Prueba de evaluación

1. ¿Cuáles son las calificaciones del comandante del incidente al responder a una crisis?
A. Miembro de la dirección
B. Primera respuesta
C. Gerente de crisis capacitado.
D. primera persona en escena

1. D. La primera persona en la escena es el comandante del incidente, independientemente de su

rango o posición. El comandante del incidente puede ser relevado por una persona con más
experiencia o menos experiencia.
–----------------------------------------------------------------------------------------------------------------------

2. ¿Cuál de las siguientes sería una preocupación que el auditor debería explicar en el informe de
auditoría junto con sus hallazgos?
A. Lista detallada de objetivos de auditoría
B. La necesidad por parte del auditor actual de comunicarse con el auditor anterior.
C. Restricciones indebidas impuestas por la administración al uso de evidencia o
procedimientos de auditoría
D. Comunicar los resultados directamente al presidente del comité de auditoría.

2. C. Las restricciones indebidas en el alcance serían una preocupación importante, como lo sería
la falta de tiempo o la incapacidad para obtener evidencia confiable suficiente.
–--------------------------------------------------------------------------------------------------------------------

3. ¿Cuáles son los diferentes tipos de auditorías?

A. Forense, contabilidad, verificación, reglamentación.
B. Financiero, de cumplimiento, administrativo, SAS-74.
C. Sistema de información, SAS-70, reglamentario, procesal.
D. Integrado, cumplimiento, operacional, administrativo.

3. D. Todos los tipos de auditoría son válidos, excepto de procedimiento, SAS-74, verificación y
normativa (que son todos los distractores). Los tipos de auditoría válidos son financieros,
operativos (SAS-70), integrados. (SAS-94), sistemas de cumplimiento, administrativos, forenses e
información. Se utiliza una auditoria forense.
Nosotros vimos: financiera, la de SI, operacional, compliance, investigativa
---------------------------------------------------------------------------------------------------------------------

4. ¿Qué indicadores se utilizan para identificar el nivel anticipado de recuperación y pérdida en un

punto determinado a tiempo?
A. RTO y SDO
B. RPO y ITO
C. RPO y RTO
D. SDO y IRO

4. C. El objetivo del punto de recuperación (RPO) indica la posición alternativa y la duración de la

pérdida que ha ocurrido Un ejemplo válido de RPO es recuperar utilizando datos de copia de
seguridad de la noche anterior, cinta de copia de seguridad, lo que significa que las transacciones
más recientes se perderían. El tiempo de recuperacion objetivo (RTO) indica un punto en el tiempo
en que los datos restaurados deben estar disponibles para el usuario acceder.
-----------------------------------------------------------------------------------------------------------------------
5. ¿Cuál es el principal problema relacionado con el uso del software CAAT?
A. La capacidad del proveedor de software.
B. La evidencia documental es más efectiva.
C. Incapacidad de las herramientas automatizadas para considerar las características humanas del
medio ambiente.
D. Posible costo, complejidad y seguridad de salida.

5. D. Las herramientas de auditoría asistidas por computadora pueden realizar tareas técnicas
detalladas más rápido que los humanos y producen datos más precisos durante funciones
particulares como el escaneo del sistema. El costo, la capacitación y la seguridad de la producción
son consideraciones importantes.
--------------------------------------------------------------------------------------------------------------------

6. ¿Cuál no es un propósito del análisis de riesgo?

A. Apoya las decisiones de auditoría basadas en el riesgo
B. Ayuda al auditor a determinar los objetivos de la auditoría.
C. Garantiza la seguridad absoluta durante la auditoría.
D. Ayuda al auditor a identificar riesgos y amenazas

6. C. El análisis de riesgo no garantiza la seguridad absoluta. El propósito de usar una estrategia

de auditoría basada en el riesgo es asegurar que la auditoría agregue valor con información
significativa.
---------------------------------------------------------------------------------------------------------------------

7. ¿Cuál de las siguientes respuestas contiene los pasos para la reingeniería de procesos de negocios
(BPR) en secuencia apropiada?
A. Diagnosticar, visualizar, rediseñar, reconstruir.
B. Visualizar, iniciar, diagnosticar, rediseñar, reconstruir, evaluar.
C. Evaluar, visualizar, rediseñar, reconstruir, revisar
D. Iniciar, evaluar, diagnosticar, reconstruir, revisar.

7. B. De acuerdo con ISACA, los pasos generales en la reingeniería de procesos de negocios son la
necesidad, iniciar el proyecto, diagnosticar el proceso existente, rediseñar un proceso, usar la
gestión de cambios para reconstruir la organización en transición y evaluar los resultados.
-------------------------------------------------------------------------------------------------------------------

8. ¿Cuál de las siguientes funciones debe separarse de las demás si no se puede lograr la separación
de tareas en un sistema automatizado?
A. Originación
B. Autorización
C. Correccion
D. Reprocesamiento

8. B. La autorización debe estar separada de todas las demás actividades. Una segunda persona
debe revisar los cambios antes de la implementación. Se otorgará la autorización si el cambio se
justifica y el nivel de riesgo es aceptable.
9. ¿En qué capa del modelo OSI funciona una puerta de enlace?
A. Capa 6
B. Capa 3
C. Capa 7
D. Capa 5

9. C. Según ISACA, la puerta de enlace opera en la capa de aplicación 7 en el modelo OSI. La

función de la puerta de enlace es convertir los datos contenidos en un protocolo en datos utilizados
por un protocolo diferente. Un ejemplo es una puerta de enlace de PC a mainframe que convierte
ASCII a código de intercambio decimal codificado en binario extendido de mainframe (EBCDIC).
-----------------------------------------------------------------------------------------------------------------------

10. ¿Cuál es el propósito del comité de auditoría?

A. Proporcionar la coordinación diaria de todas las actividades de auditoría.
B. Desafiar y revisar las garantías.
C. Gobernar, controlar y gestionar la organización.
D. Asistir a los gerentes con capacitación en habilidades de auditoría.

10. B. El propósito del comité de auditoría es revisar y cuestionar las garantías hechas y mantener
una relación de trabajo positiva con la administración y los auditores.
----------------------------------------------------------------------------------------------------------------------

11. ¿Con qué se compara la tercera capa del modelo OSI en el modelo TCP / IP?
A. red
B. internet
C. Enlace de datos
D. transporte

11. B. La tercera capa del modelo OSI es la capa de red.

-------------------------------------------------------------------------------------------------------------------

12. ¿Cuáles son tres de las cuatro perspectivas clave en el cuadro de mando integral de TI?
A. Justificación de negocios, acuerdos de nivel de servicio, presupuesto
B. Dotación de personal organizacional, reducción de costos, capacitación de empleados.
C. Reducción de costes, procesos de negocio, crecimiento.
D. Nivel de servicio, factores críticos de éxito, selección de proveedores

12. C. Las cuatro perspectivas en el cuadro de mando integral de TI son la perspectiva del cliente,
la perspectiva del proceso de negocio, la perspectiva financiera y la perspectiva de crecimiento.
Cada uno de estos busca definir el mayor rendimiento por TI.
--------------------------------------------------------------------------------------------------------------------

13. ¿Cuál de las siguientes afirmaciones es verdadera con respecto a la criptografía de clave
asimétrica?
A. El remitente cifra los archivos utilizando la clave privada del destinatario.
B. El remitente y el receptor usan la misma clave.
C. El remitente y el receptor tienen diferentes claves.
D. Las claves asimétricas no se pueden usar para firmas digitales.
13. C. El remitente y el destinatario tienen cada uno su propio par de claves pública y privada
(secreta).
------------------------------------------------------------------------------------------------------------------------
14. ¿Cómo debe actuar la administración para enfrentar mejor los cambios de emergencia?
A. Los cambios de emergencia no se pueden hacer sin una prueba previa.
B. Todos los cambios aún deben ser revisados.
C. El proceso de control de cambios no se aplica a las condiciones de emergencia.
D. Los cambios de emergencia no están permitidos bajo ninguna condición.

14. B. Todos los cambios de emergencia aún deben someterse al proceso formal de gestión de
cambios después de el hecho. La revisión determina si el cambio debe mantenerse o modificarse.
----------------------------------------------------------------------------------------------------------------------

15. ¿Cuál es una de las mayores preocupaciones con respecto a la disposición de activos?
A. Valor del activo residual
B. Empleados que toman propiedades desechadas a casa.
C. datos de pie
D. regulaciones ambientales

15. C. Cualquier dato permanente debe ser eliminado del equipo antes de su eliminación.
------------------------------------------------------------------------------------------------------------------------

16. ¿Cuál de los siguientes es el tema más importante a considerar con respecto a la cobertura de
seguro?
A. El salvamento, en lugar del reemplazo.
B. Las primas pueden ser muy caras.
C. La cobertura debe incluir todos los activos del negocio.
D. El seguro puede pagar todos los costos de recuperación.

16. A. La compañía de seguros puede dictar salvamento para ahorrar dinero. El salvamento
aumentará el retraso antes de la recuperación.
------------------------------------------------------------------------------------------------------------------------
17. ¿Cuál de los siguientes es necesario para proteger la red interna cuando un punto de acceso
inalámbrico está en uso?
A. Encriptación inalámbrica
B. Protección equivalente por cable
C. protocolo de aplicación inalámbrica
D. Cortafuegos de red

17. D. La red inalámbrica puede estar usando un protocolo equivalente cableado (WEP); sin
embargo, aún se requiere un firewall para proteger la red interna.
-----------------------------------------------------------------------------------------------------------------------

18. Las firmas digitales están diseñadas para brindar protección adicional a los mensajes
electrónicos a fin de determinar cuál de los siguientes?
A. Eliminación de mensaje
B. Verificación del remitente del mensaje
C. modificación del mensaje
D. Mensaje leído por parte no autorizada

18. B. Las firmas digitales proporcionan una garantía de autenticación del remitente del correo
electrónico. Las firmas digitales utilizan la clave privada del remitente para verificar la identidad.
19. ¿Cuál es el propósito principal de las vistas de base de datos?
A. Restringir la visualización de datos seleccionados
B. Proporcionar un método para generar informes.
C. Permitir al usuario acceder a la base de datos.
D. Permitir el acceso del administrador del sistema para mantener la base de datos

19. A. Las vistas de la base de datos se utilizan para implementar los privilegios mínimos y
restringir los datos que pueden ser vistos por el usuario.
---------------------------------------------------------------------------------------------------------------------

20. ¿Cuál de las siguientes opciones indica por qué los planificadores de continuidad pueden crear
planes sin un análisis de impacto empresarial (BIA)?
A. La gerencia ya dictó todos los procesos clave que se utilizarán.
B. No es posible: los procesos críticos cambian constantemente.
C. No se requiere análisis de impacto en el negocio.
D. La evaluación de riesgos es aceptable.

20. B. No es posible crear planes de continuidad de negocios sin un Análisis de Impacto de

Negocios (BIA) actual. El BIA identifica los procesos críticos y sus dependencias. Los procesos
críticos cambiarán a medida que el negocio cambie con nuevos productos y clientes.
-----------------------------------------------------------------------------------------------------------------------

21. La segregación de funciones puede no ser práctica en un entorno pequeño. Un solo empleado
puede realizar las funciones combinadas de operador de servidor y programador de aplicaciones. El
auditor de SI debería recomendar controles para cuál de los siguientes?
A. Registro automatizado de cambios realizados en bibliotecas de desarrollo.
B. Procedimientos que verifican que solo se implementan los cambios de programa
aprobados.
C. Controles automatizados para evitar que el ID de inicio de sesión del operador realice
modificaciones en el programa
D. Contratación de personal técnico adicional para forzar la segregación de funciones.

21. B. Los procedimientos deben implementarse para garantizar que solo se implementen los
cambios de programa aprobados. El propósito de la separación de deberes es prevenir errores
intencionales o no intencionales. Puede existir una separación lógica de funciones si una sola
persona realiza dos funciones de trabajo. El objetivo final es garantizar que una segunda persona
haya revisado y aprobado un cambio antes de implementarlo.
------------------------------------------------------------------------------------------------------------------------

22. El auditor puede desviarse de las normas de auditoría profesional cuando considere que es
necesario debido a cuál de los siguientes?
A. Las normas están diseñadas para uso discrecional.
B. Las características únicas de cada cliente requerirán la flexibilidad del auditor.
C. La desviación de los estándares es casi desconocida y requeriría una justificación
significativa.
D. La desviación depende de la autoridad otorgada en el estatuto de auditoría.

22. C. Las normas son obligatorias, y cualquier desviación requeriría una justificación. Las
excepciones son raramente aceptadas.
-----------------------------------------------------------------------------------------------------------------------
23. ¿Qué significa el principio de independencia del auditor?
A. No es un problema para los auditores que trabajan para una empresa consultora.
B. Se requiere que una auditoría externa evite sesgos.
C. Un auditor interno debe someterse a una formación de certificación para ser independiente.
D. El comité de auditoría otorgaría independencia al auditor.

23. B. El auditor debe ser independiente de las relaciones personales y organizativas con el
auditado, lo que podría implicar una opinión sesgada. El auditor no está autorizado a auditar un
sistema para el que participó en el soporte, la configuración o el diseño. Un auditor no puede
auditar ningún sistema que haya ayudado a remediar.
---------------------------------------------------------------------------------------------------------------------

24. ¿Cuáles son las cinco fases de la planificación de la continuidad del negocio según ISACA, para
uso en el Examen CISA? (Seleccione la respuesta que muestra las fases correctas y el orden.)
A. Analizar el impacto en el negocio, desarrollar la estrategia, desarrollar el plan,
implementar, probar el plan
B. Analizar el impacto en el negocio, desarrollar una estrategia, desarrollar un plan, probar un plan,
implementar
C. Analizar el impacto en el negocio, desarrollar un plan, implementar, probar un plan, escribir el
plan
D. Analizar el impacto en el negocio, escribir el plan, probar la estrategia, desarrollar el plan,
implementar

24. A. Note que analizar el impacto en el negocio es siempre el primer paso. Luego se seleccionan
criterios para guiar la selección de la estrategia. Un plan detallado se escribe utilizando la
estrategia. Luego se implementa el plan escrito. Después de la implementación, el plan y el
personal son probados para su efectividad. Se revisa el plan y luego comienza el ciclo de pruebas y
mantenimiento.
--------------------------------------------------------------------------------------------------------------------

25. Mediante el cifrado de la infraestructura de clave pública (PKI), ¿qué clave utiliza el remitente
para la autenticación de la parte receptora?
A. Clave privada del remitente
B. Clave privada del destinatario
C. Clave pública del remitente.
D. Clave pública del destinatario.

25. D. El remitente utiliza la clave pública del destinatario para cifrar un archivo que solo el
destinatario puede leer (descifrar). La clave privada del remitente proporciona autenticidad. La
clave pública del remitente proporciona integridad. El papel de las claves se basa en la dirección
de la transacción. Las funciones se invierten cuando el destinatario original responde con otro
mensaje, asumiendo así la función del remitente.
----------------------------------------------------------------------------------------------------------------------

26. ¿Cuál de las siguientes herramientas de auditoría incorpora transacciones ficticias en el

procesamiento normal de un sistema?
A. Instalación de prueba integrada (ITF)
B. instantánea
C. Programa de ganchos de auditoria.
D. Simulación continua e intermitente (CIS)
26. A. El auditor puede usar un módulo de auditoría incorporado, también conocido como
facilidad de prueba integrada, para crear un conjunto de transacciones ficticias que se procesarán
junto con transacciones genuinas. El auditor compara los datos de salida con sus propios cálculos.
Esto permite realizar pruebas sustanciales sin interrumpir el programa de procesamiento normal.
---------------------------------------------------------------------------------------------------------------------

27. ¿Qué método de muestreo se usa cuando la probabilidad de encontrar evidencia es baja?
A. descubrimiento
B. celular
C. Aleatorio
D. para y ve

27. A. El muestreo por descubrimiento se conoce como muestra del 100 por ciento. Se investigan
todas las fuentes disponibles para encontrar cualquier evidencia que pueda existir. El muestreo por
descubrimiento se usa comúnmente en investigaciones criminales. También es la mejor manera de
encontrar posibles correlaciones cuando no se puede explicar un evento.

28. ¿Cuál de los siguientes representaría la mayor preocupación para un auditor que investiga los
roles y responsabilidades del personal de TI?
A. Un miembro de TI está revisando los requisitos actuales de carga de trabajo del servidor y
pronostica las necesidades futuras.
B. Un miembro de TI supervisa el rendimiento del sistema, realiza los cambios necesarios en
el programa y realiza un seguimiento de cualquier problema resultante.
C. Un miembro de TI prueba y evalúa la efectividad de los procedimientos actuales y recomienda
mejoras específicas.
D. Un miembro de TI trabaja directamente con el usuario para mejorar los tiempos de respuesta y el
rendimiento en toda la red.

28. B. La separación de funciones tiene la intención de evitar que una persona supervise su propio
trabajo o autorice sus propios cambios. El autocontrol y la auto-autorización serían un problema
que justifica serias preocupaciones porque viola la intención del gobierno de TI. El auditor querría
investigar si los cambios fueron revisados formalmente y aprobados por la junta de control de
cambios antes de la implementación.
-----------------------------------------------------------------------------------------------------------------------

29. ¿Cuando se audita el uso del cifrado, ¿cuál de las siguientes sería la principal preocupación del
auditor?
A. Control de la gerencia sobre el uso del cifrado.
B. Fuerza del algoritmo de cifrado en uso.
C. Tamaños de clave utilizados en el proceso de cifrado y descifrado
D. Usar el método de cifrado correcto para el cumplimiento

29. A. La preocupación más importante es cómo la administración controla el uso del cifrado. ¿Se
administra el cifrado bajo un ciclo de vida completo que rige la creación de las claves, el
almacenamiento de las claves, la autorización adecuada para usarlas, el uso correcto de las claves
con el algoritmo apropiado para la máxima confidencialidad, el seguimiento del uso de las claves,
el archivado o la reingeniería? ¿Demandar claves, retirar las claves y finalmente destruir las
claves de cifrado después de que se hayan cumplido todas las obligaciones legales?
30. ¿Qué método de copia de seguridad se debe utilizar en los archivos de computadora antes de
iniciar una investigación forense?
A. flujo de bits
B. lógico
C. diferencial
D. lleno

30. A. La generación de imágenes de flujo de bits es el único método de copia de seguridad que
registra los archivos eliminados junto con el contenido del espacio de intercambio y el espacio de
holgura. La copia de seguridad de flujo de bits también se conoce como imagen física. Todas las
otras opciones perderán estos archivos importantes que son necesarios como evidencia.
------------------------------------------------------------------------------------------------------------------------

31. ¿Cuál de los siguientes representa la jerarquía de controles desde el nivel más alto hasta el nivel
más bajo?
A. Aplicación general, generalizada, detallada.
B. Aplicación general, general, detallada.
C. Detallado, penetrante, aplicación, detallado.
D. Aplicación, general, detallada, generalizada.

31. A. Los controles generales representan la clase más alta de controles que se aplican a todos
dentro de la organización. Los controles generalizados representan la protección necesaria cuando
se utiliza tecnología. Los controles de IS son dominantes en todos los departamentos que usan
computadoras. No importa quién esté a cargo, los controles de SI deben usarse para garantizar la
integridad y la disponibilidad. Los controles detallados especifican cómo se ejecutará un
procedimiento. Los controles de aplicación son los controles de nivel más bajo que generalmente
están integrados en el software o que rigen su uso. Los controles de la aplicación se verán
comprometidos si los controles de nivel superior no están presentes.
-----------------------------------------------------------------------------------------------------------------------

32. ¿Cuál es el propósito de usar el principio ACID con aplicaciones de base de datos?
A. Escriba la transacción completa en el archivo maestro o descártela sin realizar ningún
cambio.
B. Protección del medio ambiente para salvaguardar el servidor para garantizar el máximo tiempo
de funcionamiento.
C. Cada transacción de datos está vinculada por pasos para asegurar la consistencia.
D. Los datos innecesarios se eliminan de la base de datos para un mejor rendimiento.

32. A. El principio de ACID dice que se escriba la transacción completa o que se cancele
completamente. A significa atomicidad (todo o nada), C para consistencia (restaurar datos si la
escritura falla), I para aislamiento (separación entre transacciones) y D para durabilidad
(conservar los datos).
-----------------------------------------------------------------------------------------------------------------------

33. ¿Qué clave se utiliza para el descifrado en la criptografía de clave pública para proporcionar la
autenticación de la persona que transmite el mensaje?
A. Clave privada del remitente
B. Clave privada del destinatario
C. Clave pública del remitente.
D. Clave pública del destinatario.
33. C. La clave pública del remitente proporciona la autenticación de que el mensaje proviene de
esa persona específica. Una clave privada proporciona confidencialidad.
------------------------------------------------------------------------------------------------------------------------

34. ¿Cuál es el propósito principal del uso del Análisis de Puntos de Función?
A. Verificar la integridad de los algoritmos de transacciones financieras en un programa
B. Estimar la complejidad involucrada en el desarrollo de software.
C. Revisar los resultados de las transacciones automatizadas que cumplen con los criterios para la
auditoría.
D. Proporcionar datos de límites del sistema durante la fase de definición de requisitos

34. B. Function Point Analysis es usado por programadores altamente experimentados para
estimar la complejidad involucrada en escribir un nuevo software. Comienza contando las
entradas, salidas, consultas (búsquedas), estructura de datos e interfaces externas.
-----------------------------------------------------------------------------------------------------------------------

35. ¿Cuál de los siguientes no es uno de los tres tipos principales de control?
A. Preventivo
B. Detective
C. Disuasivo
D. Correctivo

35. C. Los principales tipos de control son físico (paradas), detective (hallazgos) y correctivo
(arreglos). Un control disuasorio es simplemente una forma muy débil de control preventivo.
----------------------------------------------------------------------------------------------------------------------

36. ¿Cuál es el objetivo principal en la tercera fase de la respuesta al incidente?

A. Contención
B. Lecciones aprendidas
C. erradicación
D. analisis

36. A. Las fases en el manejo de incidentes son 1) preparación, 2) detección y análisis, 3)

erradicación de la contención y recuperación, y 4) actividad posterior al incidente, incluidas las
lecciones aprendidas.
------------------------------------------------------------------------------------------------------------------------

37. Después de presentar el informe al final de una auditoría, el auditor líder descubre la omisión
de un procedimiento. ¿Qué debe hacer el auditor a continuación?
A. Inicie sesión en www.monster.com y cambie su estado de empleo actual a disponible.
B. Cancelar el informe si las alternativas de auditoría no pueden compensar la deficiencia.
C. Presente un informe de divulgación de incidentes con la asociación de auditoría para minimizar
cualquier responsabilidad.
D. No se requiere ninguna acción mientras el procedimiento omitido se incluya en la próxima
auditoría.

37. B. El auditor necesita revisar las alternativas de auditoría para determinar si las alternativas
podrían compensar suficientemente la omisión. El auditor debe cancelar su informe si los
procedimientos omitidos cambiarían el resultado y si las alternativas de auditoría no pueden
compensar la deficiencia.
38. ¿Cuál de los siguientes métodos de gestión proporciona el mayor control en lugar de la
flexibilidad discrecional?
A. distribuido
B. centralizado
C. en casa
D. Externalizado

38. B. La gestión centralizada siempre proporciona el mayor control. La administración distribuida

también se conoce como discrecional porque la decisión se toma localmente y se basa en una
variedad de factores. Los métodos distribuidos proporcionan el control general más bajo.

39. La ejecución de la función de verificación durante una copia de seguridad en cinta es un

ejemplo de qué tipo de los siguientes controles?
A. correctivo
B. Administrativo
C. Preventivo
D. detective

39. D. Crear una copia de seguridad en cinta es un control preventivo para evitar la pérdida de
datos. Sin embargo, la función de verificación es un control de detección destinado a detectar
cualquier discrepancia entre la cinta y el disco duro. Es un control de detección porque todavía
requiere que el operador arregle manualmente el problema después de que se encuentre.
-----------------------------------------------------------------------------------------------------------------------

40. ¿Cuál de las siguientes es la mejor representación de un token de software utilizado para la
autenticación de dos factores?
A. certificado digital
B. llavero
C. archivo hash
D. contraseña segura

40. A. Los certificados digitales (también conocidos como token de software) se pueden usar para
la autenticación de dos factores. El llavero también se conoce como un token duro debido a su
naturaleza física. Las contraseñas no permiten la autenticación de dos factores a menos que se
combinen con tokens de hardware, tokens de software o biometría.

41. Con respecto a los objetivos de control de la gobernanza de TI, ¿cuál de los siguientes sucesos
le preocuparía menos al auditor durante la ejecución de la auditoría?
A. Usar la práctica del autocontrol para reportar problemas
B. Usar el control de cambio adecuado
C. Conflicto en la relación de reporte existente.
D. Sistema de producción sin acreditación.

41. B. El uso del control de cambio adecuado representaría la menor preocupación para el auditor.
Los auditores quieren que se usen procedimientos de control de cambios para la separación de
tareas. Todas las otras opciones representan violaciones que justifican una investigación adicional.
---------------------------------------------------------------------------------------------------------------------
42. ¿Cuál de los siguientes no es uno de los métodos principales utilizados para implementar
controles preventivos, controles detectivos, y controles de corrección?
A. legal
B. lógico (técnicos)
C. fisico
D. administrativo

42. A. Legal no es uno de los principales métodos de implementación. Los controles se

implementan mediante el uso de métodos físicos, métodos lógicos (técnicos) y métodos
administrativos. Los métodos administrativos incluyen leyes, políticas, procedimientos y contratos.
La combinación de métodos físicos, lógicos y administrativos se utiliza para obtener el
cumplimiento legal.
----------------------------------------------------------------------------------------------------------------------

43. ¿Cuáles de las siguientes afirmaciones son verdaderas con respecto a un gusano de software?
A. Debe ejecutarse abriendo un archivo.
B. Es un sinónimo de virus.
C. Viaja libremente a través de la red para infectar otros sistemas.
D. Se adhiere a programas y datos mediante la apertura y cierre de archivos.

43. C. A diferencia de un virus, un gusano puede viajar libremente a través de las conexiones de
red para infectar otros sistemas. Los gusanos pueden infectar archivos sin que el usuario abra o
cierre el archivo.
---------------------------------------------------------------------------------------------------------------------

44. ¿Cuál es el propósito detrás de la acreditación del sistema?

A. Responsabilizar a la gerencia por la aptitud de uso y cualquier falla.
B. Proporcionar la aprobación formal de los resultados de las pruebas de certificación.
C. Mejorar la precisión de los pronósticos en los presupuestos de TI.
D. Hacer responsable al usuario de su uso del sistema.

44. A. La acreditación del sistema es una aprobación formal que es testigo de la aceptación por
parte de la gerencia de la idoneidad para el uso previsto del sistema y la total responsabilidad de
cualquier falla. La acreditación del sistema es por un período de 90 días, 180 días o 365 días
(anual). El sistema debe volver a acreditarse antes de la fecha de caducidad.
---------------------------------------------------------------------------------------------------------------------

45. ¿Cuál de las siguientes técnicas se utiliza en el almacenamiento y la transmisión de una clave de
cifrado simétrica?
A. Rotación de llave
B. Generando una clave de cifrado única
C. Envoltura de llaves (wrapping)
D. Generando una clave de cifrado compartida

45. C. El ajuste de clave se utiliza para proteger las claves de cifrado durante el almacenamiento y
la transmisión de las claves. Las claves de cifrado nunca deben ser accesibles directamente al
usuario.
----------------------------------------------------------------------------------------------------------------------
46. ¿Cuál de las siguientes afirmaciones es verdadera con respecto a la opinión calificada del
auditor?
A. El auditor tiene reservas sobre los hallazgos.
B. El auditor está profesionalmente calificado para dar una opinión.
C. El auditor no tiene reservas sobre los hallazgos.
D. El auditor tiene experiencia previa trabajando en el departamento de TI.

46. A. Una opinión calificada significa que el auditor tiene reservas sobre el alcance de la
auditoría, inquietudes con respecto a la evidencia disponible o inquietudes de que los hallazgos
pueden no representar la historia real. Los informes de auditoría que contengan una opinión
calificada tendrán limitaciones en el uso del informe.
---------------------------------------------------------------------------------------------------------------------

47. ¿Cuál de las siguientes situaciones debería considerar el auditor si el auditado ha implementado
seis fases del Ciclo de Vida del Desarrollo del Sistema (SDLC)?
A. El auditado probablemente está haciendo un buen trabajo sin preocupaciones en este momento.
B. Se ha implementado el modelo de gobierno de TI.
C. Al auditado le puede faltar una función crítica.
D. Hay solo cinco fases en el ciclo de vida del desarrollo del sistema.

47. C. El ciclo de vida completo del desarrollo del sistema contiene siete fases, no seis. El auditado
puede tener una falla de control debido a que la postimplementación (fase 6) o el proceso de
eliminación (fase 7) pueden no haberse adoptado formalmente. Usar menos de siete fases indicaría
que se han tomado atajos.
----------------------------------------------------------------------------------------------------------------------

48. ¿Qué método de copia de seguridad copiará solo los archivos modificados sin restablecer el bit
de archivo (marca de archivo)?
A. fisico
B. Incremental
C. lleno
D. diferencial

48. D. El método de copia de seguridad diferencial copiará todos los archivos que han cambiado
desde la última copia de seguridad completa, pero no restablecerá el bit de archivo. Los archivos
se pueden restaurar en menos tiempo utilizando solo la última copia de seguridad completa con la
última cinta de copia de seguridad diferencial.
-----------------------------------------------------------------------------------------------------------------------

49. Al usar el cifrado de la infraestructura de clave pública (PKI), ¿qué clave no utiliza el
destinatario para descifrar un mensaje?
A. Clave privada del remitente
B. Clave privada del destinatario
C. Clave pública del remitente.
D. Clave pública del destinatario.

49. A. El destinatario nunca utiliza la clave privada del remitente. Solo se necesitan tres claves
para descifrar el mensaje: la clave pública del remitente, la clave pública del destinatario y la
clave privada del destinatario.
50. ¿Cuál de las siguientes situaciones no representa un conflicto de información?
A. Gerente de seguridad de la información reportando a auditores internos.
B. Empleado reportando violaciones a su jefe, quien también está a cargo del cumplimiento
C. Informes de seguridad de TI al director de información
D. Autocontrol y denuncia de violaciones.

50. A. Los gerentes de seguridad de TI deben reportar problemas a los auditores internos. Es un
conflicto de informes si se requiere que un empleado relacionado con TI realice informes de
infracción directamente a su gerente. Puede haber presiones laborales para encubrir problemas.
Existe un conflicto de informe incorporado cuando su trabajo requiere que informe las violaciones
a su superior, cuando la misma persona es responsable de garantizar el cumplimiento.
-----------------------------------------------------------------------------------------------------------------------

51. ¿Cuál es el propósito de una firma digital?

A. Marcador electrónico que muestra al destinatario que un remitente realmente envió un
documento
B. Proporciona al destinatario un método para probar el documento recibido de un remitente
C. Verificación de redundancia cíclica para probar la integridad del documento.
D. Proporciona una copia de la clave pública del remitente junto con el documento

51. B. Una firma electrónica no vale nada a menos que el destinatario realmente pruebe la firma
desencriptándola. Las firmas electrónicas nunca deben ser confiadas por su presencia. Las firmas
digitales deben ser probadas por el destinatario para verificar su autenticidad.
----------------------------------------------------------------------------------------------------------------------

52. ¿Cuál de las siguientes es la mejor manera de proteger las claves de cifrado para que no se vean
comprometidas?
A. Almacenamiento de las claves en un servidor con capacidad de almacenamiento de claves
B. Usar un sistema aislado físicamente para generar las claves.
C. Cambiar las claves de cifrado cada cuatro meses.
D. Limitar el uso de claves individuales.

52. D. Limitar el uso de claves de cifrado es la mejor opción disponible para protegerlas de un
compromiso. La separación de funciones también se aplica a las claves de cifrado. Cada clave de
cifrado debe tener un propósito especial sin reutilizar la misma clave en diferentes tareas.
---------------------------------------------------------------------------------------------------------------------

53. ¿Cuál de las siguientes afirmaciones es verdadera con respecto al rol de la gerencia y el rol del
auditor?
A. La gerencia usa el informe del auditor antes de hacer sus afirmaciones.
B. La gerencia debe hacer sus afirmaciones antes del informe del auditor.
C. El auditor solo puede ver evidencia que ha sido predeterminada por la administración.
D. La opinión del auditor se basará en el deseo de la gerencia.

53. B. La administración debe hacer que sus afirmaciones sean independientes del informe del
auditor. El rol del auditor es determinar si las reclamaciones de la gerencia pueden ser verificadas
como correctas por la evidencia disponible.
----------------------------------------------------------------------------------------------------------------------
54. Durante una auditoría de continuidad del negocio, se descubre que no se realizó el análisis de
impacto en el negocio (BIA). ¿Qué le indicaría esto al auditor?
A. Es probable que el plan de continuidad del negocio sea un fracaso.
B. El cliente pudo implementar su plan sin utilizar la técnica BIA.
C. El análisis de riesgos y su selección de la estrategia cumplen con sus objetivos más importantes.
D. No es necesario realizar un análisis de impacto de negocio.

54. A. El plan de continuidad del negocio (BC) es probable que falle. Sería casi imposible que un
plan de BC funcione sin realizar primero un análisis de impacto empresarial (BIA). Nadie puede
proteger los procesos de negocios que no pudieron definir en una especificación formal (informe
BIA).
-----------------------------------------------------------------------------------------------------------------------

55. ¿Cuál es la diferencia funcional entre identificación y autenticación?

A. La autorización es una coincidencia; La identificación es solo una reclamación hasta que se
verifique.
B. La autenticación es solo un reclamo; La identificación es una coincidencia verificada.
C. La identificación es solo una reclamación hasta que se verifique; la autenticación es una
coincidencia.
D. La identificación es sólo un reclamo; La autorización es una coincidencia.

55. C. La identificación es simplemente un reclamo que debe ser verificado. La autenticación es

cuando la reclamación coincide con la referencia, lo que indica que la identidad es correcta.
----------------------------------------------------------------------------------------------------------------------

56. ¿Cuál de las siguientes es la mejor manera para que un auditor demuestre su competencia para
desempeñarse en una auditoria?
A. Experiencia previa trabajando en tecnología de la información.
B. Citar cada punto en un reglamento con un objetivo de auditoría y una prueba específica.
C. Obtención de la certificación de auditor con formación continua.
D. Experiencia previa en auditoría financiera.

56. B. Cada auditor debe construir una lista de todos los puntos individuales contenidos en un
reglamento, citando cada punto por página, párrafo y número de línea. Esta especificación
detallada se utilizará para explicar cómo la auditoría cumple con el objetivo. Deben crearse
pruebas específicas para cada elemento. Si se debe volver a ejecutar la prueba de auditoría, el
auditor posterior siempre debe encontrar resultados similares utilizando su documentación.
-----------------------------------------------------------------------------------------------------------------------

57. ¿Cuál es el objetivo principal de la publicación de normas de auditoría y ética profesional de

ISACA?
A. Brindar consistencia sin avergonzarte a ti o a nuestra profesión.
B. Explique los deberes profesionales que podría seguir al construir su práctica.
C. Proporcionar un conjunto de herramientas de auditoría integral
D. Proporcionar una referencia de muestra que el auditor puede usar durante su auditoría sin
restricciones de derechos de autor

57. A. Las normas de auditoría de ética profesional de ISACA tienen la intención de brindar
consistencia. No queremos que usted arroje ninguna desgracia sobre nuestra profesión. Esperamos
que al seguir los estándares, no se avergüence o no entienda los deberes de un auditor.
-----------------------------------------------------------------------------------------------------------------------
58. Complete la siguiente declaración: Un auditor de sistemas de información certificado perderá su
certificación si ________.
A. Aconsejar y educar al auditado sobre lo que el auditor está buscando
B. Continuar participando en la educación profesional.
C. Compartir listas de verificación de auditoría en blanco con el auditado
D. Poseer o usar materiales para los cuales no tienen una licencia de derechos de autor válida.

58. D. Los CISA pueden perder sus credenciales al poseer o usar materiales para los cuales no
tienen una licencia de derechos de autor válida. Violar las restricciones de derechos de autor es
una violación de la ley y la ética..
-----------------------------------------------------------------------------------------------------------------------

59. La gestión de la cartera incluye todo lo siguiente, excepto:

A. Selección de proyectos basados en el mejor retorno de la inversión.
B. Control centralizado de prioridades en todos los proyectos.
C. Gestión de proyectos concurrentes.
D. Método de control de cambios en la estructura de desglose del trabajo.

59. D. La gestión de la cartera es similar a las acciones comerciales o las tarjetas de béisbol. El
objetivo es obtener el mayor valor posible para su colección de proyectos. Cada proyecto se juzga
según cuáles representan el mejor retorno de la inversión; Todos los demás proyectos son
cancelados o ignorados. Los cambios en la estructura de desglose del trabajo (lista de tareas del
proyecto) ocurrirán dentro del propio proyecto.
-----------------------------------------------------------------------------------------------------------------------

60. ¿Qué función cumple el auditor?

A. Segundo conjunto de ojos, que son externos al tema en estudio
B. Garantía independiente de que los reclamos de la gerencia son correctos.
C. Asistencia al solucionar problemas encontrados durante la auditoría.
D. Adaptar estándares para adecuarse a las necesidades del cliente.

60. A. Ya sea que realice una auditoría interna o externa, el auditor es un observador imparcial
pagado. Ninguna de las otras afirmaciones es cierta. El auditor nunca se apropia de los problemas
encontrados. Los estándares son cumplidos por el cliente (obedientes) o no cumplidos por el cliente
(no conformes).
----------------------------------------------------------------------------------------------------------------------

61. Complete la siguiente declaración con la mejor respuesta disponible: El archivo ________ se
crea cuando el sistema se apaga incorrectamente. Generalmente contiene ________ que es / son
útiles en investigaciones forenses.
A. Volcado, contenidos de la memoria RAM.
B. Abend, un historial de todas las transacciones de usuario procesadas.
C. Diagnóstico, configuración de inicio del sistema.
D. Abortar, toda la información de la cuenta del usuario.

61. A. Un archivo de volcado de caída se crea cuando el sistema falla abruptamente. Este archivo
contiene el contenido de la memoria de trabajo (RAM) y una lista de tareas que se estaban
procesando. Este archivo de diagnóstico especial es extremadamente útil durante las
investigaciones forenses.
----------------------------------------------------------------------------------------------------------------------
62. ¿Cuál de los siguientes sistemas utiliza técnicas heurísticas para tomar decisiones en nombre del
usuario?
A. Centro de decisiones asociado
B. sistema experto
C. Sistema de apoyo a la decisión (DSS)
D. almacén de datos

62. B. Los sistemas expertos toman decisiones para el usuario mediante el uso de reglas de
ponderación contra los puntos de datos en la base de datos (heurística) para crear correlaciones.
Los sistemas expertos frecuentemente contienen más de 100,000 puntos de datos discretos. Todas
las demás opciones esperan que el usuario tome su propia decisión en función de la información
disponible.
---------------------------------------------------------------------------------------------------------------------

63. ¿Dónde debería ubicarse la sala de computación?

A. sótano seguro
B. primer piso
C. piso medio
D. planta alta

63. C. Pisos intermedios. ISACA declara que la sala de computadoras nunca debe estar en el
sótano debido al riesgo de inundación. El primer piso es susceptible a los robos. El piso superior
es susceptible a fugas en el techo y daños por tormenta.
-----------------------------------------------------------------------------------------------------------------------

64. ¿Cuál de las siguientes muestras de auditoría no estadística también se conoce como muestra de
evaluación?
A. Media no estratificada
B. al azar
C. Atributo
D. Aleatorio

64. B. Una muestra aleatoria también se conoce como una muestra de juicio.
------------------------------------------------------------------------------------------------------------------------

65. Seleccione la mejor respuesta para terminar esta afirmación: Un ________ es de naturaleza
estratégica, mientras que el ________ es táctico.
A. Política, procedimiento
B. norma, procedimiento
C. Procedimiento, estándar
D. Política, estándar

65. D. Una política es estratégica, los estándares son tácticos y los procedimientos son operativos.
----------------------------------------------------------------------------------------------------------------------

66. ¿Cuál de los siguientes procesos sería el mejor candidato para la reingeniería de procesos de
negocios?
A. Proceso excluido
B. proceso de trabajo
C. Proceso no laborable.
D. Proceso marginal.
66. C. Un proceso no laboral sería el mejor candidato para la reingeniería. La decisión real se
basa en el mejor retorno de la inversión. No hay necesidad de rediseñar algo que no genere un
rendimiento positivo.
------------------------------------------------------------------------------------------------------------------------

67. ¿Qué paso es necesario antes de pasar a la siguiente fase al usar el ciclo virtual de desarrollo del
sistema?
A. reunión de revisión
B. aprobación formal
C. cambiar el control
D. reunión de la fase

67. B. La aprobación formal es necesaria antes de pasar a la siguiente fase. Se lleva a cabo una
reunión de revisión con las partes interesadas, el gerente de proyecto y el presidente ejecutivo. Se
discuten todas las proyecciones y temas abiertos. Cada artículo es aprobado, rechazado o
cancelado. El proyecto puede avanzar a la siguiente etapa con la aprobación formal. El auditor
debe buscar evidencia de aprobación formal y cómo se tomó la decisión.
------------------------------------------------------------------------------------------------------------------------

68. Completa la siguiente afirmación. Se debe usar un ________ para prevenir ________ de la
evidencia del disco duro durante la fase de recolección de las investigaciones forenses.
A. Especialista forense, análisis.
B. Analizador de datos, destrucción.
C. Escritura bloqueadora, contaminación.
D. Inmunizador, corrupción.

68. C. Se usa un bloqueador de escritura para evitar que se escriban cambios en el disco duro
durante la recopilación de pruebas. El simple hecho de arrancar la computadora causará cambios
que contaminarán la evidencia. Cualquier cambio, no importa cuán pequeño sea, será utilizado
por los abogados de la defensa para probar que se ha producido una manipulación indebida de la
evidencia. Cualquier reclamo de manipulación de evidencia que no pueda ser refutado destruirá el
valor de la evidencia.
----------------------------------------------------------------------------------------------------------------------

69. ¿Cuál es el objetivo principal de usar un sistema con una matriz redundante de discos
independientes (o de bajo costo) (RAID)?
A. Prevenir la corrupción
B. Aumentar la disponibilidad
C. Eliminar la necesidad de copias de seguridad.
D. aumentar la capacidad de almacenamiento

69. B. El uso de un sistema con una matriz redundante de discos independientes (o de bajo costo)
(RAID) aumentará la disponibilidad. RAID no evita la corrupción de datos; por lo tanto, todavía se
requieren copias de seguridad. Los sistemas RAID utilizan más espacio en disco para redundancia,
pero proporcionan menos capacidad de almacenamiento disponible.
------------------------------------------------------------------------------------------------------------------------

70. ¿Cuál es el propósito principal de la carta de auditoría?

A. Otorgar al auditor responsabilidad, autoridad y compromiso
B. Especifique los procedimientos mutuamente acordados que se utilizarán durante la auditoría
C. Servir como registro de los términos acordados del compromiso con auditores externos
D. Especifique el alcance de la auditoría.
70. A. Las cartas de auditoría son documentos de alto nivel que se utilizan para otorgar la
autorización al auditor responsable de realizar una auditoría y para especificar que el auditor será
responsable de su comportamiento.
------------------------------------------------------------------------------------------------------------------------

71. ¿Cuál es el propósito principal de usar el kit de raíz?

A. Herramienta de administración del sistema utilizada por el superusuario, también conocida como
administrador del servidor
B. Método para rastrear problemas de origen en la determinación del análisis de causa y efecto
C. Método secreto para comprometer de forma remota el núcleo del sistema operativo
D. Técnica de camuflaje diseñada para ocultar ciertos detalles de la vista.

71. C. Los hackers utilizan los kits de raíz para subvertir de forma remota la seguridad del sistema
operativo y comprometer el núcleo. Los kits de raíz se pueden instalar sin el conocimiento del
usuario y usar técnicas de ocultación para ocultar su existencia del software de monitoreo.
------------------------------------------------------------------------------------------------------------------------

72. ¿Cuál de las siguientes afirmaciones es cierta con respecto al uso de la metodología de
Desarrollo rápido de aplicaciones (RAD) en la programación de software?
A. Automatiza todo el proceso de desarrollo de software, a partir de la fase 1
B. Elimina la necesidad de utilizar técnicas de planificación tradicionales para la gestión de
proyectos
C. Automatiza el proceso de desarrollo de software desde la factibilidad hasta la implementación.
D. Todavía requiere el uso de técnicas tradicionales de gestión de proyectos.

72. D. La metodología de desarrollo rápido de aplicaciones (RAD) automatiza solo una parte de
los requisitos de la fase 2, el diseño de la fase 3 y el desarrollo de la fase 4. RAD no proporciona la
planificación y la documentación necesarias en cuanto a la viabilidad, los requisitos, la
implementación y la implementación posterior.
–---------------------------------------------------------------------------------------------------------------------

73. ¿Cuál es la mejor definición de auditoría?

A. Revisión de la historia pasada usando evidencia para contar la historia
B. Pronóstico de cumplimiento generado por un nuevo sistema que se prepara para entrar en
producción
C. Evaluación de cumplimiento basada en el diseño pretendido por la gerencia.
D. Pruebas de certificación de los beneficios o fallos del sistema.

73. A. La auditoría es una revisión de la historia pasada. Usamos evidencia y pruebas para
determinar la historia. No es posible utilizar una auditoría para pronosticar los beneficios de
cumplimiento antes de ingresar a la producción. Cada sistema crea consecuencias imprevistas que
pueden realizarse plenamente solo después de que el sistema entra en producción. Puede auditar
los atributos del sistema durante el diseño y desarrollo, no los problemas operativos no realizados
que afectan su cumplimiento. El cumplimiento requiere una auditoría después de que entre en
producción para incluir la forma en que el sistema se utiliza y administra realmente.
-----------------------------------------------------------------------------------------------------------------------

74. ¿Quién es responsable de designar el nivel de clasificación de información apropiado?

A. custodio de datos
B. usuario de datos
C. propietario de los datos
D. gerente de seguridad
74. C. El propietario de los datos es responsable de designar el nivel de seguridad de la
información apropiado y de nombrar al custodio. El propietario de los datos suele ser un
vicepresidente o superior, hasta un jefe de agencia. El propietario de los datos también especifica
los controles que se utilizarán. El comité de auditoría y la administración pueden cambiar el nivel
de seguridad si el propietario de los datos no clasifica correctamente los datos.
-----------------------------------------------------------------------------------------------------------------------

75. ¿Cuál de los siguientes es el mejor ejemplo de implementación de un control de detección a

través de métodos administrativos?
A. Auditoría de configuración del sistema y archivos de registro.
B. Ejecutar una verificación de la cinta de copia de seguridad para la integridad
C. Uso de un sistema de detección y prevención de intrusiones (IDPS)
D. Restaurar un archivo dañado utilizando una copia del CD de instalación del proveedor.

75. A. La auditoría de la configuración del sistema y la lectura de los registros del sistema son
ejemplos de controles de detección implementados mediante el uso de métodos administrativos. La
auditoría es siempre un control de detectives. Los auditores pueden usar herramientas de auditoría
asistidas por computadora, pero la auditoría sigue siendo un proceso administrativo.
----------------------------------------------------------------------------------------------------------------------

76. ¿Cuál de las siguientes configuraciones de firewall no sería una preocupación para el auditor?
A. Enrutamiento de origen habilitado
B. Medios de copia de seguridad dejados en la unidad
C. Inicio de sesión remoto o uso compartido de archivos habilitado
D. Firewall no respaldado todas las noches

76. D. No es necesario realizar una copia de seguridad de los firewalls, excepto después de realizar
cambios en el sistema. Las copias de seguridad del firewall deben ser copias de seguridad
completas en dispositivos independientes, también conocidos como restauración de día cero. Un
auditor debe estar seriamente preocupado si el enrutamiento de origen está habilitado (peligro
importante), los medios de respaldo se dejan en la unidad (almacenamiento oculto para los
atacantes), el inicio de sesión remoto o el intercambio de archivos está habilitado (abierto al
acceso remoto).
----------------------------------------------------------------------------------------------------------------------

77. Un miembro del personal auditado ofrece prestarle una copia no autorizada del software que
necesita por un corto tiempo. ¿Qué debería usted, como auditor, recordar siempre?
R. Está bien pedir prestado el software para un solo uso.
B. El auditado no está actuando de una manera ética.
C. El auditado usualmente recibirá una amnistía por entregar al auditor o desacreditarlo.
D. Las probabilidades de quedar atrapado en esto son muy bajas.

77. C. El auditado generalmente recibirá una amnistía por entregarte. Las violaciones de derechos
de autor son siempre ilegales y poco éticas. Puede apostar a que el auditado más tarde se jactará de
cómo lo ayudaron, o lo arruinaría por emitir un informe desfavorable después de que le hicieron un
favor. Nunca utilice software no autorizado bajo ninguna condición; Además de violar la ley, te hará
quedar mal. Ninguna persona u organización honesta quiere usar un auditor que viole la ley.
-----------------------------------------------------------------------------------------------------------------------
78. ¿A quién debe notificar el auditor si un acto ilegal o inapropiado involucra a las personas
responsables para la gobernanza de los controles?
A. Aplicación de la ley
B. reguladores federales
C. comité de auditoría
D. Línea directa de denunciantes.

78. C. El auditor debe ponerse en contacto con el comité de auditoría, nunca con la ley o con los
reguladores. Si es necesario, el abogado del auditor se encargará de contactar a las autoridades.
------------------------------------------------------------------------------------------------------------------------

79. ¿Cuál es el propósito principal de la metodología de programación ágil?

A. Automatizar las tediosas partes administrativas del ciclo de vida del desarrollo del sistema
B. Crear rápidamente prototipos en muy poco tiempo
C. Crear controles internos flexibles que sean fáciles de mantener actualizados.
D. Mejorar la calidad de la planificación tradicional con una mejor documentación de los requisitos.

79. B. La programación ágil se utiliza para crear prototipos a través de técnicas de administración
de la caja de tiempo para forzar nuevas iteraciones en cortos períodos de tiempo. La planificación
y documentación administrativa tradicional se pierde a favor del conocimiento no documentado
contenido en la cabeza de una persona.

80. ¿Cuál de las siguientes afirmaciones es cierta con respecto a la presentación de informes por los
auditores internos?
A. Los resultados se pueden utilizar para la licencia de la industria.
B. El valor correspondiente del informe de auditoría es alto.
C. Los resultados se pueden utilizar para informes externos.
D. El valor correspondiente del informe de auditoría es bajo.

80. D. Los informes de los auditores internos tienen un valor correspondiente bajo debido al
conflicto de informes incorporado que puede existir. Esta es la razón por la cual se requieren
auditorías externas independientes para las licencias reglamentarias.