocimientos funcionales Explicación: Actuando como una pista de auditoría para Transacciones de EDI, los reconocimientos funcionales son uno de los controles principales que se usan en el mapeo de datos. Todas las otras opciones son controles m anuales de input, mientras que el mapeo de datos se ocupa de la integración automática de datos en la compañía que recibe. A. Procedimientos de control de procesamiento Explicación: Los controles de procesamiento aseguran la totalidad y corrección de los datos acumulados, por ejem plo, edición y totales de ejecución a ejecución. Los procedimientos de control de archivo de datos aseguran que solamente ocurra el procesamiento autorizado a los datos alm acenados, por ejemplo registros de transacción. Los controles de output aseguran que los datos entregados a los usuarios sean presentados, formateados y entregados en una forma consistente y segura, por ejemplo distribución de reportes. Los controles de aplicación son una terminología general que comprende todos los tipos de controles usados en una aplicación. C. credibilidad de datos fuente. Explicación: En un sistema de almacén de datos la calidad de datos depende de la calidad de la fuente que los origina. Las opciones A, B y D se relacionan con la composición de un almacén de datos y no afectan la calidad de los datos. La reestructuración, transformación y limpieza se relacionan todas con la reorganización de los datos existentes dentro de la base de datos. B. Un plan de calidad no es parte de los productos contratados. Explicación: Un plan de calidad es un elemento esencial de todos los proyectos. Es crítico que el proveedor contratado esté obligado a presentar tal plan. El plan de calidad para el contrato de desarrollo propuesto debería ser comprensivo y abarcar todas las fases del desarrollo e incluir ¿cuáles funciones del negocio serán incluidas y cuándo? La aceptación es normalmente administrada por el área del usuario, ya que ellos deben estar satisfechos de que el nuevo sistema satisfará sus requerimientos. Si el sistem a es grande, un método de etapas integradas para implementar la aplicación es un método razonable. La creación de prototipos es un método válido para asegurar que e l sistema satisfará los requerimientos del negocio.
42. Una empresa ha establecido un comité de dirección para supervisar su programa de negocios electrónicos. El com ité de dirección es MÁS probable que participe en: A. la documentación de requerimientos. B. el escalamiento de problemas del proyecto. C. el diseño de controles de interfaz. D. la especificación de los reportes.
43. La razón PRIMARIA para separar los ambientes de prueba y de desarrollo es: A. restringir el acceso a los sistemas que están en prueba. B. segregar al personal del usuario y de desarrollo. C. controlar la estabilidad del ambiente de prueba. D. asegurar el acceso a los sistemas en desarrollo.
B. el escalamiento de problemas del proyecto. Explicación: La función del comité de dirección es asegurar el éxito del proyecto. Si hay factores o aspectos que potencialmente podrían afectar los resultados planeados, el comité de dirección debería escalarlos. Actividades tales como la documentación de requerimientos, el diseño de los controles de interfaz y la especificación de los reportes son responsabilidad del equipo del proyecto. C. controlar la estabilidad del ambiente de prueba. Explicación: El ambiente de prueba debe ser controlado y estable para asegurar que los proyectos de desarrollo sean probados en un ambiente realista que, hasta donde sea p osible, refleje el ambiente en vivo. La restricción del acceso a los sistemas de prueba y de desarrollo puede lograrse fácilmente mediante métodos normales de control de acceso, y la sola separación de los ambientes no proveerá una segregación adecuada de funciones. El auditor de SI debe estar consciente de los beneficios de separar estos ambientes donde sea posible.
44. ¿Cuál de los siguientes es el MAYOR riesgo cuando se está implementando un almacén de datos (data warehouse)?
B. Controles de acceso que no son adecuados para prevenir la modificación de datos
A. Incremento en el tiempo de respuesta en los sistemas de producción B. Controles de acceso que no son adecuados para prevenir la modificación de datos C. Duplicación de datos D. Datos que no están actualizados o no son actuales
Explicación: Una vez que los datos están en un almacén (warehouse), no deben hacérsele ninguna modificación y los controles de acceso deben estar instalados para prevenir la m odificación de datos. El incremento del tiempo de respuesta en los sistemas de producción no es un riesgo, porque un almacén de datos no tiene impacto sobre los datos de producción. Basado en la replicación de datos, la duplicación de datos es inherente en un almacén de datos. La transformación de datos desde sistemas en producción (operational) a un almacén de datos se hace a intervalos predefinidos, y como tales, los datos no pueden ser actuales.
45. Un programa de cálculo de impuestos mantiene varias A. una revisión independiente de del listado de tasas de impuestos. El MEJOR control para asegurar que las transacciones. tasas de impuesto capturadas/incorporadas al programa sean correctas es: Explicación: Las tasas de impuesto representan datos críticos que serán A. una revisión independiente de del listado de usados en numerosos cálculos y que deberían ser transacciones. verificados de manera independiente por alguien que no sea B. una verificación de edición programada para impedir la la persona que los ingresa antes que ellos sean usados en el entrada de datos inválidos. procesamiento. Las opciones B y C son controles C. verificaciones programadas de razonabilidad con 20 por programados que son útiles para impedir errores graves, es ciento de rango de ingreso de datos. decir, errores como por ejemplo un cero agregado o alfa en D. una verificación visual de datos capturados por el lugar de un número. Una tabla de impuestos debe ser 100 departamento de procesamiento. por ciento correcta, no sólo legible. La opción D permitirá que el personal de ingreso de datos verifique la corrección del input, pero esto no es suficiente. 46. La PRINCIPAL preocupación para un auditor de SI que revisa un entorno CASE debería ser que el uso de CASE automáticamente no: A. tenga como resultado una captación correcta de los
A. tenga como resultado una captación correcta de los requisitos Explicación: La principal preocupación debería ser asegurar una
requisitos B. asegure que los controles de aplicación deseables han sido implementados C. produzca interfaces ergonómicos y fáciles de usar para los usuarios D. genere código eficiente
armonización de la aplicación con las necesidades del negocio y con los requerimientos del usuario. Mientras que la utilización de CASE puede proveer herramientas para cubrir esta fase inicial crucial, una interacción cooperativa usuarioanalista siempre es necesaria. La opción B debería ser la siguiente preocupación. Si el sistema satisface las necesidades del negocio y los requisitos de usuario también debería incorporar todos los controles deseables. Los controles tienen que ser especificados ya que CASE puede solamente incorporar automáticamente ciertos controles, de nivel más bien bajo (tales como tipo de datos de entrada, e.g., fecha, esperada). CASE no generará (opción C) automáticamente interfaces ergonómicos y fáciles de usar para el usuario, sino que debería proveer herramientas para una puesta a punto (tuning) fácil (y automáticamente documentada). Las aplicaciones CASE (opción D) generalmente se quedan cortas en la optimización del uso de los recursos de hardware y de software, precisamente porque ellos están diseñadas para optimizar otros elementos, tales como esfuerzos o documentación de desarrolladores.
47. Antes de implementar controles, la administración debe PRIMERO asegurarse de que los controles:
A. satisfacen un requerimiento al resolver un problema de riesgo.
A. satisfacen un requerimiento al resolver un problema de riesgo. B. no reducen la productividad. C. se basan en un análisis costo-beneficio. D. son de detección o de corrección.
Explicación: Cuando se diseñan los controles, es necesario considerar todos los aspectos citados aquí anteriormente. En una situación ideal, los controles que resuelven todos estos aspectos serían los mejores controles. Realistamente, puede no ser posible diseñarlos todos y es posible que el costo sea prohibitivo, por lo tanto, es necesario considerar primero los controles preventivos que atacan la causa de am enaza.
48. Un programador incluyó una rutina en una aplicación de planilla/nómina para buscar su propio número de planilla/nómina. Como consecuencia, si este número de planilla/nómina no aparece durante la ejecución de la planilla/nómina, una rutina generará y colocará números aleatorios en cada cheque de pago. Esta rutina se conoce como:
D. caballo de Troya.
A. scavenging. B. fuga de datos. C. piggybacking. D. caballo de Troya. 49. ¿Cuál de los siguientes ediciones de validación de datos es efectiva para detectar los errores de trasposición y de trascripción? A. Verificación de rango B. Dígito de verificación C. Verificación de validez D. Verificación de duplicación
Explicación: Un caballo de Troya es un código malicioso escondido en un programa autorizado de computadora. El código escondido será ejecutado cada vez que el programa autorizado sea ejecutado. En este caso, mientras el número de planilla/nómina del perpetrador sea parte del proceso de planilla/nómina no ocurre nada, pero tan pronto e l número de planilla/nómina desaparece ocurre la devastación. B. Dígito de verificación Explicación: Un dígito de verificación es un valor numérico que se calcula matemáticamente y que es anexado a los datos para asegurar que los datos originales no hayan sido alterados o que se haya sustituido por un valor incorrecto pero válido. Este control es efectivo para detectar los errores de trasposición y de trascripción. Una verificación de rango es verificar que los datos coincidan con un rango predeterminado de valores. Una verificación de validez se programa verificando la validez de los datos en conformidad con criterios predeterminados. En una verificación de duplicación, las transacciones nuevas o frescas son
comparadas con los ingresos previamente para asegurar que ya no estén en el sistema. 50. Cuando una organización ha terminado el proceso de reingeniería del negocio (BPR) de todas sus operaciones críticas, el auditor de SI es MÁS probable que se concentre en una revisión de: A. diagramas de flujo previos al proceso de BPR. B. diagramas de flujo posterior al proceso de BPR. C. Proyecto de Planes de BPR. D. planes continuados de mejoramiento y monitoreo. 51. ¿Cuál de las siguientes es a menudo una ventaja de usar creación de prototipos para el desarrollo de sistemas? A. El sistema terminado tendrá controles adecuados. B. El sistema tendrá una pista de seguridad/auditoría adecuada. C. Reduce el tiempo para el despliegue. D. Es fácil de lograr control de cambios.
B. diagramas de flujo posterior al proceso de BPR. Explicación: La tarea de un auditor de SI es identificar y asegurar que se hayan incorporado controles clave en el proceso de reingeniería. La opción A es incorrecta porque un auditor de SI debe revisar el proceso como está actualmente, no como estaba en el pasado. Las opciones C y D son incorrectas porque son pasos dentro de un Proyecto de BPR. C. Reduce el tiempo para el despliegue. Explicación: La creación de prototipos es el proceso de crear sistemas a través de ensayo y error controlado. Este método de desarrollo de sistemas puede proveer a la organización considerable tiempo y ahorro en costos. Concentrándose principalmente en lo que el usuario quiere y ve, los desarrolladores pueden pasar desapercibido alguno de los controles que vienen del método tradicional de desarrollo de sistemas; por lo tanto, un riesgo potencial es que el sistema terminado tendrá controles insuficientes. En la creación de prototipos, los cambios en los diseños y requerimientos ocurren muy rápidamente y son rara vez documentados o aprobados; por ello, el control de cambios se vuelve más complicado con los sistemas creados con prototipos.
52. ¿Cuál de los siguientes es el propósito PRIMARIO para llevar a cabo una prueba paralela?
D. Asegurar que el nuevo sistema satisfaga los requerimientos del usuario.
A. Determinar si el sistema es eficiente en costos. B. Permitir pruebas comprensivas de unidad y de sistema C. Destacar los errores en los interfaces de programa con los archivos. D. Asegurar que el nuevo sistema satisfaga los requerimientos del usuario.
Explicación: El propósito de la prueba paralela es asegurar que la de un nuevo sistema satisfaga los requerimientos del usuario. Es posible que la prueba paralela muestren que el viejo sistema es, de hecho, mejor que el nuevo sistema, pero esta no es la razón primaria. La prueba de unidad y de sistema se llevarán a cabo antes de la prueba paralela. Los errores en los interfaces de programa con los archivos serán probados durante la prueba de sistema.
53. ¿Cuál de los siguientes tipos de verificaciones de edición de verificación de datos se usa para determinar si un campo contiene datos, y no ceros o espacios en blanco?
C. Verificación de totalidad
A. Dígito de verificación B. Verificación de existencia C. Verificación de totalidad D. Verificación de razonabilidad
54. ¿Cuál de las siguientes tareas ocurre durante la etapa de investigación del proceso de benchmarking? A. Los procesos críticos son identificados. B. Los socios de benchmarking son visitados.
Explicación: Una verificación de totalidad se usa para determinar si un campo contiene datos y no ceros o espacios en blanco. Un dígito de verificación es un digito calculado matemáticamente para asegurar que los datos originales no fueron alterados. Una verificación de existencia verif ica también los datos ingresados para acuerdo en criterios predeterminados. Una verificación de razonabilidad coincide con el input a los límites razonables predeterminados o tasas de ocurrencia. D. Los socios de benchmarking son identificados. Explicación: Durante la etapa de investigación, el equipo recopila datos e identifica a los socios del benchmarking. En la etapa de
C. Los hallazgos son traducidos en principios centrales. D. Los socios de benchmarking son identificados.
planeación, el equipo identifica los procesos críticos a ser marcados como referencia. La visita a los soci os del benchmarking se realiza en la etapa de observación. La traducción de los hallazgos en principios centrales se realiza durante la etapa de adaptación.
55. Una compañía utiliza un banco para procesar su A. los reportes de planilla/nómina deberían ser comparados planilla/nómina semanal. Los formularios de hojas de tiempo con los formularios de input. y de ajuste de planilla/nómina (e.g., cambios de tarifa por hora, terminaciones) son efectuados y entregados al banco, Explicación: el cual prepara los cheques y reporta para su distribución. La La mejor forma de confirmar la corrección de los datos, asegurar MEJOR la corrección de los datos de cuando el input es suministrado por la compañía y el output planilla/nómina: es generado por el banco, es verificar los datos ingresados (formularios de input) con los resultados del input (reportes A. los reportes de planilla/nómina deberían ser comparados de planilla/nómina). Por ello, comparar reportes de con los formularios de input. planilla/nómina con formularios de input es el mejor B. la planilla/nómina bruta debería ser recalculada mecanismo para verificar la corrección de los datos. manualmente. Recalcular manualmente la planilla/nómina bruta sólo C. los cheques deberían ser comparados con los formularios verificaría si el procesamiento es correcto y no la exactitud de input. de los datos de input. Comparar los cheques con los D. los cheques deberían ser conciliados con los reportes de formularios de input no es factible ya que los cheques tienen output. la información procesada y los formularios de i nput tienen los datos de input. Conciliar los cheques con los reportes de output sólo confirma que los cheques han si do emitidos según los reportes de output. 56. ¿Cuál de las siguientes tecnologías es una característica de tecnología orientada a objetos que permite un grado mejorado/ampliado de seguridad sobre los datos? A. Herencia B. Almacenamiento dinámico C. Encapsulación D. Polimorfismo
57. Una compañía ha implementado un nuevo sistema cliente-servidor de planeación de empresas (ERP). Las sucursales locales transmiten órdenes de clientes a una instalación central de fabricación. ¿Cuál de los siguientes aseguraría MEJOR que las órdenes sean ingresadas correctamente y que se produzcan los productos correspondientes? A. Verificar la producción con las órdenes de cliente B. Registrar todas las órdenes de cliente en el sistema ERP C. Usar totales hash en el orden que transmite el proceso D. Aprobar (supervisor de producción) órdenes antes de la producción 58. Para hacer una transferencia electrónica de fondos (EFT), un empleado ingresa el campo de cantidad y otro empleado reingresa otra vez los mismos datos, antes de que el dinero sea transferido. El control adoptado por la organización en este caso es: A. verificación de secuencia. B. verificación de llave. C. dígito de verificación. D. verificación de totalidad.
C. Encapsulación Explicación: Encapsulación es una propiedad de los objetos a los que no es posible tener acceso, ya sean propiedades o métodos, que no han sido definidos previamente como públicos. Esto significa que cualquier implementación del comportamiento de un objeto no es accesible. Un objeto define una interfaz de comunicación con el exterior y sólo se puede tener acceso a lo que pertenezca a ese interfaz. A. Verificar la producción con las órdenes de cliente Explicación: La verificación asegurará que las órdenes d e producción coincidan con las órdenes de cliente. El registro se puede usar para detectar inexactitudes, pero en sí mismo no garantiza un procesamiento exacto. Los totales hash asegurarán la transmisión precisa de las órdenes, pero no el procesamiento exacto centralmente. La aprobación de supervisión de producción es un proceso m anual que consume tiempo que no garantiza un control apropiado.
B. verificación de llave. Explicación: La verificación de llave es un proceso en el que el ingreso de la llave es repetido por una persona separada usando una máquina que compara la entrada original co n la entrada repetida. La verificación de secuencia se refiere a la continuidad en números seriales dentro del rango de números en los documentos. Un dígito de verificación es un valor numérico que ha sido calculado matemáticamente y
que ha sido agregado a los datos para asegurar que los datos originales no han sido alterados o que un valor incorrecto pero válido ha sido sustituido. Las verificaciones de totalidad aseguran que todos los caracteres requeridos para un campo han sido ingresados. 59. La gerencia de SI informa a un auditor de SI que la organización ha alcanzado recientemente el nivel más alto del modelo de madurez de capacidad de (CMM.) El proceso de calidad de software MÁS recientemente agregado por la organización es: A. mejoramiento continuo. B. metas de calidad cuantitativas. C. procesos documentados. D. procesos hechos a la medida para proyectos específicos. 60. Si un programa de aplicación es modificado y están instalados procedimientos apropiados de mantenimiento de sistema, ¿cuál de los siguientes se debería probar? A. La integridad de la base de datos B. Los controles de acceso para el programador de aplicaciones C. El programa completo, incluyendo cualesquiera sis temas de interfaz D. El segmento del programa que contenga el código revisado
A. mejoramiento continuo. Explicación: Una organización habría alcanzado el nivel más alto de CMM de software en el nivel 5, optimización. Las metas de calidad cuantitativas se pueden alcanzar en el nivel 4 y por debajo de éste, los procesos documentados se hacen en el nivel 3 y debajo de éste; y los procesos hechos a la medida para proyectos específicos se pueden lograr en el ni vel 3 o por debajo de éste. C. El programa completo, incluyendo cualesquiera sistemas de interfaz Explicación: El programa completo con todas las interfaces necesita ser probado para determinar el impacto total de un cambio al código de programa. Por lo general, cuanto m ás complejo es el programa, más pruebas se requieren.
61. ¿Cuál de los siguientes es un riesgo de implementación dentro del proceso sistemas de soporte de decisiones?
C. Incapacidad para especificar el propósito y los patrones de uso
A. Control de gerencia B. Dimensiones semiestructuradas C. Incapacidad para especificar el propósito y los patrones de uso D. Cambios en los procesos de decisión
Explicación: La incapacidad para especificar el propósito y los patrones de uso es un riesgo que los desarrolladores necesitan anticipar mientras implementan un sistema de soporte de decisiones (DSS). Las opciones A, B y D no son riesgos, sino características de un DSS.
62. Probar la conexión de dos o más componentes de sistema que pasan información desde un área a otra es:
C. Prueba de interfaz.
A. Prueba piloto. B. Prueba paralela. C. Prueba de interfaz. D. Prueba de regresión.
Explicación: La prueba de interfaz es una prueba de hardware o de software que evalúa la conexión de dos o más componentes que pasan información desde un área a otra. La prueba piloto es una prueba preliminar que se concentra en aspectos específicos o predeterminados de un sistema y no está destinada para reemplazar otros métodos. La prueba paralela es el proceso de alimentar datos de prueba a dos sistemas—el sistema modificado y un sistema alternativo —y comparar los resultados. La prueba de regresión es el proceso de volver a ejecutar una porción de un escenario de prueba o plan de prueba para asegurar que los cambios o correcciones no han introducido nuevos errores. Los datos usados en prueba de regresión son los mismos que los datos usados en la prueba original.
63. Un almacén de datos:
B. está orientado a sujeto.
A. está orientado a objeto. B. está orientado a sujeto.
Explicación: Los almacenes de datos están orientados a sujeto. El
C. es específico del departamento. D. es una base de datos volátil.
almacén de datos está destinado a a yudar a tomar decisiones cuando la o las funciones a ser afectadas por la decisión pasan por todos los departamentos dentro de una organización. No son volátiles. La orientación a objeto y la volatilidad son irrelevantes para un sistema de almacén de datos.
64. En lugar de un sistema heredado, una organización está implementando un nuevo sistema. ¿Cuál de las siguientes prácticas de conversión crea el MAYOR riesgo?
C. Corte Inmediato (Direct cut-over)
A. Piloto B. Paralelo C. Corte Inmediato (Direct cut-over) D. Por fases 65. ¿Cuál es el primer nivel de modelo de madurez de capacidad de software (CMM) que incluye un proceso estándar de desarrollo de software? A. Inicial (nivel 1) B. Repetible (nivel 2) C. Definido (nivel 3) D. Optimizante (nivel 5)
66. Un auditor de SI que evalúa la integridad de datos en un entorno de sistema impulsado por transacciones debe revisar la atomicidad para determinar si: A. la base de datos sobrevive las fallas (de hardware y de software). B. cada transacción está separada de las otras transacciones. C. se mantienen las condiciones de integridad. D. una transacción es finalizada o no, o una base de datos está actualizada o no. 67. Durante la revisión de un proyecto de desarrollo basado en la web, el auditor de SI se da cuenta que los estándares de codificación no son ejecutados y que rara vez se llevan a cabo revisiones de código. Los MAS probable es que esto aumente la probabilidad de un exitoso: A. desbordamiento del buffer. B. Ataque de fuerza bruta. C. ataque distribuido de negación de servicio. D. ataque de Guerra de llamadas (war dialing).
Explicación: Un corte inmediato (Direct cut-over) implica cambiar al nuevo sistema inmediatamente, por lo general sin la capacidad para revertir al viejo sistema en el caso de problemas. Todas las otras alternativas se hacen gradualmente y de ese modo proveen mayor recuperabilidad y son por lo tanto menos riesgosas. C. Definido (nivel 3) Explicación: Basado en la lecciones aprendidas del nivel 1 (inicial) y el nivel 2 (repetible), nivel 3 (definido) inicia documentación para proveer procesos estandarizados de software en toda la organización. El nivel 1 (inicial) se caracteriza como ad hoc, donde la confianza está puesta en el personal clave y los procesos no están documentados. Después del nivel 1, el nivel 2 (repetible) crea un ambiente de aprendizaje donde los procesos disciplinados se pueden repetir con éxito en otros proyectos de tamaño y alcance similar. La capacidad de controlar cuantitativamente proyectos de software surge al alcanzar el nivel final (5) de CMM. Al alcanzar este nivel, una organización está en una posición de usar estrategias de mejoramiento continuo del proceso al aplicar soluciones innovadoras y tecnologías de punta a sus pro yectos de software. D. una transacción es finalizada o no, o una base de datos está actualizada o no. Explicación: Este concepto está incluido en el principio de atomicidad, integridad, aislamiento y durabilidad (ACID). Durabilidad significa que la base de datos sobrevive a las fallas (de hardware o de software). Aislamiento significa que cada transacción está separada de las otras transacciones. Consistencia significa que se mantienen las condiciones de integridad. A. desbordamiento del buffer. Explicación: Un código escrito de manera deficiente, en especial en aplicaciones basadas en la web, a menudo es explotado por hackers que usan técnicas de desbordamiento de buffer. Un ataque de fuerza bruta se usa para quebrar las contraseñas. Un ataque distribuido de negación de servicio inunda su objetivo con numerosos paquetes, para impedirle responder a las solicitudes legítimas. La guerra de llamadas usa herramientas de escaneo de módem para penetrar en los PBXs.
68. Una compañía emprende un proyecto de rediseño de un proceso de negocio (BPR) en soporte de un método de mercadeo nuevo y directo para sus clientes. ¿Cuál de los siguientes sería la principal preocupación del auditor de SI respecto al nuevo proceso? A. ¿Están los controles clave establecidos para proteger los activos y los recursos de información? B. ¿Resuelve los requerimientos del cliente corporativo? C. ¿El sistema cumple las metas de desempeño/performancia (tiempo y recursos)? D. ¿Se han identificado los propietarios que serán responsables del proceso? 69. Cuando dos o más sistemas están integrados, los controles de input/output deben ser revisados por el auditor de SI en los: A. sistemas que reciben el output de otros sistemas. B. sistemas que envían output a otros sistemas. C. sistemas que envían y reciben datos. D. interfaces entre los dos sistemas.
A. ¿Están los controles clave establecidos para proteger los activos y los recursos de información? Explicación: El equipo de auditoría debe defender la inclusión de los controles clave y verificar que los controles estén establecidos antes de implementar el nuevo proceso. Las opciones B, C y D son objetivos que deben ser logrados por el proceso de BPR, pero no son la preocupación primaria del auditor.
C. sistemas que envían y reciben datos. Explicación: Ambos sistemas deben ser revisados para verificar si tienen controles de input/output ya que el output para un sistema es el input para el otro.
70. ¿Cuál de los siguientes asegurará MEJOR el desarrollo exitoso de las aplicaciones del negocio offshore?
B. Especificaciones aplicadas de manera detallada y correcta
A. Prácticas estrictas de manejo de contrato B. Especificaciones aplicadas de manera detallada y correcta C. Conocimiento de las diferencias culturales y políticas D. Revisiones posteriores a la implementación
Explicación: Cuando se trata de operaciones offshore, es esencial que se creen especificaciones detalladas. Las diferencias de idioma y una falta de interacción entre los desarrolladores y los usuarios finales distantes físicamente podrían crear brechas en la comunicación en las cuales los supuestos y las modificaciones probablemente no se comuniquen de m anera adecuada. Las prácticas de administración de contrato, las diferencias culturales y políticas, y las revis iones posteriores a la implementación, aunque importantes, no son tan cruciales para el éxito del proyecto.
71. Un software de buena calidad de logra MEJOR:
D. aplicando procesos bien definidos y revisiones estructuradas en todo el proyecto.
A. por medio de una prueba exhaustiva. B. encontrando y corrigiendo rápidamente los errores de programación. C. determinando la cantidad de pruebas para el tiempo y el presupuesto disponible. D. aplicando procesos bien definidos y revisiones estructuradas en todo el proyecto.
72. Un auditor de SI que ha descubierto transacciones no autorizadas durante una revisión de Transacciones de EDI
Explicación: La prueba puede señalar las deficiencias de calidad. Sin embargo, por sí misma no puede corregirlas. La acción correctiva en este punto en el proyecto es cara. Mientras que es necesario detectar y corregir los errores de programa, la principal ganancia viene de detectar los defectos a medida que éstos ocurren en las fases nuevas, tales com o los requerimientos y el diseño. La opción C es representativa del error más común cuando se aplica la gerencia de calidad a un proyecto de software. Se ve como un gasto general, en cambio, la eliminación temprana de defectos tiene una retribución sustancial. La reelaboración es en realidad el impulsador más grande de costos en la mayoría de los proyectos de software. La opción D representa el núcleo de lograr la calidad, es decir, seguir un procesos consistente bien definido y revisando efectivamente los productos disponibles clave. C. las técnicas de autenticación para enviar y recibir mensajes.
es probable que recomiende mejorar: A. los acuerdos de los socios comerciales de EDI. B. los controles físicos para las terminales. C. las técnicas de autenticación para e nviar y recibir mensajes. D. los procedimientos de control de cambio de programa. 73. Cuando se está auditando una conversión de un sistema de contabilidad, un auditor de SI debe verificar la existencia de una verificación de: A. los totales de control. B. validación. C. integridad. D. límite.
74. Después de descubrir una vulnerabilidad de seguridad en una aplicación de terceros que tiene interfaces con varios sistemas externos, se aplica un parche (patch) a un número significativo de módulos. ¿Cuál de las pruebas siguientes debe ser recomendada por un auditor de SI? A. Stress B. Caja negra (Black box) C. Interfaz. D. Sistema
Explicación: Las técnicas de autenticación para enviar y recibir mensajes tienen una función clave para minimizar la exposición a las transacciones no autorizadas. Los acuerdos de socios comerciales de EDI minimizarían la exposición a los problemas legales. A. los totales de control. Explicación: Cuadrando / Chequeando un total de control de todas las cuentas antes y después de la conversión asegurará al auditor de SI que todos los datos de importes han sido tomados en el nuevo sistema. La verificación posterior uno a uno por los usuarios asegurará que todos los datos hayan sido convertidos. Las otras opciones son incorrectas. Las verificaciones de validación, las verificaciones de integridad y las verificaciones de límite se aplicarían en el punto en que los datos son /fueron introducidos originalmente al sistema de contabilidad. D. Sistema Explicación: Dada la extensión del parche y sus interfaces con sistemas externos, la prueba de sistema es la más apropiada. La prueba de interfaz no es suficiente, y las pruebas de stress o de black box son inadecuadas en estas circunstancias.
75. La razón más común para que los sistemas dejen de satisfacer las necesidades de los usuarios es que:
D. la participación del usuario para definir los requerimientos del sistema era inadecuada.
A. las necesidades del usuario están cambiando constantemente. B. el crecimiento de los requerimientos del usuario fue pronosticado incorrectamente. C. el sistema de hardware limita el número de usuarios concurrentes. D. la participación del usuario para definir los requerimientos del sistema era inadecuada.
Explicación: La falta de participación adecuada del usuario, en especial en la fase de requerimientos de sistemas, resultará por lo general en un sistema que no resuelve las necesidades del usuario en su totalidad o adecuadamente. Sólo los usuarios pueden definir ¿Cuáles son sus necesidades y, por lo tanto, lo que debería lograr el sistema?
76. Al final de la etapa de prueba de desarrollo de software, un auditor de SI observa que un error intermitente de software no ha sido corregido. No se ha tomado ninguna acción para resolver el error. El auditor de SI debe:
C. recomendar que se escale una resolución de problema.
A. reportar el error como un hallazgo y dejar la exploración adicional a discreción del auditado. B. tratar de resolver el error. C. recomendar que se escale una resolución de problema. D. ignorar el error, ya que no es posible obtener evidencia objetiva para el error de software. 77. ¿Cuál de los siguientes representa el MAYOR riesgo potencial en un ambiente de EDI? A. Autorización de transacción
Explicación: Cuando un auditor observa dichas condiciones, es mejor apreciar totalmente al auditado y sugerir que se intenten más resoluciones a problemas. Registrarlo como un error menor y dejarlo a la discreción del auditado sería inapropiado, y descuidar el error indicaría que el auditor no ha emprendido pasos para investigar aún más el problema hasta su final lógico. A. Autorización de transacción Explicación: Ya que la interacción entre las partes es electrónica, no
B. Pérdida o duplicación de transmisiones de EDI C. Demora de transmisión D. Eliminación o manipulación de transacciones antes o después del establecimiento de controles de aplicación
ocurre autenticación inherente, por lo tanto, la autorización de transacción es el mayor riesgo. Las opciones B y D son ejemplos de riesgos, pero el impacto no es tan grande como el de las transacciones no autorizadas. Las demoras de transmisión pueden terminar el proceso o mantener la línea hasta que haya transcurrido el tiempo normal para procesamiento, sin embargo, no habrá pérdida de datos.
78. ¿Cuál de las siguientes es una característica de la administración de caja de tiempo?
C. previene los excesos en costos y las demoras de entrega.
A. no es adecuada para crear prototipos ni desarrollo de aplicación rápida (RAD). B. elimina la necesidad de un proceso de calidad. C. previene los excesos en costos y las demoras de entrega. D. separa la prueba del sistema y la de aceptación de usuario.
Explicación: La administración de caja de tiempo, por su naturaleza, fija límites específicos de tiempo y de costo. Es m uy adecuada para crear prototipos y RAD, e integra las pruebas de sistema y la de aceptación de usuario, pero no elimina la necesidad de un proceso de calidad.
79. El uso de lenguajes de cuarta generación (4GLs) debería A. pueden carecer de los comandos de bajo nivel de detalle ser sopesado cuidadosamente contra el uso de lenguajes necesarios para realizar operaciones intensivas de datos. tradicionales porque 4GLs: Explicación: A. pueden carecer de los comandos de bajo nivel de detalle Todas las respuestas son ventajas de usar 4GLs excepto necesarios para realizar operaciones intensivas de datos. que pueden carecer de los comandos de nivel de detalle B. no pueden ser implementado tanto en los procesadores más bajo necesarios para realizar operaciones intensivas de de mainframe como en las microcomputadoras. datos. Estas operaciones por lo general se requieren cuando C. generalmente contienen subconjuntos de lenguajes se desarrollan aplicaciones mayores. complejos que deben ser usados por usuarios expertos. D. no pueden tener acceso a los registros de base de datos y producen mensajes salientes complejos en línea. 80. Un auditor de SI está efectuando una revisión de un sistema de aplicación después que los usuarios han realizado una prueba de aceptación. ¿Cuál sería la mayor preocupación del auditor de SI? A. Determinar si los objetivos de la prueba fueron documentados B. Determinar si los usuarios documentaron los resultados esperados de la prueba C. Revisar si se efectuaron registros (logs) de los problemas de la prueba D. Determinar si hay problemas no resueltos 81. Una organización que planea com prar un paquete de software solicita al auditor de SI una evaluación de riesgo. ¿Cuál de lo siguiente es el riesgo MAYOR? A. No disponibilidad del código fuente. B. Falta de una certificación de calidad del vendedor C. Ausencia de referencias vendedor /cliente D. Poca experiencia del vendedor con el paquete. 82. ¿En cuál de las siguientes etapas de ciclo de vida de desarrollo de sistemas (SDLC) deben los procedimientos tener una línea de base definida, para prevenir desbordamiento del ámbito (scope creep)? A. Desarrollo B. Implementación
D. Determinar si hay problemas no resueltos Explicación: Para evaluar el éxito o fracaso total de la prueba de aceptación, el auditor de SI debe determinar si se documentaron los planes de prueba y si los resultados reales fueron comparados con los resultados esperados así como también revisar el registro de problemas de prueba para confirmar la resolución de los problemas de prueba identificados. El auditor de SI debe luego determinar el impacto de los problemas no resueltos sobre la funcionalidad y utilidad del sistema. A. No disponibilidad del código fuente. Explicación: Si el vendedor cierra el negocio, el no tener disponible el código fuente haría imposible la actualización del paquete (de software). La falta de una certificación de calidad del vendedor, la ausencia de referencias vendedor /cliente y la poca experiencia del vendedor con el paquete son aspectos importantes pero no críticos. C. Diseño Explicación: Para prevenir la entrada incontrolada de nuevos requerimientos en un sistema que se está desarrollando, es necesario un proceso estándar para autorización, aprobación, prueba y documentación. Dichos procedimientos
C. Diseño D. Factibilidad
se basan en la etapa de diseño y se modifican en conformidad con las necesidades de la organización. En la etapa de desarrollo, las especificaciones de diseño se usan para programar el sistema que soportará procesos organizativos específicos. La etapa de implementación es demasiado tarde y la etapa de factibilidad es demasiado temprano para establecer los procedimientos de desbordamiento de ámbito (scope creep).
83. La MAYOR ventaja del desarrollo rápido de aplicaciones(RAD) sobre el tradicional ciclo de vida de desarrollo de sistemas (SDLC) es que:
D. acorta el marco de tiempo del desarrollo
A. facilita la participación del usuario B. permite pruebas tempranas de las funciones técnicas C. facilita la conversión al nuevo sistema D. acorta el marco de tiempo del desarrollo 84. Un auditor de SI que realiza una auditoría de mantenimiento de aplicaciones revisaría el registro de cambios de programa para: A. la autorización para cambios de programa. B. la fecha de creación de un módulo objeto corriente. C. el número de cambios de programa realmente hechos. D. la fecha de creación de un programa fuente corriente.
85. Un sistema de soporte de decisiones (DSS): A. está dirigido a resolver problemas altamente estructurados. B. combina el uso de modelos con las funciones no tradicionales de acceso a y recuperación de datos. C. enfatiza en la flexibilidad de la metodología de toma de decisiones de los usuarios. D. soporta solamente las tareas de toma de decisión estructurada. 86. ¿Cuál de los siguientes elementos es el M S importante en el diseño de un depósito de datos? A. La calidad de los metadatos B. La velocidad de las transacciones C. La volatilidad de los datos D. La vulnerabilidad del sistema
87. Una organización ha contratado a un proveedor para una solución llave en mano (turnkey solution) para su sistema electrónico de cobro de peajes (ETCS). El proveedor ha provisto su software privado de aplicación como parte de la solución. El contrato debería requerir que: A. un servidor de respaldo esté disponible para ejecutar operaciones de ETCS con datos actualizados.
Explicación: La mayor ventaja del RAD es el marco de tiempo más corto para el desarrollo de un sistema. Las opciones A y B son ciertas, pero ellas son también ciertas para el tradicional ciclo de vida de desarrollo de sistemas. La opción C no es necesariamente siempre cierta. A. la autorización para cambios de programa. Explicación: El registro manual es más probable que contenga información sobre cambios autorizados a un programa. Los cambios deliberados, autorizados no serán documentados por la parte responsable. Un registro automatizado, que se encuentra por lo general en los productos de administración de biblioteca, y no un registro de cambio es más probable que contenga información de fecha para los módulos fuente y ejecutables. C. enfatiza en la flexibilidad de la metodología de toma de decisiones de los usuarios. Explicación: DSS enfatiza en la flexibilidad de la metodología de toma de decisiones de los usuarios. Está dirigido a resolver problemas menos estructurados, combina el uso de modelos y técnicas analíticas con las funciones tradicionales de acceso y recuperación de datos y soporta tareas semiestructuradas de toma de decisiones. A. La calidad de los metadatos Explicación: La calidad de los metadatos es el elemento más importante en el diseño de un depósito de datos. Un depósito de datos es una copia de datos de transacción estructurados específicamente para investigación y análisis. Los metadatos están dirigidos a proveer una tabla de contenido para la información almacenada en el depósito de datos. L as compañías que han construido depósitos creen que los metadatos son el componente más importante del depósito. D. el código fuente de la aplicación de ETCS sea puesto en depósito de garantía (escrow.) Explicación: Cada vez que se compra un software privado de aplicación, el contrato debería proveer un acuerdo de código fuente. Esto asegurará que la compañía compradora tenga la oportunidad de modificar el software si el proveedor deja de
B. un servidor de respaldo sea cargado con todo el software y los datos relevantes. C. el personal de sistemas de la organización sea entrenado para manejar cualquier evento. D. el código fuente de la aplicación de ETCS sea puesto en depósito de garantía (escrow.)
estar en el negocio. Tener un servidor de respaldo con datos actualizados y el entrenamiento de personal es crítico pero no tan crítico como asegurar la disponibilidad del código fuente.
88. Un empleado es responsable de actualizar diariamente las tasas de interés en una aplicación de finanzas, incluyendo las excepciones de tasa de interés para los clientes preferenciales. ¿Cuál de los siguientes es el MEJOR control para asegurar que todas las excepciones de tasas sean aprobadas?
B. Las tasas fuera del rango normal requieren la previa aprobación de la gerencia
A. Un supervisor debe introducir su contraseña antes de que se valide una excepción de tasa. B. Las tasas fuera del rango normal requieren la previa aprobación de la gerencia C. El sistema da una alarma sonora cuando se introducen las excepciones de tasas D. Todas las tasas de interés deben ser registradas (logged) y verificadas cada 30 días. 89. Un auditor de SI asignado para auditar un proceso reorganizado debe PRIMERO revisar ¿cuál de los siguientes? A. Un mapa de los controles existentes B. Controles eliminados C. Cuadros (charts) de proceso D. Controles compensatorios
90. A medida que un proceso del proyecto de reingeniería del negocio (BPR) se establece se espera que: A. las prioridades del negocio permanezcan estables. B. las tecnologías de la información no cambien. C. el proceso mejore el producto, servicio y rentabilidad. D. el input de clientes y agentes ya no será necesario.
91. El beneficio PRIMARIO de integrar el manejo total de la calidad (TQM) en un proyecto de desarrollo de software es: A. documentación comprensiva. B. entrega a tiempo. C. control de costos. D. satisfacción del usuario final.
Explicación: La aprobación previa por parte de la gerencia para las tasas fuera del rango normal sería un control apropiado. Introducir la contraseña de un supervisor no asegura la autorización. Una alarma del sistema al introducir una excepción de tasa es solamente una advertencia y el registro de excepciones es un control de detección.
C. Cuadros (charts) de proceso Explicación: Para asegurar el control adecuado sobre el proceso del negocio, el auditor debe primero revisar los d iagramas de flujo que muestran los procesos previos y posteriores. Los diagramas del proceso ayudan a analizar los cambios en los procesos. Las otras opciones —analizar los controles eliminados, asegurar que los controles compensatorios estén establecidos y analizar los controles existentes —son incorrectas ya que cada una, realizada individualmente, no sería tan efectiva y todas abarcan la revisión de los diagramas de procesos. C. el proceso mejore el producto, servicio y rentabilidad. Explicación: A medida que un proceso de reingeniería se establece, ciertos resultados clave comenzarán a surgir, incluyendo una concentración sobre el proceso como un medio de mejorar el producto, el servicio y la rentabilidad. Además, las nuevas prioridades del negocio y enfoques del uso de información así como también surgirán tecnologías de información poderosas y más accesibles. Con frecuencia, las funciones de clientes y agentes serán redefinidas proveyéndolos de más participación directa y activa en el proceso del negocio de la empresa. D. satisfacción del usuario final. Explicación: La calidad es en última instancia una medida de la satisfacción del usuario final. Si el usuario final no está satisfecho, entonces el producto no se desarrolló debidamente. La documentación completa, la entrega en el tiempo programado y los costos son todos e llos factores secundarios para la satisfacción del usuario final.
92. Durante una revisión posterior a la implementación del sistema de administración de recursos de una empresa, ¿qué es lo MÁS probable que un auditor de sistemas realice? A. Revise la configuración del control de acceso B. Evalúe la prueba de interfaz C. Revise la documentación detallada de diseño D. Evalúe la prueba de sistema
93. La diferencia entre prueba de caja blanca (whitebox) y prueba de caja negra (blackbox) es que la prueba de caja blanca: A. involucra al auditor de SI. B. es efectuada por un equipo de programadores independientes. C. examina la estructura lógica interna de un programa. D. usa el enfoque de abajo hacia arriba.
A. Revise la configuración del control de acceso Explicación: Revisar la configuración de control de acceso sería la primera tarea que realizaría para determinar si la seg uridad ha sido establecida debidamente en el sistema. Como se trata de una revisión posterior a una implementación que por lo general se hace después de la prueba de aceptación del usuario y de una implementación real, u no no se pondría a probar la interfaz ni la documentación detallada de diseño, la cual probablemente no estaría actualizada. Evaluar la prueba de la interfaz sería parte de un proceso de implementación. El aspecto de revisar la documentación detallada de diseño en general no es relevante para un sistema de administración de recursos de empresa ya que éstos son por lo general paquetes de vendedor con manuales de usuario. La prueba de s istema también se realiza normalmente antes de que el usuario final registre su salida. C. examina la estructura lógica interna de un programa. Explicación: La prueba de caja negra observa el comportamiento externo de un sistema, mientras que la prueba de caja blanca es un examen detallado de una ruta lógica, verificando las posibles condiciones. El auditor de SI no necesita participar en ningún método de prueba. El enfoque de abajo hacia arriba puede ser usado en ambas pruebas. La prueba de caja blanca requiere conocimiento de las interioridades del programa o el módulo que va a ser implementado/ probado. La prueba de caja negra requiere que la funcionalidad del programa se conozca. El equipo de programadores independientes no estarían en conocimiento de la aplicación de un programa en el que no han participado. Por ello, el equipo de programadores independientes no puede proveer asistencia alguna en ninguno de estos métodos de prueba.
94. Las órdenes de venta son numeradas automáticamente A. enviar y conciliar los conteos y totales de transacciones. en forma secuencial en cada uno de los puntos de venta múltiples de un vendedor minorista. Las órdenes pequeñas Explicación: son procesadas directamente en los puntos de venta, Enviar y conciliar totales de transacción no solamente enviándose las órdenes grandes a una instalación central de asegura que las órdenes fueron recibidas, sino q ue también producción. El control más apropiado para asegurar q ue fueron procesadas por el lugar central de producción. todas las órdenes transmitidas a producción sean recibidas y Transmitir los datos de la transacción de regreso a l sitio local procesadas sería: confirma que el lugar central la recibió, pero no que la hayan procesado realmente. Rastrear y dar cuenta de la secuencia A. enviar y conciliar los conteos y totales de transacciones. numérica solamente confirma qué órdenes están a la mano, B. hacer que los datos sean transmitidos de regreso al sitio y no si las mismas se han efectuado realmente. El uso de local para comparación. verificación de paridad solamente confirmaría que la orden C. comparar los protocolos de comunicaciones de datos con no fue cambiada durante la transmisión. verificación de paridad. D. rastrear y dar cuenta de la secuencia numérica de las órdenes de venta en la instalación de producción. 95. ¿Cuál de los siguientes grupos /personas debería asumir la dirección general y la responsabilidad de los costos y cronogramas de los proyectos de desarrollo de sistemas? A. La gerencia de usuario B. El comité de dirección del proyecto
B. El comité de dirección del proyecto Explicación: El comité de dirección del proyecto es en última instancia responsable de todos los costos y cronogramas. La gerencia de usuario asume la propiedad del proyecto y del sistema
C. La alta gerencia D. La gerencia de desarrollo de sistemas
resultante. La alta gerencia se compromete con el proyecto y aprueba los recursos necesarios para llevar a cabo el proyecto. La gerencia de desarrollo de sistema provee soporte técnico para los ambientes del hardware y del software desarrollando, instalando y operando el sistema solicitado.
96. ¿Cuál de los siguientes representa un prototipo típico de una aplicación interactiva?
B. Pantallas, ediciones interactivas y muestras de reportes
A. Pantallas y programas de procesamiento B. Pantallas, ediciones interactivas y muestras de reportes C. Ediciones interactivas, programas de procesamiento y muestras de reportes D. Pantallas, ediciones interactivas, programas de procesamiento y muestras de reportes 97. ¿Cuál de los siguientes tipos de prueba determinaría si un sistema nuevo o modificado puede o perar en su ambiente objetivo sin afectar adversamente otros sistemas existentes? A. Prueba paralela B. Prueba piloto C. Prueba de interfaz/integración D. Prueba de sociabilidad
98. ¿Cuál de las siguientes es una técnica de gerencia que permite que las organizaciones desarrollen sistemas estratégicamente importantes más rápidamente al tiempo que reduce los costos de desarrollo y mantiene la calidad? A. Análisis de punto de función B. Metodología de ruta crítica C. Desarrollo de aplicación rápida D. Técnica de revisión de evaluación de programa
99. Durante el desarrollo de una aplicación, la prueba de aseguramiento de la calidad y la prueba de aceptación de usuario se combinaron. La MAYOR preocupación para un auditor de SI que revisa el proyecto es que habrá: A. Un incremento en el mantenimiento.
Explicación: Los programas de procesamiento no son producidos por una herramienta de creación de prototipos. Esto a menudo conduce a confusión al usuario final, quien espera la rápida implementación de programas que obtengan los resultados que producen estas herramientas. D. Prueba de sociabilidad Explicación: El propósito de la prueba de sociabilidad es confirmar que un sistema nuevo o modificado puede operar en su ambiente/entorno objetivo sin afectar adversamente los sistemas existentes. Esto debería cubrir la plataforma que realizará el procesamiento primario de aplicación y las interfaces con otros sistemas, así como también los cambios al desktop en un desarrollo de cliente-servidor o de web. La prueba paralela es el proceso de alimentar datos a dos sistemas - el sistema modificado y el sistema anterior - y comparar los resultados. En este método, los sistemas viejo y nuevo operan concurrentemente por un período de tiempo y realizan las mismas funciones de procesamiento. La prueba piloto tiene lugar primero en una ubicación y luego es extendida a otras ubicaciones. El propósito es ver si el nuevo sistema opera satisfactoriamente en un lugar antes de implementarlo en otros lugares. La prueba de interfaz/integración es una prueba de hardware o de software que evalúa la conexión de dos o más componentes que pasan información desde un área a otra. El objetivo es tomar módulos probados por unidad y construir una estructura integrada. C. Desarrollo de aplicación rápida Explicación: El desarrollo de aplicación rápida es una técnica de gerencia que permite a las organizaciones desarrollar sistemas estratégicamente importantes más rápidamente al tiempo que reduce los costos de desarrollo y mantiene la calidad. La técnica de revisión de evaluación de programa (PERT) y la metodología de ruta crítica (CPM) son ambas técnicas de evaluación y control, mientras que se usa el análisis de punto de función par estimar la complejidad de desarrollar aplicaciones del negocio. C. Unas pruebas funcionales inadecuadas. Explicación: El riesgo mayor de combinar las pruebas de garantía de la calidad y las pruebas de aceptación del usuario es que las pruebas funcionales pueden ser inadecuadas. Las opciones
B. Una documentación inapropiada de las pruebas C. Unas pruebas funcionales inadecuadas. D. Demoras en la resolución de problemas.
A, B y D no son tan importantes.
100. La solicitud de propuesta (RFP) para la adquisición de un sistema de aplicación es MÁS probable que sea aprobada por el:
A. comité de seguimiento del proyecto (project steering committee).
A. comité de seguimiento del proyecto (project steering committee). B. patrocinador de proyecto. C. gerente de proyecto. D. equipo de proyecto de usuario.
101. Los supuestos mientras se planea un pro yecto de SI implican un alto grado de riesgo porque: A. están basados en limitaciones conocidas. B. están basados en datos pasados objetivos. C. son resultado de la falta de información. D. están g echos frecuentemente por personas no calificadas.
102. Un auditor de SI encuentra datos fuera de orden en algunas tablas de una base de datos. ¿Cuál de los siguientes controles debe el auditor recomendar para evitar esta situación? A. Registrar (log) todas las transacciones de actualización de tablas B. Implementar el reporte de imágenes antes y después C. Usar rastreo y etiquetado (tracing – tagging) D. Implementar restricciones (constraints) de integridad en la base de datos.
103. ¿Cuál de los siguientes es la PRIMERA cosa que un auditor de SI debería hacer después de descubrir un programa de caballo de Troya en un sistema de computadora? A. Investigar el autor B. Eliminar cualesquiera amenazas subyacentes C. Establecer controles de compensación D. Hacer que se elimine el código trasgresor
Explicación: Un comité de seguimiento del proyecto (project steering committee) está por lo general constituido por un alto representante de cada función que será afectada por el nuevo sistema y sería el grupo más apropiado para aprobar el RFP. El patrocinador del proyecto provee financiamiento para el proyecto. El gerente de proyecto y el equipo de proyecto de usuario son responsables de redactar la RFP. C. son resultado de la falta de información. Explicación: Los supuestos se hacen cuando no se dispone de información adecuada. Cuando un gerente de proyecto de SI hace un supuesto, hay un alto grado de riesgo porque la falta de información apropiada puede causar una pérdida inesperada a un proyecto de SI. Los supuestos no se basan en limitaciones "conocidas". Cuando las limitaciones son conocidas de antemano, un gerente de proyecto puede planear de acuerdo con esas limitaciones, en lugar de suponer que las limitaciones no afectarán el proyecto. Tener datos objetivos sobre proyectos pasados de SI no conducirá a hacer supuestos, sino más bien ayuda al gerente de proyecto de SI a planear el proyecto en una mejor forma. De ahí que, si se dispone de datos objetivos pasados y el gerente de proyecto hace uso de ellos, el riesgo para el proyecto es menor. Independientemente de si los hicieron personas calificadas o personas no calificadas, los supuestos son riesgosos. D. Implementar restricciones (constraints) de integridad en la base de datos. Explicación: Implementar restricciones de integridad en la base de datos es un control preventivo, porque los datos son verificados contra tablas predefinidas o reglas que previenen que cualquier dato no definido sea introducido. Registrar (logging) todas las transacciones de actualización de datos e implementar reportes de imágenes antes y después son controles de detección que no evitarían la situación. Rastrear (tracing) y etiquetar (tagging) se usan para probar sistemas y controles de aplicación y no podrían prevenir datos fuera de rango. D. Hacer que se elimine el código trasgresor Explicación: La primera función de un auditor de SI es impedir que el caballo de Troya cause más daño. Después de eliminar el código trasgresor, las acciones de seguimiento incluirían investigación y recomendaciones (las opciones B y C).
104. Cuando se está implementando un sistema adquirido en un entorno cliente – servidor, ¿cuál de las pruebas siguientes confirmaría que las modificaciones en el r egistro de Windows no tienen un impacto adverso en el ambiente de escritorio (desktop)? A. Prueba de sociabilidad B. Prueba paralela C. Prueba de caja blanca D. Prueba de validación
D. Prueba de validación Explicación: Cuando se está implementando un sistema adquirido en un ambiente cliente-servidor, la prueba de sociabilidad confirmaría que el sistema puede operar en el am biente objetivo sin tener un impacto adverso sobre otros sistemas. La prueba paralela es el proceso de alimentar con datos de prueba tanto al viejo como al nuevo sistema y comparar los resultados. La prueba de caja blanca se basa en un examen minucioso de los detalles de procedimiento (procedural), y las pruebas de validación prueban la funcionalidad del sistema contra los requerimientos detallados para asegurar que el software que haya sido construido sea rastreable con los requerimientos del cliente.
105. La prueba de regresión es el proceso de probar un programa para determinar si:
D. los cambios han introducido algún error en el código no cambiado.
A. el nuevo código contiene errores. B. existen discrepancias entre las especificaciones funcionales y el desempeño/performancia. C. se han satisfecho nuevos requerimientos. D. los cambios han introducido algún error en el código no cambiado.
Explicación: La prueba de regresión es el proceso de volver a ejecutar una porción de un escenario de prueba o plan de prueba para asegurar que los cambios o las correcciones no hayan introducido nuevos errores. Los datos usados en la prueba de regresión deben ser los mismos que los datos usados en la prueba original. La prueba de unidad se usaría para determinar si el nuevo código contiene errores o no satisface los requerimientos.
106. Al evaluar los proyectos de desarrollo de aplicaciones contra el modelo de madurez de capacidad (CMM), un auditor debe poder verificar que:
D. se sigan los procesos predecibles de software.
A. se garanticen los productos confiables. B. se mejore la eficiencia de los programadores. C. se diseñen los requerimientos de seguridad. D. se sigan los procesos predecibles de software.
107. El uso de técnicas de diseño y desarrollo orientada a objetos, es más probable que: A. faciliten la capacidad para reutilizar módulos. B. mejoren el desempeño del sistema. C. aumenten la efectividad del control. D. aumenten la velocidad del ciclo de vida del desarrollo del sistema.
Explicación: Al evaluar los proyectos de desarrollo de aplicaciones contra el modelo de madurez de capacidad (C MM), el auditor de IS determina si la organización de desarrollo sigue un proceso estable, predecible de software. Aún cuando la probabilidad de éxito debe aumentar a medida que los procesos de software maduran hacia el nivel de optimización, los procesos maduros no garantizan un producto confiable. CMM no evalúa procesos técnicos tales como programación, ni evalúa los requerimientos de seguridad u otros controles de aplicación. A. faciliten la capacidad para reutilizar módulos. Explicación: Uno de los mayores beneficios del diseño y desarrollo orientado hacia el objeto es la capacidad para reutilizar módulos. Las otras opciones no requieren necesariamente dicha técnica.
108. ¿Qué datos se deben usar para la prueba de regresión?
C. Los datos usados en las pruebas anteriores
A. Datos diferentes de los usados en la prueba anterior B. Los datos más actuales de producción C. Los datos usados en las pruebas anteriores D. Los datos producidos por un generador de datos de prueba
Explicación: La prueba de regresión asegura que los cambios o las correcciones en un programa no hayan introducido nuevos errores. Por lo tanto, esto se lograría si los datos usados para la prueba de regresión fueran los mismos que los datos usados en las pruebas anteriores.
109. Un objetivo de una revisión posterior a la implementación de un sistema de aplicación de negocio nuevo o extensamente modificado es: A. determinar si los datos de prueba cubrieron todos los escenarios B. llevar a cabo un proceso de certificación y de acreditación C. determinar si los beneficios esperados del proyecto fueron obtenidos D. diseñar informes de pistas de auditoría
110. Cuando se revisa la calidad del proceso de desarrollo de un departamento de SI, el auditor d e SI encuentra que ellos no usan ninguna metodología y normas formales documentadas. La acción más apropiada del auditor de SI sería: A. completar la auditoría y reportar el hallazgo. B. investigar y recomendar normas formales apropiadas. C. documentar los estándares informales y probar su cumplimiento. D. retirarse y recomendar una auditoría adicional cuando normas estén implementadas.
C. determinar si los beneficios esperados del proyecto fueron obtenidos Explicación: Determinar si los beneficios esperados del p royecto fueron alcanzados sería uno de los objetivos de una revisión posterior a la implementación. Determinar si los datos de prueba cubrieron todos los escenarios y llevar a cabo un proceso de certificación y acreditación son objetivos d e la fase de implementación del desarrollo de los sistemas de aplicación. Diseñar pistas de auditoría es parte de la fase de diseño del desarrollo. C. documentar los estándares informales y probar su cumplimiento. Explicación: La primera preocupación de un auditor de SI sería asegurar que los proyectos sean administrados de manera consistente. Cuando se alega que existe una norma interna, es importante asegurarse que esté operada correctamente, aún cuando ello signifique documentar primero las normas alegadas. Reportar solamente el caso como una debilidad y cerrar la auditoría sin hallazgos no a yudaría a la organización en ninguna forma e investigar las metodologías formales puede ser innecesario si los estándares informales existentes demuestran ser adecuados y efectivos.
111. El uso de un diagrama de GANTT puede:
A. ayudar a hacer un cronograma de tareas de proyecto.
A. ayudar a hacer un cronograma de tareas de proyecto. B. determinar los puntos de verificación del proyecto. C. asegurar las normas de documentación. D. dirigir la revisión posterior a la implementación.
Explicación: Un diagrama de GANTT se usa en el control de proyectos. Puede ayudar a identificar los puntos de verificación que se necesitan pero su uso primario es la creación de un cronograma. No asegurará la realización de documentación ni proveerá indicación para la revisión posterior a la implementación.
112. ¿Cuál de los siguientes facilita el mantenimiento del programa?
A. Programas más cohesivos y acoplados libremente
A. Programas más cohesivos y acoplados libremente B. Programas menos cohesivos y acoplados libremente C. Programas más cohesivos y acoplados fuertemente D. Programas menos cohesivos y acoplados fuertemente
113. Durante una revisión posterior a l a implementación, ¿cuál de las siguientes herramientas usaría un auditor para tener una idea general del contenido de la memoria interna en las diferentes etapas del programa de ejecución? A. Depósito de memoria B. Monitor de ruta lógica C. Utilería de rastreo D. Analizador de output
Explicación: La cohesión se refiere a la ejecución de una sola función dedicada por cada programa. Acoplamiento se refiere a la independencia de las unidades comparables. Unidades libremente acopladas, cuando el código de programa es cambiado, reducirá la probabilidad de afectar otras unidades de programa. Unidades más cohesivas y libremente acopladas son mejores para el mantenimiento. C. Utilería de rastreo Explicación: Una utilería de rastreo se usa para tener una idea general del contenido de la memoria interna en las diferentes etapas de ejecución del programa para mostrar la e volución de cosas tales como contadores y registros. El depósito de memoria se usa para tener una idea general del contenido de la memoria interna en un punto en el tiempo, se produce principalmente cuando el programa se interrumpe o se aborta. El monitor de ruta lógica informa sobre la secuencia
de eventos logrados por el programa, suministrando así indicios sobre errores lógicos. Los analizadores de output ayudan a verificar los resultados de la ejecución del programa para ver si éste está correcto. 114. Una ventaja de usar en transacciones en vivo saneadas (sanitized live transactions) en los datos de prueba, es que:
D. las transacciones de prueba son representativas de procesamiento en vivo.
A. todos los tipos de transacción serán incluidos. B. cada condición de error probablemente sea probada. C. no se requiere ninguna rutina especial para evaluar los resultados. D. las transacciones de prueba son representativas de procesamiento en vivo.
Explicación: La fecha de prueba será representativa del procesamiento en vivo; sin embargo, es improbable que todos los tipos de transacción o condiciones de error sean probados de esta forma.
115. El propósito de una checksum en un campo de cantidad A. integridad. en una comunicación de intercambio electrónico de datos (EDI) de transacciones financieras, es asegurar: Explicación: Una checksum calculada sobre un campo de cantidad e A. integridad. incluida en la comunicación EDI puede ser usada para B. autenticidad. identificar modificaciones no autorizadas. La autenticidad y la C. autorización. autorización no pueden ser establecidas por una ch ecksum D. no repudio. solamente y necesitan otros controles. El no repudio puede ser asegurado usando firmas digitales. 116. La responsabilidad de diseñar, implementar y m antener un sistema de control interno la tiene: A. el auditor de SI. B. la gerencia. C. el auditor externo. D. el personal de programación.
B. la gerencia. Explicación: Diseñar, implementar y mantener un sistema de controles internos, incluyendo la prevención y detección de fraude es responsabilidad de la gerencia. El auditor de SI analiza los riesgos, y realiza pruebas para detectar irregularidades creadas por debilidades en la estructura de los controles internos.
117. El grupo de garantía de calidad (quality assurance) es típicamente responsable de:
C. asegurar que los programas y los cambios de programas y la documentación se adhieran a las normas establecidas.
A. asegurar que el output recibido del procesamiento de sistemas esté completo. B. monitorear la ejecución de tareas de procesamiento de computadora. C. asegurar que los programas y los cam bios de programas y la documentación se adhieran a las normas establecidas. D. diseñar procedimientos para proteger los datos contra revelación accidental, modificación o destrucción.
Explicación: El grupo de garantía de calidad es típicamente responsable de asegurar que los programas, cambios de programas y documentación se adhieran a las normas establecidas. La opción A es la responsabilidad del grupo de control de datos, la opción B es responsabilidad de operaciones de computadora, y la opción D es responsabilidad de responsabilidad de datos.
118. ¿Cuál de los siguientes es crítico para la selección y adquisición del software de sistema operativo correcto?
C. Análisis de configuración del hardware
A. Licitaciones competitivas B. Aprobación del departamento de usuario C. Análisis de configuración del hardware D. Aprobación del departamento de compras
119. ¿Cuál de los siguientes métodos de desarrollo usa un prototipo que puede ser actualizado continuamente para satisfacer los requerimientos cambiantes del usuario o del negocio?
Explicación: La compra de software de sistema operativo depende del hecho de que el software sea compatible con el hardware existente. Las opciones A y D, a pesar de ser importantes, no son tan importantes como la opciónC. L os usuarios no aprueban normalmente la adquisición de software de sistema operativo. D. Desarrollo de aplicación rápida (RAD) Explicación: Sólo RAD usa la creación de prototipos como su herramienta
A. Desarrollo orientado a los datos (DOD) B. Desarrollo orientado al objeto (OOD) C. Reingeniería del proceso del negocio (BPR) D. Desarrollo de aplicación rápida (RAD) 120. Un sistema existente está siendo mejorado extensamente extrayendo y reutilizando componentes de diseño y de programa. Este es un ejemplo de: A. ingeniería de reversa. B. creación de prototipos. C. reutilización de software. D. reingeniería.
121. Una característica distintiva de los lenguajes de cuarta generación (4GLs) es la portabilidad, ¿qué significa? A. Independencia ambiental B. Conceptos de Mesa de Trabajo (Workbench) (almacenamiento temporal, edición de la prueba, etc.) C. Capacidad para diseñar formatos de pantalla y desarrollar outputs gráficos D. Capacidad para ejecutar operaciones en línea 122. Un auditor de SI que realiza una revisión del departamento de SI descubre que no existen procedim ientos formales de aprobación. En ausencia de estos procedimientos, el gerente de SI ha estado aprobando arbitrariamente proyectos a los niveles superiores de la gerencia para su aprobación. El auditor de SI debería recomendar como un PRIMER curso de acción que: A. los usuarios participen en la revisión y en el proceso de aprobación. B. se adopten y documenten procedimientos formales de aprobación. C. los proyectos sean referidos a los niveles apropiados de la gerencia para su aprobación. D. la descripción del puesto de trabajo del gerente de SI sea cambiada para que incluya la autoridad de aprobación. 123. Una herramienta de depuración (debugging), la cual reporta sobre la secuencia de pasos ejecutados por un programa, se denomina: A. analizador de output. B. depósito provisional de memoria (memory dump). C. compilador.
central de desarrollo. OOD y DOD usan modelos en continuo desarrollo, y BPR intenta convertir un proceso existente de negocio en lugar de hacer cambios dinámicos.
D. reingeniería. Explicación: Los viejos sistemas (heredados) que han sido corregidos, adaptados y aumentados extensamente requieren reingeniería para continuar siendo mantenidos. La reingeniería es una actividad de reconstrucción para incorporar nuevas tecnologías en los sistemas existentes. Usando afirmaciones de lenguajes de programa, la reingeniería de reversa implica revertir el código de máquina de un programa en el código fuente en el que estaba escrito, para identificar contenido malicioso en un programa, como por ejemplo un virus, o adaptar un programa escrito para uso con un procesador para uso con un procesador diseñado de manera diferente. La creación de prototipos es desarrollar un sistema por medio de ensayo y error controlado. La reutilización de software es el proceso de planear, analizar y usar componentes de software desarroll ados anteriormente. Los componentes reutilizables son integrados sistemáticamente en el producto actual de software. A. Independencia ambiental Explicación: La portabilidad describe la capacidad de 4GLs de ejecutar arquitecturas en toda la computadora, sistemas operativos, procesadores mainframe y computadoras personales. Las opciones B, C y D son otros atributos de los 4GLs.
B. se adopten y documenten procedimientos formales de aprobación. Explicación: Es imperativo que se establezcan procedimientos formales escritos de aprobación para establecer la responsabilidad de rendir cuenta. Esto es verdad tanto para los ni veles del gerente de SI como para los niveles superiores de la gerencia. Las opciones A, C y D sería recomendaciones subsiguientes una vez que se haya establecido la autoridad.
D. monitor de ruta lógica. Explicación: Los monitores de rutas lógicas reportan sobre la secuencia de pasos ejecutados por un programa. Este provee al programador de indicios para los errores lógicos, si los hubiera, en el programa. Un analizador de output verifica los
D. monitor de ruta lógica.
resultados de un programa en busca de exactitud comparando los resultados esperados con los resultados reales. Un dump de memoria provee un cuadro del contenido de la memoria interna de una computadora en cualquier momento en el tiempo, a menudo cuando el programa abortó, proveyendo así información sobre inconsistencias en los datos o en los valores de los parámetros. A pesar de q ue los compiladores tienen algún potencial para proveer retroalimentación a un programador, ellos generalmente no son considerados una herramienta de depuración.
124. ¿Cuál de los siguientes sistemas o herramientas puede reconocer que una transacción de tarjeta de crédito es más probable que haya sido consecuencia de una tarjeta de crédito robada que del tarjeta-habiente de u na tarjeta de crédito?
B. Las técnicas de extracción de datos
A. Los sistemas de detección de intrusos B. Las técnicas de extracción de datos C. Los firewalls D. Los ruteadores (routers) de filtrado de paquetes 125. ¿Cuál de los siguientes es una verificación (control) de totalidad? A. Dígitos de verificación B. Bits de paridad C. Verificación uno a uno D. Input registrado previamente
126. ¿Cuál de los siguientes riesgos sería consecuencia de una definición inadecuada de línea base (baseline) de software? A. Desbordamiento del ámbito (scope creep) B. Demoras de sign-off C. Violaciones de integridad de software D. Controles inadecuados
127. ¿Cuál de los siguientes se usa para asegurar que los datos de lote sean transferidos completa y correctamente entre dos sistemas? A. Dígito de verificación B. Total de control
Explicación: La extracción de datos es una técnica p ara detectar tendencias o patrones de transacciones o de datos. Si el patrón histórico de cargos contra una cuenta de tarjeta de crédito es cambiado, entonces es una señal de que la transacción puede haber sido consecuencia del uso fraudulento de la tarjeta. B. Bits de paridad Explicación: Los bits de paridad se usan para verificar si hay totalidad de transmisiones de datos. La opción A es incorrecta porque los dígitos de verificación una verificación de control de exactitud. La opción C es incorrecta porque en la verificación uno a uno, los documentos individuales se hacen coincidir con un listado detallado de documentos procesados por la computadora, pero no aseguran que todos los documentos hayan sido recibidos para procesamiento. La opción D (input registrado previamente) es un control de archivo de datos para el que los campos seleccionados de información están preimpresos en formularios de input en blanco para reducir la oportunidad de errores de input. A. Desbordamiento del ámbito (scope creep) Explicación: Una línea base (baseline) de software es el punto de corte en el diseño y desarrollo de un sistema más allá del cual los requerimientos o modificaciones adicionales al diseño no ocurren o no pueden ocurrir sin someterse a procedimientos formales estrictos de aprobación basada en un análisi s costo-beneficio del negocio. El no administrar adecuadamente los requerimientos de un sistema mediante la definición de la línea base puede tener como consecuencia un número de riesgos. El riesgo más importante entre éstos es el desbordamiento del ámbito (Scope creep), el proceso a través del cual los requerimientos cambian durante el desarrollo. Las opciones B, C y D no siempre resultan, pero la opción A es inevitable. B. Total de control Explicación: Los totales de control con frecuencia se usan como un control fácilmente recalculado. El número de facturas en un lote, o el valor de las facturas en un lote, son ejemplos de
C. Suma de verificación D. Cuenta de control
totales de control. Ellos brindan una forma sencilla de seguir una pista de auditoría desde un resumen de rubro de mayor general hasta una transacción individual, y de regreso. Un dígito de verificación es una forma de verificar la corrección de un solo rubro de datos, como por ejemplo un número de tarjeta de crédito. A pesar de que una suma de verificación es un control excelente de la integridad y corrección de un lote, no es fácilmente recalculado y por lo tanto, no es tan comúnmente usado en los sistemas financieros como totales de control. Las sumas de verificación se usan con frecuencia en la transferencia de datos como parte de los protocolos de encripción. Las cuentas de control se usan en los sistemas financieros para asegurar que los componentes que intercambian información resumen, como por ejemplo un registro de ventas y un mayor general, puedan ser reconciliados.
128. El modelo en cascada de ciclo de vida del desarrollo de software es usado de manera más apropiada cuando:
A. los requerimientos son bien entendidos y se espera que sigan siendo estables, como lo es el entorno del negocio en el que el sistema operará.
A. los requerimientos son bien entendidos y se espera que sigan siendo estables, como lo es el entorno del negocio en el que el sistema operará. B. Los requerimientos son bien entendidos y el proyecto está sujeto a presiones de tiempo. C. el proyecto pretende aplicar un d iseño orientado a objeto y un método de programación. D. el proyecto implicará el uso de nueva tecnología.
129. En un sistema de transferencia electrónica de fondos (EFT), ¿cuál de los siguientes controles sería útil para detectar una duplicación de mensajes? A. Código de autenticación de mensajes. B. Firma digital. C. Número de secuencia de autorización. D. Segregación de autorización.
130. La documentación de un caso de negocio usado en un proyecto de desarrollo de TI debe ser retenida hasta: A. el final del ciclo de vida del sistema. B. que el proyecto sea aprobado. C. la aceptación de usuario del sistema. D. que el sistema esté en producción.
Explicación: Históricamente, el modelo en cascada ha sido más adecuado para las condiciones estables descritas en la opción A. Cuando el grado de incertidumbre del sistema a ser entregado y las condiciones en las que éste será usado se elevan, el modelo en cascada no ha tenido éxito. En estas circunstancias, las diferentes formas de ciclo de vida de desarrollo iterativo da la ventaja de desglosar el alcance del sistema total a ser entregado, haciendo más manejable la recolección de requerimientos y las actividades de diseño. La capacidad de entregar software de trabajo antes tam bién actúa para aliviar la incertidumbre y puede permitir una realización de beneficios más temprana. La opción de un método de diseño y de programación no es en sí misma un factor determinante del tipo de ciclo de vida de desarrollo de software que es apropiado. El uso de nueva tecnología en un proyecto introduce un elemento de riesgo significativo. Una forma iterativa de desarrollo, en particular una de la familia de los métodos ágiles que se concentra en el desarrollo temprano de software de trabajo real, es probable que sea la mejor opción para manejar esta incertidumbre. C. Número de secuencia de autorización. Explicación: Todos los controles son necesarios en un sistema de EFT; sin embargo, el número de secuencia de autorización es el control que detectará la duplicación de un mensaje. Un código de autenticación de mensaje detecta modificaciones no autorizadas, una firma digital asegura el no repudio, y la segregación de la creación del mensaje y la autorización evitarán mensajes falsos (dummy). A. el final del ciclo de vida del sistema. Explicación: Un caso de negocio puede y debe ser usado durante todo el ciclo de vida del producto. Sirve como un ancla para el nuevo personal (gerencia), ayuda a mantener la concentración y provee información valiosa sobre estimados
vs. datos reales. Las preguntas como ―por qué hacemos eso,‖ ―cuál era la intención original‖ y ―cómo nos desempeñamos en comparación con el plan‖ pueden ser
respondidas y se pueden aprender lecciones para desarrollar futuros casos de negocio. Durante la fase de desarrollo de un proyecto, uno debe siempre validar el caso de negocio, ya que es un buen instrumento de administración. Después de terminar un proyecto y de entrar a l a producción, el caso de negocio y toda la investigación hecha son fuentes valiosas de información que deben ser guardadas para futura referencia. 131. Durante una auditoría de aplicaciones, el auditor de SI encuentra varios problemas relacionados con datos corruptos en la base de datos. ¿Cuál de los siguientes es un control correctivo que debe ser recomendado por el au ditor de SI?
A. Implementar procedimientos de copias de respaldo de datos y de recuperación
132. Cuando se selecciona el software, ¿cuál de los siguientes aspectos del negocio y técnicos es el MÁS importante a considerar?
B. Los requerimientos de la organización
Explicación: Implementar procedimientos de copias de respaldo de datos y de recuperación es un control correctivo, porque los A. Implementar procedimientos de copias de respaldo de procedimientos de copia de respaldo y de recuperación se datos y de recuperación pueden usar para deshacer los errores de base de datos. B. Definir estándares y monitorear de cerca el cumplimiento. Definir o establecer estándares es un control preven tivo, y C. Asegurar que sólo el personal autorizado pueda actualizar monitorear el cumplimiento es un control de detección. la base de datos. Asegurar que sólo el personal autorizado pueda actualizar la D. Establecer controles para manejar los problemas base de datos es un control preventivo. Establecer controles concurrentes de acceso. para manejar los problemas de acceso concurrente es un control preventivo.
A. La reputación de un vendedor B. Los requerimientos de la organización C. Los factores de costo D. La base instalada
Explicación: Establecer los requerimientos de la organización es una tarea que debe ser completada en el inicio del proceso. Los factores de costo son una parte del análisis en la evaluación de las alternativas de software. La reputación de un vendedor y la base instalada se vuelven importantes sólo después que se satisfacen los requerimientos.
133. La explicación MÁS probable para el uso de applets en una aplicación de Internet es que:
C. mejoran el desempeño tanto del servidor de la web como de la red.
A. se envía a través de la red desde el servidor. B. el servidor no ejecuta el programa y el output no es enviado a través de la red. C. mejoran el desempeño tanto del servidor de la web como de la red. D. es un Programa JAVA bajado por medio del buscador web y ejecutado por el servidor de la web de la máquina del cliente.
Explicación: Un applet es un Programa JAVA que es enviado a través de la red desde el servidor de la web, por medio de un buscador web, a la máquina del cliente. Luego se ejecuta el código en la máquina. Como el servidor no ejecuta el programa y el output no es enviado a través de la red, el desempeño tanto en el servidor de la web como en la red a través de la que el servidor y el cliente están conectados mejora drásticamente por medio del uso de applets. El mejoramiento del desempeño es más importante que las razones ofrecidas en las opciones A yB. Como la máquina virtual de JAVA (JVM) está integrada en la mayoría de los buscadores de la web, la carga de applet por medio del buscador web se ejecuta en la máquina del cliente desde el buscador web, no desde el servidor de la web, lo que hace a la opción D incorrecta.
134. Un auditor de SI recomienda que se programe una validación inicial a una aplicación de captación de transacción de tarjeta de crédito. El proceso de validación inicial es MÁS probable que:
B. verifique el formato del número ingresado luego lo coloque en la base de datos. Explicación: La validación inicial debería confirmar si la tarjeta es válida.
A. verifique para asegurar que el tipo de transacción es válido para el tipo de tarjeta. B. verifique el formato del número ingresado luego lo coloque en la base de datos. C. asegure que la transacción ingresada esté dentro del límite de crédito del tarjeta habiente. D. confirme que la tarjeta no aparezca como perdida o robada en el archivo maestro.
Esta validez se establece a través del número de tarjeta y del PIN entrado por el usuario. Basado en esta validación inicial, se procederán a todas las otras validaciones. Un control de validación en la captación de datos asegurará que los datos ingresados sean válidos (i.e., pueden ser procesados por el sistema). Si los datos captados en la validación inicial no son válidos (si el número de tarjeta o PIN no coincide con los de la base de datos), entonces la tarjeta será rechazada o captada por los controles establecidos. Una vez que se realiza la validación inicial, se realizarían las otras validaciones específicas de la tarjeta y del tenedor de la tarjeta.
135. ¿Cuál de las actividades siguientes debe realizar un auditor de SI para evaluar la confiabilidad de un software?
B. Contar el número de errores de pr ograma en un período determinado de tiempo de ejecución.
A. Revisar el número de intentos fallidos de conectarse (login). B. Contar el número de errores de programa en un período determinado de tiempo de ejecución. C. Medir el tiempo de respuesta de diferentes solicitudes. D. Entrevistar a los usuarios para determinar el grado al que se cumplen sus requerimientos.
Explicación: El número de errores de programa es una medida de la confiabilidad de un sistema. El número de intentos fallidos de conectarse es un problema de seguridad pero no se relaciona con la confiabilidad. El tiempo de respuesta es un indicador de eficiencia más bien que de confiabilidad. La percepción del usuario es un indicador de valor práctico, no de confiabilidad.
136. Una ventaja de usar una metodología de abajo hacia arriba frente a una de arriba hacia abajo para la prueba de software es que:
C. los errores en los módulos críticos se detectan antes.
A. los errores de interfaz se detectan antes. B. la confianza en el sistema se logra antes. C. los errores en los módulos críticos se detectan antes. D. las principales funciones y procesamientos se prueban antes.
137. Un auditor de SI que revisa una propuesta para la adquisición de un software de aplicación debe asegurarse de que: A. el sistema operativo (OS) que se está usando es compatible con la plataforma de hardware existente B. las actualizaciones planificadas del OS hayan sido programadas para minimizar impactos negativos sobre las necesidades de la compañía C. el OS tenga las versiones y actualizaciones más recientes D. los productos sean compatibles con el OS actual o previsto.
138. ¿Cuál de los siguientes debería ser incluido en un estudio de factibilidad para un proyecto para implementar un
Explicación: La metodología de abajo hacia arriba para la prueba de software comienza con la prueba de unidades atómicas, como por ejemplo programas y módulos, y trabaja hacia arriba hasta que una prueba completa de sistema se haya llevado a cabo Las ventajas de usar una metodología de abajo hacia arriba para la prueba de software es el hecho de que no hay necesidad de fragmentos o pistas y los errores en los módulos críticos se encuentran antes. Las otras opciones en esta pregunta se refieren todas a las ventajas de una metodología de arriba hacia abajo que sigue la ruta opuesta, ya sea en orden de búsqueda primero a lo profundo o primero a lo ancho. D. los productos sean compatibles con el OS actual o previsto. Explicación: Las opciones A, B y C son incorrectas porque ninguna de ellas se relaciona con el área que está siendo auditada. Al revisar la aplicación propuesta, el auditor de be asegurarse de que los productos a ser comprados sean compatibles con el OS actual o previsto. Con respecto a la opción A, si el OS se está utilizado actualmente, es compatible con la plataforma de hardware existente, porque de lo contrario, no operaría debidamente. En la opción B, las actualizaciones del OS planificadas deben ser programadas para mi nimizar los impactos negativos sobre la organización. Para la opción C, el OS instalado debería estar equipado con las versiones y las actualizaciones más recientes (con historia y estabilidad suficientes). C. Los protocolos necesarios de comunicación
proceso de EDI? A. El formato de algoritmo de encripción B. Los procedimientos detallados de control interno C. Los protocolos necesarios de comunicación D. El acuerdo propuesto de un tercero de confianza
139. ¿Quién de los siguientes es el responsable final de proporcionar las especificaciones de requerimientos al equipo del proyecto de desarrollo de software? A. Jefe de equipo B. Patrocinador del proyecto C. Analista de sistemas D. Comité de supervisión
140. Un número de fallas de sistema están ocurriendo cuando las correcciones a los errores detectados previamente son nuevamente presentados a la prueba de aceptación. ¿Esto indicaría que el equipo de mantenimiento probablemente no está desempeñándo adecuadamente cuál de los siguientes tipos de prueba? A. Prueba de unidad B. Prueba de integración C. Recorridos de diseño D. Gerencia de configuración
141. ¿Cuál de los siguientes tipos de controles está diseñado para proveer la capacidad de verificar datos y registrar valores a través de las etapas de procesamiento de aplicación?
Explicación: Los algoritmos de encripción, los acuerdos de terceros y los procedimientos de control interno son demasiado detallados para esta etapa. Ellos serían solamente descritos y cual quier costo o implicaciones de ejecución mostrados. Los protocolos de comunicaciones deben ser incluidos, ya que puede implicaciones significativas de costo si están involucrados nuevo hardware y nuevo software, y las implicaciones de riesgo si la tecnología es nueva para la organización. B. Patrocinador del proyecto Explicación: El patrocinador de proyecto es el gerente a cargo del funcionamiento del negocio, el propietario de los datos y el dueño del sistema en desarrollo. Proveer especificaciones funcionales a través de usuarios funcionales es responsabilidad del patrocinador de proyecto. Las otras opciones son incorrectas. El jefe de equipo o gerente de proyecto que trabaja con el patrocinador de pro yecto es responsable del control total del proyecto. El comité de seguimiento provee la dirección total y asegurar la representación de todas las áreas afectadas por el nuevo sistema. El comité de supervisión es responsable de monitorear el progreso total del proyecto pero no es responsable de que la función sea automatizada y, por lo tanto, no puede proveer especificaciones de requerimiento. El analista de sistemas que trabaja a partir de las especificaciones diseña el nuevo sistema de aplicación. B. Prueba de integración Explicación: Un problema común de mantenimiento de sistema es que los errores a menudo son corregidos rápidamente (en particular cuando las fechas tope son apretadas), las unidades son probadas por el programador, y luego transferidas al área de prueba de aceptación. A menudo esto tiene como consecuencia problemas de sistema que deberían haber sido detectados durante la prueba de integración o de sistema. La prueba de integración está dirigida a asegurar que los principales componentes del sistema se intercomuniquen correctamente. B. Totales de ejecución a ejecución
A. Verificación de rangos B. Totales de ejecución a ejecución C. Verificaciones de límite sobre sumas calculadas D. Reportes de excepción
Explicación: Los totales de ejecución a ejecución proveen la capacidad de verificar valores de datos a través de las etapas de procesamiento de aplicaciones. La verificación total de ejecución a ejecución asegura que los datos leídos en la computadora sean aceptados y luego aplicados al proceso de actualización.
142. La razón para establecer un alto, o punto de congelación sobre el diseño de un nuevo sistema es:
C. requerir que los cambios después de ese punto sean evaluados por su efectividad de costos.
A. impedir más cambios a un proyecto en proceso. B. iniciar el punto en que el diseño va a ser realizado. C. requerir que los cambios después de ese punto sean
Explicación: Los proyectos con frecuencia tienen una tendencia a expandirse, en especial durante la fase de definición de
evaluados por su efectividad de costos. D. proveer el equipo de administración de proyectos con más control sobre el diseño del proyecto.
requerimientos. Esta expansión con frecuencia crece hasta un punto en que los costos beneficios originalmente anticipados son disminuidos porque el c osto del proyecto ha aumentado. Cuando esto ocurre se recomienda que el proyecto sea detenido o congelado para permitir una nueva revisión de todos los costos beneficios y del período de recuperación de la inversión.
143. Un auditor de SI que revisa un proyecto, en el que la calidad es una preocupación importante, debe usar el triángulo de gerencia de proyecto para explicar que:
A. se puede lograr un aumento en la calidad, incluso si disminuyera la asignación de recursos.
A. se puede lograr un aumento en la calidad, incluso si disminuyera la asignación de recursos. B. sólo se lograría un aumento de la calidad, si aumentara la asignación de recursos. C. se puede lograr una disminución en el tiempo de entrega incluso si se reduce la asignación de recursos. D. solo se puede lograr una reducción en el tiempo de entrega si se reduce la calidad.
144. Cuando se planea agregar personal a tareas que imponen limitaciones de tiempo en la duración de un proyecto, ¿cuál de los siguientes debe revalidarse PRIMERO? A. El presupuesto del proyecto B. La vía crítica para el proyecto C. la longitud de las tareas restantes D. El personal asignado a otras tareas
145. ¿Cuál de los siguientes métodos de prueba es el MÁS efectivo durante las etapas iniciales de creación de prototipos? A. Sistema B. Paralelo C. Volumen D. De arriba hacia abajo
146. ¿Cuál de los siguientes pruebas de integridad examina la exactitud, totalidad, consistencia y autorización de datos? A. De datos B. De relación C. De dominio D. De referencia
Explicación: Las tres dimensiones primarias de un proyecto están determinadas por los entregables, los recursos asignados y el tiempo de entrega. El área del triángulo de administración de proyecto, constituido por estas tres dimensiones, es fijo. Dependiendo del grado de libertad, los cambios en una dimensión podrían compensarse cambiando o bien una o ambas dimensiones restantes. De ese modo, si se redujera la asignación de recursos se podría lograr un aumento en la calidad si se aceptara una demora en el tiempo de entrega del proyecto. El área del triángulo siempre sigue siendo constante. B. La vía crítica para el proyecto Explicación: Como agregar recursos puede cambiar la ruta de la vía crítica, la vía crítica debe ser reevaluada para asegurar que los recursos adicionales efectivamente acortarán la duración del proyecto. Dado que puede haber disponible tiempo inactivo en algunas de las tareas que no están en la vía crítica, los factores tales como el presupuesto de proyecto, la longitud de las otras tareas y el personal asignado a éstas pueden o no verse afectados. D. De arriba hacia abajo Explicación: La prueba de arriba hacia abajo comienza con las principales funciones del sistema y trabaja hacia abajo. El énfasis inicial cuando se usa la creación de prototipos es crear pantallas y reportes, dando así forma a la mayoría de las características del sistema propuesto en un corto período. L a prueba del volumen y del sistema se realiza durante las etapas finales de prueba del sistema. La prueba paralela no es imprescindible, en especial si no hay un viejos sistema con el cual comparar. A. De datos Explicación: La prueba de integridad de datos examina la exactitud, totalidad, consistencia, y autorización de los datos. L a prueba de integridad de relación detecta la modificación a los datos sensitivos mediante el uso de totales d e control. La prueba de integridad de dominio verifica de los datos se ajusten a las especificaciones. La prueba de integridad referencial asegura que los datos existan en su archivo maestro u original antes de que existan en el archivo derivado o en otro.
147. Cuando se está haciendo una auditoría de la propuesta A. que la administración haya aprobado un caso claro de adquisición de un nuevo sistema de computadoras, el auditor negocio. de sistemas debe PRIMERO establecer: Explicación: A. que la administración haya aprobado un caso claro de La primera preocupación del auditor de sistemas debe ser negocio. establecer que la propuesta satisfaga las necesidades del B. que se cumplirán las normas corporativas de seguridad. negocio, y esto debe ser establecido por un caso claro de C. que los usuarios participarán en el plan de negocio. A pesar de que es esencial que se cumplan las implementación. normas de seguridad, como lo es satisfacer las necesidades D. que el nuevo sistema satisfará la funcionalidad que todos de los usuarios y hacer que los usuarios se involucren y los usuarios requieran. participen en el proceso de implementación, es demasiado prematuro en el proceso de consecución para que estas sean las preocupaciones primarias del auditor de sistemas. 148. ¿Cuál de los siguientes sería un riesgo específicamente A. Falta de documentación asociado con el proceso de desarrollo ágil? Explicación: A. Falta de documentación El desarrollo ágil se basa en los conocimientos que tienen B. Falta de comprobación las personas dentro de la organización, en oposición a los C. Definición insuficiente de los requerimientos conocimientos externos. El problema principal es la D. Prácticas deficientes de administración de proyecto necesidad de proveer controles compensatorios para asegurar que posteriormente se puedan cambios y ampliaciones al sistema, incluso si el personal clave que conoce la lógica de negocio implementada se fuera de la compañía. La falta de comprobación podría ser un problema pero sin documentación formal es difícil para un auditor recopilar evidencia objetiva. La respuesta rápida a los requerimientos de cambio es una fortaleza de los procesos de desarrollo ágil. Replanear el proyecto al final de cada iteración, incluyendo requerimientos de reordenación por orden de prioridad, identificar cualquier nuevo requerimiento y determinar sobre qué funcionalidad entregada de versión se va a implementar, es un aspecto principal del proceso ágil. Las prácticas aplicadas de administración /gestión de proyecto son levemente diferentes de las requeridas para los métodos tradicionales de desarrollo de software. La función del gerente de proyecto. Este rol va desde uno primariamente preocupado por la planeación del proyecto, asignar tareas y monitorear el avance, hasta el de un facilitador y defensor. La responsabilidad de la planeación y el control pasa a los miembros del equipo. 149. Una organización tiene un entorno integrado de desarrollo (IDE), donde las bibliotecas de programa residen en el servidor, pero la modificación /desarrollo y prueba se hacen desde estaciones de trabajo de PCs. ¿Cuál de los siguientes sería una fortaleza de un ent orno integrado de desarrollo?
B. Expande los recursos de programación y a yudas disponibles Explicación: Una fortaleza de un entorno integrado de desarrollo es que éste expande los recursos y ayudas de programación disponibles. Las otras opciones son debilidades de IDE.
A. Controla la proliferación de múltiples versiones de programas B. Expande los recursos de programación y ayudas disponibles C. Aumenta el programa y la integridad de procesamiento D. Previene los cambios válidos de ser sobre-escritos por otros cambios 150. Cuando se transmite una instrucción de pago, ¿ cuál de los siguientes ayudará a verificar que la instrucción no fue duplicada?
D. Un número de secuencia y un sello de tiempo Explicación:
A. El uso de un algoritmo criptográfico de hashing B. Cifrar el digesto de mensaje C. Descifrar el digesto de mensaje D. Un número de secuencia y un sello de tiempo
151. La responsabilidad y las líneas de reporte no pueden siempre ser establecidas cuando se auditan sistemas automatizados ya que:
Cuando se transmiten datos, un número de secuencia y/o sello de tiempo integrado en el mensaje para hacerlo único puede ser verificado por el destinatario para asegurar que el mensaje no fue interceptado y reproducido. Esto se conoce como protección de replay y podría ser usado para verificar que una instrucción de pago no fue duplicada. El uso de un algoritmo criptográfico de hashing comparado con todo el mensaje ayuda a lograr la integridad de los datos. Cifrar el digesto de mensaje usando la llave privada del remitente, que firma la firma digital del remitente en el documento ayuda a autenticar la transacción. Cuando el m ensaje es descifrado por el destinatario, usando la llave pública del remitente, esto asegura que el mensaje sólo podría h aber venido del remitente. Este proceso de autenticación del remitente logra no repudio. C. la propiedad es difícil de establecer cuando los recursos son compartidos.
Explicación: A. el control diversificado hace irrelevante a la propiedad. A causa de la naturaleza diversificada tanto de datos como B. el personal tradicionalmente cambia de puestos d e trabajo de sistemas de aplicación, puede ser difícil establecer el con mayor frecuencia. verdadero propietario de los datos y de las aplicaciones. C. la propiedad es difícil de establecer cuando los recursos son compartidos. D. las funciones cambian con frecuencia en el rápido desarrollo de la tecnología. 152. Muchos Proyectos de TI experimentan problemas porque el tiempo de desarrollo y/o los requerimientos de recursos son subestimados. ¿Cuál de las siguientes técnicas proveería la MAYOR asistencia para desarrollar una duración estimada de proyecto? A. Análisis de punto de función B. Diagrama de PERT C. Desarrollo de aplicación rápida D. Desarrollo de sistema orientado a objeto
153. Una institución financiera está usando un sistema experto para administrar / gestionar límites de crédito. Un auditor de SI que revisa el sistema debería estar MAS preocupado con: A. la validación de las entradas de datos al sistema B. el nivel de experiencia y de capacidades contenidas en la base de conocimientos C. Los criterios (settings) de control de acceso D. Controles de procesamiento implementados 154. Cuando un nuevo sistema va a ser implementado dentro de un corto marco de tiempo, es MÁS importante:
B. Diagrama de PERT Explicación: El análisis de punto de función es una técnica para determinar el tamaño de una tarea de desarrollo basada en el número de puntos de función. Los puntos de función son factores tales como inputs, outputs, preguntas, archivo interno lógico, etc. Aunque esto ayudará a determinar el tamaño de las actividades individuales, no será de ayuda para determinar la duración del proyecto ya que hay muchas tareas que se superponen. Un diagrama de PERT ayudará a determinar la duración del proyecto una vez que se conozcan todas las actividades y el trabajo involucrado en las actividades. El desarrollo de aplicación rápida es una metodología que permite a las organizaciones desarrollar estratégicamente sistemas importantes más rápido al tiempo que reducen los costos de desarrollo y mantienen la calidad, y el desarrollo de sistemas orientados a objeto es el proceso de especificación y diseño de soluciones. B. el nivel de experiencia y de capacidades contenidas en la base de conocimientos Explicación: El nivel de experiencia o de inteligencia en la base de conocimientos es una preocupación clave para el auditor de SI ya que los errores de decisión, basado en una falta de conocimientos, podrían tener un impacto severo sobre la organización. Las opciones A, C y D no son tan importantes como B. B. realizar una prueba de aceptación de usuario.
A. terminar de escribir los manuales de usuario. B. realizar una prueba de aceptación de usuario. C. agregar aumentos de último minuto a las funcionalidades. D. asegurar que el código ha sido documentado y revisado.
155. Los precios se cargan sobre la base de una tarifa estándar de archivo maestro que cambia a m edida que aumenta el volumen. Cualesquiera excepciones deben ser aprobadas manualmente. ¿Cuál es el control automatizado MÁS efectivo para ayudar a asegurar que todas las excepciones de precios sean aprobadas? A. Todas las sumas son mostradas de regreso al empleado de ingreso de datos, quien debe verificarlos visualmente. B. Los precios fuera del rango normal deberían ser ingresados dos veces para verificar la corrección de los datos ingresados. C. El sistema pita cuando se ingresas excepciones de precios e imprime dichos incidentes en un reporte. D. Una contraseña de segundo nivel debe ingresarse antes de que se pueda procesar una excepción de precio.
Explicación: Sería más importante completar la prueba de aceptación de usuario para asegurar que el sistema, que va a ser implementado esté trabajando correctamente. La terminación de los manuales de usuario es similar al desempeño de las revisiones de código. Si el tiempo es corto, la última cosa que uno querría hacer es agregar otra ampliación. Sería necesario congelar el código y completar la prueba, luego hacer cualesquiera otros cambios como futuras ampliaciones. Sería apropiado hacer documentar y revisar el código, pero a menos que la prueba de aceptación se haya completado, no hay garantía de que el sistema trabajará correctamente y satisfará los requerimientos de usuario. D. Una contraseña de segundo nivel debe ingresarse antes de que se pueda procesar una excepción de precio. Explicación: El control automatizado debería asegurar que el sistem a procese las excepciones de precio sólo previa aprobación de otro usuario que esté autorizado a aprobar d ichas excepciones. Una contraseña de segundo nivel aseguraría que las excepciones de precios fueran aprobadas por un usuario que haya sido autorizado por la gerencia. La verificación visual de todas las sumas por un empleado de ingreso de datos no es un control, sino un requerimiento básico para cualquier ingreso de datos. Que el usuario pueda verificar visualmente lo que ha entrado es un control manual básico. Ingresar dos veces las excepciones de precios, es un control de input. Esto no asegura que las excepciones serán verificadas automáticamente por otro usuario. El hecho que el sistema pite al ingresarse una excepción de precios sólo es una advertencia al empleado de ingreso de datos; no impide que se siga procesando. Imprimir estas excepciones en un reporte es un control (manual) de detección.
156. La edición/validación de datos entrados/capturados en un sitio remoto sería realizada MÁS efectivamente en el:
D. sitio remoto de procesamiento antes de transmitir los datos al sitio central de procesamiento.
A. sitio central de procesamiento después de ejecutar el sistema de aplicación. B. sitio central de procesamiento durante la ejecuc ión del sistema de aplicación. C. sitio remoto de procesamiento después de la transmisión de los datos al sitio central de procesamiento. D. sitio remoto de procesamiento antes de transmitir los datos al sitio central de procesamiento.
Explicación: Es importante que los datos entrados desde un s itio remoto sean editados y validados antes de ser transmitidos al sitio central de procesamiento.
157. ¿Cuál de los siguientes niveles de modelo de madurez de capacidad asegura el logro de los controles básicos de administración de proyectos?
A. Repetible (Nivel 2)
A. Repetible (Nivel 2) B. Definido (Nivel 3) C. Administrado (Nivel 4) D. Optimizado (Nivel 5)
Explicación: El nivel 2 tiene las características de los controles básicos de administración de proyectos. El nivel 3 asegura un proyecto documentado, el nivel 4 asegura metas cuantitativas de calidad, y el nivel 5 asegura un mejoramiento continuado del proceso.
158. Cuando se revisa un proyecto de desarrollo de sistema en la etapa de iniciación del proyecto, un auditor de SI
D. reportaría los riesgos asociados con la vía acelerada (fast tracking) al comité de dirección del proyecto.
encuentra que el equipo del proyecto está siguiendo el manual de calidad de la organización. Para cumplir las fechas tope críticas, el equipo del proyecto propone ac elerar los procesos de validación y de verificación, comenzando algunos elementos antes de que se firme el producto disponible previo. Bajo estas circunstancias, el auditor de SI MÁS probablemente: A. reportaría esto como un hallazgo crítico a la alta gerencia. B. aceptaría que se pueden diferentes procesos de calidad para cada proyecto. C. reportaría a la gerencia de SI que el equipo no siguió los procedimientos de calidad. D. reportaría los riesgos asociados con la vía acelerada (fast tracking) al comité de dirección del proyecto. 159. La preocupación PRIMARIA de un auditor de SI cuando los desarrolladores de aplicaciones desean usar una copia del archivo de transacciones de producción de ayer para las pruebas de volumen es que: A. es posible que los usuarios prefieran usar datos inventados para prueba. B. puede tener como consecuencia el acceso no autorizado a datos sensitivos. C. es posible que el manejo de errores y las verificaciones de credibilidad no sean probados plenamente. D. necesariamente no se prueba la total funcionalidad del nuevo proceso. 160. Las revisiones por instituciones pares para detectar los errores de software durante una actividad de desarrollo de programa se denominan:
Explicación: Es importante que los procesos de calidad sea apropiados a los proyectos individuales Los intentos de apl icar procesos inapropiados se encontrarán a menudo abandonados bajo presión. Un proceso de fast-tracking es una opción aceptable bajo ciertas circunstancias. Sin embargo, es im portante que el comité de dirección del proyecto sea informado sobre los riesgos asociados con esto (i.e., posibilidad de reel aboración si se requieren cambios).
B. puede tener como consecuencia el acceso no autorizado a datos sensitivos. Explicación: A menos que los datos estén saneados, existe el riesgo de revelar datos sensitivos.
B. recorridos (walk-throughs) estructurados.
A. técnicas de emulación. B. recorridos (walk-throughs) estructurados. C. técnicas modulares de programa. D. construcción de programas de arriba hacia abajo.
Explicación: Un recorrido estructurado es una herramienta de gerencia para mejorar la productividad. Los recorridos estructurados pueden detectar una interpretación incorrecta o impropia de las especificaciones del programa. Esto, a su vez, m ejora la calidad de prueba y aceptación de éste por el sistema. Las otras opciones son métodos o herramientas en el proceso general de desarrollo de sistemas.
161. El fin primario de una prueba de sistema es:
C. evaluar la funcionalidad del sistema.
A. probar la generación de los totales diseñados de control. B. determinar si la documentación del s istema es exacta. C. evaluar la funcionalidad del sistema. D. asegurar que los operadores del sistema se familiaricen con el nuevo sistema.
Explicación: La razón primaria por la que un sistema es probado es evaluar la funcionalidad de todo el sistema. Las otras opciones son incorrectas.
162. Usar datos de prueba como parte de una prueba comprensiva de controles de programa en una forma continuada en línea se denomina:
B. evaluación de sistema de caso base.
A. datos /cubierta de prueba. B. evaluación de sistema de caso base. C. instalación integrada de prueba (ITF). D. simulacro paralelo.
Explicación: La evaluación de sistema de caso base usa conjuntos de datos de prueba desarrollados como parte de programas comprensivos de prueba. Se usa para verificar operaciones correctas de sistema antes de aceptación, así como también validación periódica. Los datos /cubierta de prueba simula transacciones a través de programas reales. Un ITF crea archivos ficticios en la base de datos con transacciones de prueba procesadas simultáneamente con input vivo. El simulacro paralelo es la producción de datos procesados
usando programas de computadora que simulan lógica de programa de aplicación. 163. ¿Cuál de los siguientes describe MEJOR los objetivos de seguir una metodología estándar de desarrollo de sistema?
B. Proveer un método de controlar los costos y cronogramas y asegurar la comunicación entre los usuarios, los auditores de SI, la gerencia y el personal de SI
A. Asegurar que el contrato de personal apropiado sea asignado y proveer un método de controlar c ostos y cronogramas B. Proveer un método de controlar los costos y cronogramas y asegurar la comunicación entre los usuarios, los auditores de SI, la gerencia y el personal de SI C. Proveer un método de controlar los costos y los cronogramas y un medio efectivo de auditar el desarrollo de proyectos D. Para asegurar la comunicación entre usuarios, los auditores, la gerencia y el personal de SI y para asegurar que se asigne el personal apropiado
Explicación: Una metodología bien definida de desarrollo de sistema facilitará la gerencia efectiva del proyecto ya q ue los costos y cronogramas serán monitoreados consistentemente. También, las metodologías de diseño requieren diversas aprobaciones y firmas de diferentes grupos funcionales. Esto facilita las comunicaciones adecuadas entre estos grupos.
164. Idealmente, las pruebas de stress sólo deberían llevarse a cabo en los casos siguientes:
C. En un entorno de prueba usando cargas de trabajo en vivo
A. En un entorno de prueba usando datos de prueba B. En un entorno de producción usando cargas de trabajo en vivo C. En un entorno de prueba usando cargas de trabajo en vivo D. En un entorno de producción usando datos de prueba
Explicación: La prueba de stress se lleva a cabo para asegurar que un sistema pueda soportar las cargas de trabajo de producción, pero como puede ser probado hasta la destrucción, siempre se debe usar un entorno de prueba para evitar dañar el entorno de producción. Es por ello que la prueba nunca debe llevarse a cabo en un entorno de producción (B y D) y si sólo se usan datos de prueba, no hay seguridad de que el sistema fue probado adecuadamente para el stress.
165. Una aplicación de procesamiento de transacción propuesta tendrá muchas fuentes de captación de datos y outputs tanto en papel como en forma electrónica. Para asegurar que las transacciones no se pierdan d urante el procesamiento, el auditor de SI debería recomendar la inclusión de:
D. balanceo automatizado de sistemas.
A. controles de validación. B. verificaciones de credibilidad interna. C. procedimientos control de oficina. D. balanceo automatizado de sistemas.
166. Un auditor de SI que realiza una revisión de las operaciones de EFT de una compañía minorista verificaría que el límite de crédito de los clientes sea verificado antes que los fondos sean transferidos mediante la revisión del EFT: A. del interfaz del sistema. B. la instalación de conmutador. C. procedimiento de generación de número de identificación personal. D. procedimientos de operación de respaldo. 167. El MAYOR beneficio de implementar un sistema
Explicación: El balanceo automatizado del sistema sería la mejor forma de asegurar que no se pierda ninguna transacción ya que cualquier desbalance entre el total de inputs y el total de outputs se reportaría para investigación y corrección. Los controles de validación y certificaciones de credibilidad interna son ciertamente controles válidos, pero no detectarán y reportarán las transacciones perdidas. Además, a pesar de que se podría usar un procedimiento de oficina para sumar y comparar inputs y outputs, un proceso automatizado es menos susceptible de error. A. del interfaz del sistema. Explicación: En el procesamiento de nivel de aplicación, el auditor de SI debería revisar el interfaz entre el sistema de EFT sistema y el sistema de aplicación que procesa las cuentas desde las que se transfieren fondos. La opción B es incorrecta porque un conmutador de EFT es la instalación que provee el enlace de comunicación para todos los equipos de la red. Las opciones C y D son procedimientos que no ayudarían a determinar si el límite de crédito del cl iente es verificado antes que los fondos sean transferidos. A. captar los conocimientos y la experiencia de las personas
experto es:
dentro de una organización
A. captar los conocimientos y la experiencia de las personas dentro de una organización B. compartir un conocimiento en un repositorio central C. el aumento de la productividad y el desempeño del personal D. la reducción de la rotación de los empleados en los departamentos clave.
Explicación: La base para un sistema experto es l a captación y registro de los conocimientos y de la experiencia de las personas dentro de una organización. La codificación y la introducción de conocimientos en un repositorio central, que se pueda compartir dentro de la empresa, es un medio de facilitar el sistema experto. Aumentar la productividad y el desempeño del personal es un beneficio; sin embargo, no es tan importante como captar los conocimientos y la experiencia. La rotación de empleados no está necesariamente afectado por un sistema experto.
168. ¿Cuál de lo siguiente es MÁS crítico cuando se crean datos para probar la lógica de un sistema de aplicación nuevo o modificado?
B. Datos que representan condiciones que se esperan en un procesamiento real
A. Una cantidad suficiente de datos para cada caso de prueba B. Datos que representan condiciones que se esperan en un procesamiento real C. Terminar la prueba en el tiempo programado D. Una muestra al azar de datos reales
169. Durante la auditoría de un paquete de software adquirido, el auditor de SI se enteró de que la compra del software se basó en información obtenida a través de la Internet, en lugar de basarse en respuestas a una solicitud de propuesta (RFP). El auditor de SI debe PRIMERO: A. probar el software para ver su compatibilidad con el hardware existente. B. realizar un análisis de brecha (gap analysis.) C. revisar la política de concesión. D. asegurarse de que el procedimiento había sido aprobado. 170. Funcionalidad es una característica asociada con evaluar la calidad de los productos de software durante todo su ciclo de vida, y se describe MEJOR como el conjunto de atributos que recaen sobre: A. existencia de un conjunto de funciones y sus propiedades especificadas. B. capacidad del software de ser transferido de un ambiente a otro. C. capacidad del software de mantener su nivel de desempeño bajo condiciones establecidas. D. relación entre el desempeño del software y la cantidad de recursos usados.
Explicación: Seleccionar el tipo correcto de datos es cl ave para probar un sistema de computación. Los datos no solo deben incluir datos válidos e inválidos sino que deben ser representativos del procesamiento real. La calidad es m ás importante que la cantidad. Es más importante tener datos adecuados de prueba que realizar la prueba en el tiempo programado. Es improbable que una muestra al azar de datos reales cubra todas las condiciones de prueba y provea una representación razonable de datos reales. D. asegurarse de que el procedimiento había sido aprobado. Explicación: En el caso de una desviación de los procedimientos predefinidos, el auditor de SI debe primero asegurarse de que el procedimiento seguido para adquirir el software es consistente con los objetivos del negocio y ha sido aprobado por las autoridades apropiadas. Las otras opciones no son las primeras acciones que el auditor d e SI debería emprender. Ellas son pasos que pueden o no ser dados después de determinar que el procedimiento usado pa ra adquirir el software había sido aprobado. A. existencia de un conjunto de funciones y sus propiedades especificadas. Explicación: Funcionalidad es el conjunto de atributos que recae sobre la existencia de un conjunto de funciones y sus propiedades específicas. Las funciones son las que satisfacen las necesidades establecidas o implícitas. La opción B se refiere la portabilidad, la opción C se refiere a confiabilidad y la opción D se refiere a eficiencia.
171. ¿Cuál de los siguientes es MÁS efectivo para controlar el mantenimiento de aplicaciones?
C. Obtener la aprobación del usuario de los cambios de programa
A. Informar a los usuarios sobre la situación de los cambios B. Establecer prioridades en los cambios de programa C. Obtener la aprobación del usuario de los cambios de
Explicación: Las aprobaciones de los usuarios de los cambios a los programas asegurará que los cambios sean correctos como