Auditoria de Sistemas: Conceitos e Práticas

Prévia do material em texto

Aula 1
		1
        Questão
	
	
	Sobre a Auditoria de Sistemas podemos assegurar que :
I - ela pode preocupar-se com a integridade da frota de veiculos da empresa e a relação de custos e despesas destes no sistema
II - ela preocupa-se com a conformidade do sistema com a lei vigente no país onde o sistema será processado
III - ela deve identificar vulnerabilidades nos sistemas e indicar como soluciona-las
Identifique a(s) alternativa (s) correta (s)
		
	
	Somente as opções I e III estão corretas
	 
	Todas as opções estão corretas
	 
	Somente as opções I e II estão corretas
	
	Somente as opções II e III estão corretas
	
	Nenhuma opção está correta
	Respondido em 22/03/2021 09:43:32
	
Explicação:
A Auditoria de Sistemas deve preocupar-se em identificar vulnerabilidades dos sistemas mas nunca dizer como solucionar tais vulnerabilidades.
	
	
	 
		2
        Questão
	
	
	Aponte qual das opções abaixo não corresponde ao pefil do auditor ;
		
	 
	Deve ser profundo conhecedor de linguagens orientada a objetos;
	
	Deve ter conhecimento teórico e prático em Sistemas de Informação
	
	Deve ter visão abrangente da empresa;
	
	Deve consultar especialistas quando o assunto fugir de seu domínio ;
	
	Deve ter comportamento condizente com quem tem autoridade no assunto;
	Respondido em 22/03/2021 09:44:21
	
	
	 
		3
        Questão
	
	
	Considere as seguintes descrições:
I. Controle de acesso (físico e lógico)
II. Gravação e atualização autorizadas 
III. Sistema disponível quando necessário
IV. Sistema funciona conforme requisitos
V. Sistema atuará conforme o esperado   
· A opção que melhor representa o significado de cada uma delas respectivamente é:
		· 
	
	Confidencialidade; Disponibilidade; Consistência; Integridade; e, Confiabilidade.
	
	Confiabilidade; Integridade; Confidencialidade; Disponibilidade; e, Consistência.
	
	Confidencialidade; Confiabilidade; Integridade; Disponibilidade; e, Consistência.
	
	Consistência; Confidencialidade; Integridade; Disponibilidade; e, Confiabilidade.
	 
	Confidencialidade; Integridade; Disponibilidade; Consistência; e, Confiabilidade.
	Respondido em 22/03/2021 10:41:21
	
		
	Gabarito
Comentado
	
	
	 
		4
        Questão
	
	
	Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso:
		
	
	o treinamento dos auditores é responsabilidade da área de recursos humanos
	 
	a metodologia utilizada é da empresa de auditoria externa
	
	o custo é distribuído pelos auditados
	
	o controle sobre trabalhos realizados é mais seguro
	
	a equipe será treinada conforme objetivos de segurança da empresa
	Respondido em 22/03/2021 10:46:09
	
Explicação:
a metodologia utilizada é da empresa de auditoria externa => sim, é verdade
o controle sobre trabalhos realizados é mais seguro => o controle do trabalho realizado é responsabilidade da empresa terceirizada, não podemos dizer se é mais ou menos seguro.
a equipe será treinada conforme objetivos de segurança da empresa => Não, a equipe de auditores externos será treinada conforme metodologua da empresa terceirizada
o custo é distribuído pelos auditados => não, o custo d auditoria é de quem a contratou
o treinamento dos auditores é responsabilidade da área de recursos humanos => Não, a equipe de auditores externos será treinada conforme metodologua da empresa terceirizada
 
 
	
		
	Gabarito
Comentado
	
	
	 
		5
        Questão
	
	
	Considerando os conceitos de avaliação  e validação  que envolvem as atividades de Auditoria de Sistemas, classifique  as seguintes atividades como sendo uma atividade de avaliação (A) ou uma atividade de validação (V):
I  - Dentre os 100 testes realizados, o sistema apresentou 5 registros com erro.
II - O sistema Folha de Pagamento carece de rotina de validação de digito de controle na matricula dos colaboradores.
III - O sistema de Contas-correntes não apresenta estabilidade no saldo final do cliente em relação aos centavos.
		
	
	A, V, V 
	 
	V, A, V
	
	V, V, V
	 
	V, A, A
	
	A, A, V
	Respondido em 22/03/2021 10:47:27
	
Explicação:
I  - Dentre os 100 testes realizados, o sistema apresentou 5 registros com erro. => é uma atividade de validação, um resumo dos testes realizados
II - O sistema Folha de Pagamento carece de rotina de validação de digito de controle na matricula dos colaboradores.=> reflete uma opinião do auditor ao constatar que o refereido sistema não possui tal rotina, o que significa uma fragilidade do sistema
III - O sistema de Contas-correntes não apresenta estabilidade no saldo final do cliente em relação aos centavos.=> reflete um julgamento do auditor ao constatar resultados finais dos testes realizados
	
	
	 
		6
        Questão
	
	
	O treinamento para futuros auditores de sistemas que possuem pouca ou nenhuma experiência em Tecnologia da Informação deve incluir:
Marque a alternativa FALSA.
 
 
		
	 
	Softwares de Auditoria.
	
	Rede de computadores.
	
	Internet, intranet e extranet, com configurações pertinentes.
	 
	Conceitos de fluxograma e Fluxo de Dados.
	
	Processamento lógico.
	Respondido em 22/03/2021 10:48:54
	
Explicação:
O treinamento de softwares de auditoria deve ser feito para pessoas que já tem  experiencia em Tecnologia da Informação e não para iniciantes em TI.
	
	
	 
		7
        Questão
	
	
	Verificar se o sistema auditado suporta adequadamente os usuários do mesmo faz parte do perfil do auditor de sistemas. Isso significa dizer que:
I  -  O auditor de sistemas deve conhecer a rotina operacional para o qual o sistema auditado dará suporte.
II -  O auditor de sistemas deve necessariamente conhecer o negócio da empresa.
III - O auditor de sistemas deve conhecer as funções dos colaboradores que trabalham na área para a qual o sistema dará suporte.
Identifique as sentenças verdadeiras (V) e as falsas (F)
		
	
	V, F, V
	 
	V, F, F
	
	F, V, F
	
	V, V, F
	 
	F, V, V
	Respondido em 22/03/2021 10:51:26
	
Explicação:
I  -  O auditor de sistemas deve conhecer a rotina operacional para o qual o sistema auditado dará suporte. => Sim, a sentença é verdadeira
II -  O auditor de sistemas deve necessariamente conhecer o negócio da empresa.=> Falsa. O auditor de sistemas não precisa conhecer necessariament o negócio da empresa. Sempre que necessário ele pode ter um consultor trabalhando em sua equipe.
III - O auditor de sistemas deve conhecer as funções dos colaboradores que trabalham na área para a qual o sistema dará suporte.=> Falsa. O auditor de sistemas não precisa conhecer as fuções do pessoal da área usuária mas sim a rotina operacional.
	
	
	 
		8
        Questão
	
	
	Há dois grandes meios de se ter uma equipe de auditoria. Com base na afirmativa marque a opção que indica os dois tipos de equipe de auditoria:
		
	
	EQUIPE PREESENCIAL E VIRTUAL
	
	EQUIPE INTERNA E CONSULTORIA
	 
	EQUIPE INTERNA E EXTERNA
	
	EQUIPE INTERNA E VIRTUAL
	
	EQUIPE EXTERNA E CONSULTORIA
	Respondido em 22/03/2021 10:53:03
	
		
	Gabarito
Comentado
	
		1
        Questão
	
	
	Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta:
I. Está calçada em segurança e em controles internos
II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos
III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa
		
	
	Somente a sentença III está correta
	
	Somente as sentenças I e II estão corretas
	 
	Somente as sentenças II e III estão corretas
	
	Somente as sentenças I e III estão corretas
	 
	Todas as sentenças estão corretas
	Respondido em 22/03/2021 22:32:25
	
Explicação:
Todas as opções estão corretas. A auditoria foca nos controles internos. Verifica sua existencia e, em existindo, se são eficazes. Ela engloba o exame das operações, processos, sistemase responsabilidades gerenciais de uma determinada empresa
	
		
	Gabarito
Comentado
	
	
	 
		2
        Questão
	
	
	Sobre a Auditoria de Sistemas podemos assegurar que :
I - ela pode preocupar-se com a integridade da frota de veiculos da empresa e a relação de custos e despesas destes no sistema
II - ela preocupa-se com a conformidade do sistema com a lei vigente no país onde o sistema será processado
III - ela deve identificar vulnerabilidades nos sistemas e indicar como soluciona-las
Identifique a(s) alternativa (s) correta (s)
		
	
	Nenhuma opção está correta
	
	Somente as opções I e III estão corretas
	
	Somente as opções II e III estão corretas
	 
	Todas as opções estão corretas
	 
	Somente as opções I e II estão corretas
	Respondido em 22/03/2021 22:33:21
	
Explicação:
A Auditoria de Sistemas deve preocupar-se em identificar vulnerabilidades dos sistemas mas nunca dizer como solucionar tais vulnerabilidades.
	
	
	 
		3
        Questão
	
	
	A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa:
		
	 
	ela necessita de autonomia para executar suas atividades
	
	os salários dos auditores são compatíveis com os dos diretores
	
	ela diz para os gerentes como consertar as falhas encontradas
	
	os auditores não tem horário fixo para exercer suas atividades
	
	esta posição demonstra o status e o poder que a Auditoria possui
	Respondido em 22/03/2021 22:40:01
	
Explicação:
Um auditor pode  não  se sentir a vontade para pedir ao seu gerente um plano de contingência caso ele não exista, Os auditores necessitam de flexibilidade e autonomia para exercerem seu trabalho.
	
		
	Gabarito
Comentado
	
	
	 
		4
        Questão
	
	
	Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica:
		
	
	abordagem ao redor do computador
	
	abordagem externa ao computador
	 
	abordagem com o computador
	
	abordagem através do computador
	
	abordagem interna ao computador
	Respondido em 22/03/2021 22:40:52
	
		
	Gabarito
Comentado
	
	
	 
		5
        Questão
	
	
	Analise as seguintes afirmações relacionadas a Auditoria de Sistemas.
I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área.
II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir os padrões profi ssionais aplicáveis.
III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil.
IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemas e Controles, seus membros devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente.
 
Indique a opção que contenha todas as afirmações verdadeiras.
		
	
	II e IV
	
	I e III
	
	II e III
	
	I e II
	 
	III e IV
	Respondido em 22/03/2021 22:45:51
	
	
	 
		6
        Questão
	
	
	As  opções abaixo  citam  recursos passíveis de serem auditados pela Auditoria de Sistemas. Uma delas não esta correta. Identifique-a.
		
	 
	Software, hardware e visitantes.
	
	Móveis, escadas entre andares e colaboradores terceirizados.
	
	Colaboradores, software e existência de plano de contingência
	
	Pessoas, hardware e suprimentos.
	 
	Equipamentos eletrônicos da empresa, celulares e móveis.
	Respondido em 22/03/2021 22:46:36
	
Explicação:
Celulares pertencem às pessoas e não são recursos passíveis de serem auditados. Podem quando muito serem confiscados temporariamente na entrada das dependencias da empresa, e serem devolvidos na saida das pessoas.
	
	
	 
		7
        Questão
	
	
	A auditoria de um sistema pode ser realizda tanto por auditores internos quanto por auditores independentes, externos.
Observe as sentenças sobre o tipo de auditoria:
I  -  O trabalho do auditor de sistemas pode ser realizado por um analista de sistemas senior que não esteja alocado em nenhum projeto no momento.
II  - A auditoria de sistemas realizada por auditores externos tem mais valor perante os clientes externos.
III - A auditoria de sistemas interna não precisa necessariamente comprar uma metodologia de trabalho. Pode desenvolve-la em casa.
Assinale as sentenças verdadeiras (V) e as sentenças falsas (F).
		
	 
	F, F, V
	
	F, V, V
	
	V, F, F
	
	V, V, F
	
	F, V, F
	Respondido em 22/03/2021 22:48:24
	
Explicação:
I  -  O trabalho do auditor de sistemas pode ser realizado por um analista de sistemas senior que não esteja alocado em nenhum projeto no momento.=> FALSA. O trabalho de um auditor deve ser realizado por um auditor, tendo  sua autonomia e posicionamento estratégico no organograma da empresa.
II  - A auditoria de sistemas realizada por auditores externos tem mais valor perante os clientes externos.=> FALSA. Os clientes externos não necessitam saber das auditorias de sistemas. Somente os gestores da empresa. Os clientes querem saber dos resultados das auditorias financeiras. (Contabil)
III - A auditoria de sistemas interna não precisa necessariamente comprar uma metodologia de trabalho. Pode desenvolve-la em casa.=> VERDADEIRA.
	
	
	 
		8
        Questão
	
	
	Considerando os conceitos de avaliação  e validação  que envolvem as atividades de Auditoria de Sistemas, classifique  as seguintes atividades como sendo uma atividade de avaliação (A) ou uma atividade de validação (V):
I  - Dentre os 100 testes realizados, o sistema apresentou 5 registros com erro.
II - O sistema Folha de Pagamento carece de rotina de validação de digito de controle na matricula dos colaboradores.
III - O sistema de Contas-correntes não apresenta estabilidade no saldo final do cliente em relação aos centavos.
		
	
	A, V, V 
	 
	V, A, A
	
	A, A, V
	
	V, V, V
	
	V, A, V
	Respondido em 22/03/2021 22:48:54
	
Explicação:
I  - Dentre os 100 testes realizados, o sistema apresentou 5 registros com erro. => é uma atividade de validação, um resumo dos testes realizados
II - O sistema Folha de Pagamento carece de rotina de validação de digito de controle na matricula dos colaboradores.=> reflete uma opinião do auditor ao constatar que o refereido sistema não possui tal rotina, o que significa uma fragilidade do sistema
III - O sistema de Contas-correntes não apresenta estabilidade no saldo final do cliente em relação aos centavos.=> reflete um julgamento do auditor ao constatar resultados finais dos testes realizados
	
	
		4.
		Uma das funções clássicas de uma organização, segundo Antonio Gil, é o controle. Ao identificar que o cronograma deverá estourar, ou seja, não será cumprido, o responsável deverá executar:
	
	
	
	alterações de cronograma
	
	
	replanejamento
	
	
	ações corretivas
	
	
	respostas de risco
	
	
	retrabalho
	
	
	
	 
		
	
		5.
		A preocupação em sobreviver frente um mercado cada vez mais competitivo e a busca pela melhoria contínua motivou empresas a investirem na auditoria de sistema da informação, ou seja, uma solução encontrada por gestores para problemas em potencial, como no caso da segurança dos dados manipulados através dos computadores na organização.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - Podemos inferir que a Auditoria de Sistemas é uma atividade que engloba exame de sistemas, operações, processos e responsabilidades gerenciais de uma empresa
PORQUE
II - seu objetivo é a segurança de informações e recursos além de observar a conformidade com os padrões atuais.
A respeitodessas asserções, assinale a opção correta.
	
	
	
	A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
	
	As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
	
	
	As asserções I e II são proposições falsas.
	
	
	As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	
	
	A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
Explicação:
=> também são objetivos da auditoria de sistemas garantir a segurança dos serviços e acesso. A conformidade deve ser verificada em relação aos objetivos da empresa, politicas administrativas, orçamentos, regras, normas e padrões.
Aula 2
		2.
		Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles:
	
	
	
	definidos pelo usuário como sendo os mais complexos
	
	
	prioritários para serem refeitos
	
	
	que não devem ser descontinuados por terem caducado
	
	
	essenciais para manter a continuidade do serviço
	
	
	sujeitos a aprovação da crítica do cliente
		3.
		A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificar-se de que ........ De acordo com a afirmativa assinale a alternativa coreta:
	
	
	
	o sistema de recuperação de backups é lento e não satisfaz plenamente ao desejado pela organização
	
	
	existe a possibilidade de se desenvolver planos que contemplem todas as necessidades de contingências
	
	
	esses planos são testados periodicamente.
	
	
	a equipe de contingência está preparada para realizar um treinamento no momento de ocorrência de um desastre
	
	
	o sistema de qualidade executa suas tarefas periodicamente
		5.
		As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema:
	
	
	
	custo do sistema, nível de documentação existente e complexidade dos cálculos
	
	
	custo do sistema, número de requisitos funcionais e visibilidade do cliente
	
	
	capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais
	
	
	visibilidade do cliente, volume médio diário de transações processadas e idade do sistema
	
	
	volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas
		
	Gabarito
Comentado
	
	
	
		6.
		Identifique a que planos as ações abaixo pertencem:
E => plano de emergência .  B=> plano de back-up,  R=> plano de recuperação
1 - Acionar o corpo de bombeiros ao verificar um incêncio em andamento
2 - Fazer up-grade de servidor
3 - Fazer manutenção da rede eletrica do CPD
4 - Atualizar o anti-virus
 
	
	
	
	B, B, E, E
	
	
	B, R, B, E
	
	
	E, R, B, B
	
	
	E, B, B, R
	
	
	B, E, R, B
	
Explicação:
Uma boa hora de trocarmos os equipamentos e fazermos algum up-grade é quando saimos da situação de emergencia e voltamos ao normal.
O plano de back-up prove recursos para estarem disponíveis no plano de emergência e executam medidas para minimizarem a ocorrência de riscos.
As ações do plano de emergência são executadas na eventual ocorrência de uma emergência.
		8.
		Ameaça é um evento que potencialmente remove, desabilita ou destrói um recurso. Para um call center, identifique qual das ameaças elencadas é FALSA.
	
	
	
	Greve de transportes
	
	
	Ataque de hackers
	
	
	Sistema sem controle de acesso ao banco de dados dos clientes
	
	
	Sistema com erro de identificação de clientes
	
	
	Pessoa fazendo-se passar por outra
	
Explicação:
Sistema com erro não é uma ameaça. É um erro. Não fazemos contingência para erros embora identifiquemos os erros em auditorias. Devemos partir do principio que as pessoas fazem seus trabalhos conforme o esperado (sistemas bem testados)
Se houver greve de transportes os funcionários não conseguirão chegar ao trabalho, gerando uma parada de serviço.
		2.
		O plano de contingência de uma área de negócio é desenvolvido
	
	
	
	pela própria  área  de negócios
	
	
	pelo gestor do negócio
	
	
	pelos auditores de sistema
	
	
	pelo comite de sistemas da empresa
	
	
	pelo responsável pelo CPD (Centro de Processamento de Dados)
	
Explicação:
Os planos de negócio das diversas áreas de negócio são desenvolvidos pela própria área de negócios, podendo ter ajuda do pessola de TI. Não é desenvolvido por uma pessoa apenas pois o enfoque deve ser para toda a área.
		1
        Questão
	
	
	Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a opção que não se constitui uma ameaça;
		
	 
	Ameça Concretizada;
	
	Violação de integridade;
	
	Indisponibilidade de serviços de informatica;
	
	Troca de senha por invasão de hacker;
	
	Vazamento de Informação;
	Respondido em 22/03/2021 22:59:23
	
	
	 
		2
        Questão
	
	
	Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de:
		
	
	vulnerabilidade
	
	impacto
	
	risco
	 
	ameaça
	
	ataque
	Respondido em 22/03/2021 23:00:08
	
Explicação:
Por definição, ameaça é um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso.
	
	
	 
		3
        Questão
	
	
	Assinale a opção verdadeira:
Respostas de risco são
		
	
	relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado
	 
	ações a serem seguidas na eventualidade da ocorrência de uma ameaça
	
	atividades que devem ser evitadas para não gerar riscos
	
	ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores
	
	ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria
	Respondido em 22/03/2021 23:01:38
	
		
	Gabarito
Comentado
	
	
	 
		4
        Questão
	
	
	Segundo Claudia Dias, as ameças podem ser classificadas como: _____________ e _______________. Marque a opção que completa corretamente a afirmativa:
		
	 
	ACIDENTAIS E DELIBERADAS
	
	DELIBERADAS E PASSIVAS
	
	ACIDENTAIS E PASSIVAS
	
	ACIDENTAIS E ATIVAS
	
	DELIBERADAS E ATIVAS
	Respondido em 22/03/2021 23:02:03
	
		
	Gabarito
Comentado
	
	
	 
		5
        Questão
	
	
	Sabendo que um dos objetivos do plano de contingência é manter a continuidade dos serviços, indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação a serem sistemas/processos críticos em uma agência bancária:
I   - Cadastro clientes novos.
II  - Pagamento de fatura de cartão de crédito com cheque.
III - Saque no caixa em notas de R$ 20,00.
		
	
	F, V, F
	
	F, V, V
	
	V, F, V
	 
	F, F, V
	
	V, V, F
	Respondido em 22/03/2021 23:02:53
	
Explicação:
I   - Cadastro clientes novos. => FALSA. O serviço pode ser feito manualmente e, posteriormente, inserido no sistema.
II  - Pagamento de fatura de cartão de crédito com cheque.=> FALSA. O serviço pode ser feito manualmente e, posteriormente, inserido no sistema.
III - Saque no caixa em notas de R$50,00.=> VERDADEIRA. É um sistema crítico pois necessariamente deve ser verificado o saldo do cliente para permitir o saque.
	
	
	 
		6
        Questão
	
	
	Os possíveis riscos de um sistema, negócio ou área devem ser levantados por uma equipe multidisciplinar, envolvendo o objeto da contingência. Identifique qual das afirmativas é FALSA em relação ao que se é discutido nessa reunião:
		
	
	a frequencia com que tais riscos podem ocorrer
	 
	os estragos materiais, financeiros ou morais que poderão surgir caso o risco ocorra
	
	os custos envolvidos na confecção do plano de contingência
	 
	os custos dos salários/hora das pessoas envolvidas na reunião
	
	a disponibilidadede recursos para elaboração do plano de emergência
	Respondido em 22/03/2021 23:04:36
	
Explicação:
Todos os itens devem ser considerados exceto o salario das pessoas envolvidas na reunião (este custo é da área de segurança).
	
	
	 
		7
        Questão
	
	
	Em relação à matriz de risco para confecção de um plano de contingência para um CPD, podemos afirmar que
		
	
	ela deve ser atualizada a cada descoberta de um novo virus
	
	para sua elaboração só consideramos os riscos identificados pelo cliente
	 
	consideramos para sua elaboração as variáveis probabilidade de ocorrencia e impacto
	
	ela determinará a frequencia com que os anti-virus deverão ser atualizados
	
	os critérios de seleção são escolhidos pelo gerente da área de segurança
	Respondido em 22/03/2021 23:06:53
	
	
	 
		8
        Questão
	
	
	Um plano de contingência pode ser definido como:
		
	 
	Uma sequencia de ações pre-definidas, a serem executadas na eventualidae da ocorrência de uma ameaça
	
	A identificação de uma serie de ameaças e suas ponderações de probabilidade de ocorrência e provavel impacto gerado
	
	A solução de emergência para eventos não identificados previamente
	
	Uma sequencia de ações para geração de arquivos cópia (back-ups) dos principais sistemas da empresa
	
	A manutenção de ambiente preparado para funcionar como back-up na eventualidade de uma parada do CPD da empresa
	Respondido em 22/03/2021 23:07:49
	
	
		
	AUDITORIA DE SISTEMAS
	
		Lupa
	 
	Calc.
	
	
	 
	 
	 
	 
	
	CCT0776_A2_201804181511_V2
	
	
	
	
		Aluno: GLEISSON CRIS GOMES PEIXOTO
	Matr.: 201804181511
	Disc.: AUDITORIA DE SIST. 
	2021.1 EAD (GT) / EX
		Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	
	 
		
	
		1.
		Analise as seguintes afirmações relacionadas a Auditoria de Sistemas.
I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de dados, por meio de autorização e registro de responsabilidade.
II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho, programação, testes e documentação de sistemas.
III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a responsabilidade dos colaboradores auditados.
IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em tecnologia da informação deve ser realizado ou planejado para a equipe de auditores do quadro de colaboradores da organização.
 
Indique a opção que contenha todas as afirmações verdadeiras.
	
	
	
	II e III
	
	
	II e IV
	
	
	I e III
	
	
	I e II
	
	
	III e IV
	
	
	
	 
		
	
		2.
		Sabendo que um plano de contingência é uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço, identifique as sentenças abaixo como sendo verdadeiras (V) ou falsas (F) em relação ao plano de emergência.
I   - Guardar cópia de arquivo de transações por um período de 10 dias úteis.
II  - Declarar que o prédio onde situa-se a empresa  encontra-se em situação de emergência.
III - Fazer manutenção na rede elétrica do CPD.
	
	
	
	V, F, F
	
	
	F, V, F
	
	
	V, V, F
	
	
	F, V, V
	
	
	V, F, V
	
Explicação:
I   - Guardar cópia de arquivo de transações por um período de 10 dias úteis. => Falsa. trata-se de uma atividade do plano de back-up
II  - Declarar que o prédio onde situa-se a empresa  encontra-se em situação de emergência. => verdadeira. É uma atividade prevista no plano de emergência
III - Fazer manutenção na rede elétrica do CPD.=> Falsa. trata-se de uma atividade do plano de back-up.
	
	
	
	 
		
	
		3.
		Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças:
I    -  desligar a força da sala do CPD
II   -  instalar sprinklers e sensores de calor na sala do CPD
III  - telefonar para o Corpo de Bombeiros
	
	
	
	somente a III
	
	
	I, II e III
	
	
	I e II
	
	
	Somente a II
	
	
	I e III
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		4.
		Um plano de contingência pode ser definido como:
	
	
	
	A solução de emergência para eventos não identificados previamente
	
	
	A identificação de uma serie de ameaças e suas ponderações de probabilidade de ocorrência e provavel impacto gerado
	
	
	Uma sequencia de ações para geração de arquivos cópia (back-ups) dos principais sistemas da empresa
	
	
	A manutenção de ambiente preparado para funcionar como back-up na eventualidade de uma parada do CPD da empresa
	
	
	Uma sequencia de ações pre-definidas, a serem executadas na eventualidae da ocorrência de uma ameaça
	
	
	
	 
		
	
		5.
		Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para:
	
	
	
	os diretores e gerentes da empresa
	
	
	todas as pessoas da empresa
	
	
	as pessoas que tem seus nomes mencionados no plano
	
	
	só para a diretoria da empresa
	
	
	funcionários e clientes da empresa
	
Explicação:
Não divulgamos nossas estratégias de segurança para as pessoas, exceto se elas tem algo a ver com  as estratégias. Como  um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo apenas para as pessoas que tem algo a ver com o plano de emergência. Essas pessoas tem seus nomes no plano de emergência.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		6.
		Assinale a opção verdadeira:
Respostas de risco são
	
	
	
	atividades que devem ser evitadas para não gerar riscos
	
	
	ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores
	
	
	ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria
	
	
	ações a serem seguidas na eventualidade da ocorrência de uma ameaça
	
	
	relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		7.
		Segundo Claudia Dias, as ameças podem ser classificadas como: _____________ e _______________. Marque a opção que completa corretamente a afirmativa:
	
	
	
	ACIDENTAIS E ATIVAS
	
	
	ACIDENTAIS E DELIBERADAS
	
	
	DELIBERADAS E ATIVAS
	
	
	DELIBERADAS E PASSIVAS
	
	
	ACIDENTAIS E PASSIVAS
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		8.
		Sabendo que um dos objetivos do plano de contingência é manter a continuidade dos serviços, indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação a serem sistemas/processos críticos em uma agência bancária:
I   - Cadastro clientes novos.
II  - Pagamento de fatura de cartão de crédito com cheque.
III - Saque no caixa em notas de R$ 20,00.
	
	
	
	V, V, F
	
	
	F, V, F
	
	
	V, F, V
	
	
	F, F, V
	
	
	F, V, V
	
Explicação:
I   - Cadastro clientes novos. => FALSA. O serviço pode ser feito manualmente e, posteriormente, inserido no sistema.
II  - Pagamento de fatura de cartão de crédito com cheque.=> FALSA. O serviço pode ser feito manualmente e, posteriormente, inserido no sistema.
III - Saque no caixa em notas de R$50,00.=> VERDADEIRA. É um sistema crítico pois necessariamente deve ser verificado o saldo do cliente para permitir o saque.
		3.
		Para o cálculo do risco de um sistema em desenvolvimento podemos considerar os seguintes itens, EXCETO
	
	
	
	O valor diário das transações processadas pelo sistema, em reais.
	
	
	O númerode clientes afetados pelo sistema.
	
	
	O número de unidades operacionais que o sistema servirá.
	
	
	O impacto em outros sistemas.
	
	
	A linguagem em que o sistema está sendo desenvolvido.
	
Explicação:
A linguagem em que o sistema será ou esta sendo desenvolvido não importa em termos de risco mas sim o conhecimento, a capacitação da equipe naquela linguagem de programação.
		4.
		A auditoria é uma atividade realizada em fases. Uma das fases é conhecida como FOLLOW-UP. Esta fase trata efetivamente do acompanhamneto de falahas. Marque a afirmativa correta referente ao acompanhamento desta fase:
	
	
	
	todo o acompanhamento deve ser documentado e será aproveitado para auditorias futuras em outro novo sistema ou cpd
	
	
	uma auditoria realizada em um sistema não influência na próxima auditoria que o memso venha passar. Inclusive o cpd nunca é auditado.
	
	
	todo o acompanhamento não necessita ser documentado e não servirá de subsídio para auditorias futuras do mesmo sistema ou cpd
	
	
	todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou cpd
	
	
	o acompanhamento é opcional não tem nenhuma relevância para a próxima auditoria independente de ser ou não o mesmo sistema ou cpd
		7.
		Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é conhecido como:
	
	
	
	documentação
	
	
	ponto de controle
	
	
	ponto de auditoria
	
	
	ponto de partida
	
	
	ponto de integração
	
	 
		
	
		5.
		Dentre as opções abaixo aponte aquelas que correspondem a uma fase de auditoria de sistemas;
	
	
	          
	Planejamento;
	
	          
	Emissão e Divulgação de Relatórios;
	
	          
	Levantamento de Requesitos;
	
	          
	Follow-up;
	
	          
	Execução;
		1.
		Dentre as opções abaixo aponte aquelas que correspondem a uma fase de auditoria de sistemas;
	
	
	          
	Execução;
	
	          
	Levantamento de Requesitos;
	
	          
	Emissão e Divulgação de Relatórios;
	
	          
	Planejamento;
	
	          
	Follow-up;
	
	
	
	 
		
	
		2.
		Você esta auditando um Sistema de Folha de Pagamento e fará uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas, da área de Recursos Humanos e da área de Contabilidade a fim de informar que o sistema foi selecionado para ser auditado. Esta reunião é feita na fase do trabalho de auditoria chamada de:
	
	
	
	execução
	
	
	controle
	
	
	priorização de sistemas a serem auditados
	
	
	planejamento
	
	
	levantamento
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		3.
		As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica?
	
	
	
	Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor.
	
	
	Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados.
	
	
	Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor
	
	
	Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
	
	
	Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos)
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		4.
		As fases de uma Auditoria de Sistemas são:
	
	
	
	Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up
	
	
	Projeto; Execução; Emissão e divulgação de releases; Acompanhamento
	
	
	Projeto; Execução; Emissão e divulgação de requisitos; Follow-up
	
	
	Planejamento; Exemplificação; Transferência de relatórios; Backup
	
	
	Planejamento; Exemplificação; Transmissão de relatórios; Backup
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		5.
		AS fases de uma auditoria são:
	
	
	
	Planejamento ,Execução,Emissão e divulgação de relatórios e Arquivamento.
	
	
	Execução,Follow-up e emissão e de relatórios.
	
	
	Planejamento,Execução,Follow-up e Arquivamento
	
	
	Planejamento ,Execução,Emissão e divulgação de relatórios e Follow-up
	
	
	Planejamento ,Execução e Arquivamento.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		6.
		Na metodologia estudada, ponto de controle é:
	
	
	
	Assinatuda do auditor quando começa o trabalho no dia.
 
	
	
	Assinatura do auditor quando começa e quando termina o trabalho no dia.
 
	
	
	Uma fraqueza encontrada no sistema auditado.
	
	
	Uma unidade a ser auditada.
 
	
	
	Um controle de presença do auditor.
 
	
Explicação:
Ponto de controle é uma unidade a ser auditada. Unidade de controle interno, de controle de processo ou de controle de negócio.
	
	
	
	 
		
	
		7.
		Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria:
	
	
	
	integridade de dados
	
	
	guarda de ativos
	
	
	processo de desenvolvimento
	
	
	segurança do sistema
	
	
	conformidade
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		8.
		Na metodologia estudada, ponto de auditoria significa:
	
	
	
	Assinatuda do auditor quando começa o trabalho no dia.
 
	
	
	Um controle de presença do auditor.
 
	
	
	Uma unidade a ser auditada.
 
	
	
	Uma fraqueza encontrada no sistema auditado.
	
	
	Assinatura do auditor quando começa e quando termina o trabalho no dia.
 
	
Explicação:
Se encontrarmos uma fraqueza ao analisarmos um controle interno, um controle de processo ou um controle de negócios, essa fraqueza é chamada de ponto de auditoria e deve ser imediatamente reportada à area auditada (primeiro verbalmente e em seguida, por escrito).
		1.
		A nota do relatório de auditoria será dada conforme:
	
	
	
	a completude da documentação do sistema auditado.
	
	
	o número de testes necessários para eliminar uma falha.
	
	
	a participação dos auditados em fornecer as evidências solicitadas.
	
	
	as falhas reportadas e não resolvidas.
	
	
	as falhas encontradas no sistema /área auditada.
	
Explicação:
A nota do relatório é dada conforme as falhas reportadas e não acertadas  até a data de emissão do relatório de auditoria.
	
	
	
	 
		
	
		2.
		Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria:
	
	
	
	integridade de dados
	
	
	legibilidade operacional
	
	
	processo de desenvolvimento
	
	
	segurança do sistema
	
	
	conformidade
	
Explicação:
No planejamento de uma auditoria devemos verificar se existem controle internos no sistema auditado. Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria de segurança do sistema.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		3.
		Marque a alternativa que preencha corretamente as lacunas:
A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação nela. Isto fica por conta dos ________________, que representam o como ela será implementada.
 
	
	
	
	estrutura organizacional / grau de maturidade
	
	
	classificação da informação / programas
	
	
	política de segurança / programas
	
	
	política de segurança / procedimentos
	
	
	política de segurança / acionistas majoritários
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		4.
		Ao fazermos a analise de risco de um sistema para determinar seu escore de risco e, desta forma, prioriza-lo para ser auditado, devemos considerar:
	
	
	
	O número de periféricos necessários, a linguagem de desenvolvimento e o local físico do CPD
	
	
	O custo do sistema, o local físico do CPD e o número de arquivos do sistema
	
	
	a linguagem de desenvolvimento, o custo de treinamento dos desenvolvedores e o número de interface com outros sistemas
	
	
	O número de arquivos do sistema, o nivel tecnico dos operadores dosistema e seu volume médio diário de transações
	
	
	seu volume médio diário de transações, seu custo de desenvolvimento e o impacto em outros sistemas
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		5.
		Identifique os itens abaixo se são considerados controles internos de um sistema. Use V para verdadeiro e F para falso.
I  -  Assinatura digital
II  - Suporte de rede.
III - Comparação de dados no sistema.
	
	
	
	F, V, F
	
	
	F, V, V
	
	
	V, F, F
	
	
	V, F, V
	
	
	V, V, F
	
Explicação:
I  -  Assinatura digital => Verdadeiro . É um CI de segurança de sistema
II  - Suporte de rede.=> Falso. Não é um CI mas sim uma função.
III - Comparação de dados no sistema.=> Verdadeiro . É um CI do grupo que testa integração de dados.
	
	
	
	 
		
	
		6.
		Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo:
	
	
	
	segurança do sistema
	
	
	política empresarial
	
	
	aceite do usuário
	
	
	suprimento sensível
	
	
	ordem de serviço
	
Explicação:
Controles internos de processo identificam  se os processos existem e se estão coerentes com os padrões da empresa. Conforme a  lista que estudamos , somente a opção ACEITE DE USUÁRIO representa um controle de processo.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		7.
		Controle de processos significa identificar se os processos existem e se estão coerentes com os padrões da empresa.
Identifique os itens abaixo se são considerados controles de processo de um sistema. Use V para verdadeiro e F para falso.
I  -  Seleção de parceiros/fornecedores
II  - Relatórios de aceitação de teste
III - Compra de equipamento
	
	
	
	F, V, V
	
	
	F, V, F
	
	
	V, F, V
	
	
	V, V, F
	
	
	V, F, F
	
Explicação:
I  -  Seleção de parceiros/fornecedores => Verdadeiro . Não devemos contratar parceiros nem fornecedores sem uma seleção prévia, mantendo pelo menos 3 deles elegíveis para seleção.
II  - Relatórios de aceitação de teste => Verdadeiro. Diz quais testes foram executados, em que data, qual a participação do cliente e demais dados pertinentes. Para um sistema ser aceito (implantado) devemos ter este relatório e mais o documento chamado Aceite do Cliente assinados pelo cliente.
III - Compra de equipamento => Falso . O controle de processo não é a compra em si mas sim a requisição de aprovação e a seleção de fornecedores do equipamento.
	
	
	
	 
		
	
		8.
		Sobre o trabalho de auditoria, podemos afirmar que:
 
I) O auditor deve guardar as evidências relacionadas com as não conformidades encontradas durante o trabalho de campo;
II) Existem determinados tipos de não conformidades que o auditor deve ajudar, orientando sobre a melhor solução que deve ser dada para o cenário encontrado;
III) O auditado pode discordar de uma não conformidade, informando ao auditor por escrito e justificando a sua discordância.
· Agora assinale a alternativa correta:
	
	
	
	Somente II e III são proposições verdadeiras.
 
	
	
	Somente I e II são proposições verdadeiras.
 
	
	
	Somente I é proposição verdadeira.
	
	
	I, II e III são proposições verdadeiras.
	
	
	Somente I e III são proposições verdadeiras.
Aula 4
	 
		1.
		Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a seguir:
I   - Nos softwares utilitários as aplicações não podem ser feitas online já que eles gravam diversos arquivos para serem analisados em separado.
II  - Uma vantagem dos  softwares utilitários é que são fáceis de serem aprendidos.
III - Os softwares utilitários são desenvolvidos para a Auditoria conforme sua específica utilização.
 
	
	
	
	V, F, V
	
	
	V, F, F
	
	
	F, V, F
	
	
	F, V, V
	
	
	V, V, F
	
Explicação:
I   - Nos softwares utilitários as aplicações não podem ser feitas online já que eles gravam diversos arquivos para serem analisados em separado.=> Falso. Essa característica é dos softwares generalistas.
II  - Uma vantagem dos  softwares utilitários é que são fáceis de serem aprendidos.=> Verdadeiro
III - Os softwares utilitários são desenvolvidos para a Auditoria conforme sua específica utilização.=> Falso. Essa característica é dos softwares especialistas.
	
	
	
	 
		
	
		2.
		Considerando as opções abaixo identifique a correta para a seguinte questão:Podemos realizar uma auditoria de sistemas naqueles que estiverem em :
	
	
	
	desenvolvimento ou em operação.
	
	
	desenvolvimento ou aquisição de hardware
	
	
	aquisição de hardware ou de software.
	
	
	desenvolvimento ou aquisição de software
	
	
	documentação ou em testes.
	
	
	
	 
		
	
		3.
		Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando:
	
	
	
	simulação paralela
	
	
	entrevista
	
	
	questionário
	
	
	rastreamento
	
	
	programa de computador
	
	
	
	 
		
	
		4.
		Na visita in loco o auditor poderá obter dados através de
Marque a opção INCORRETA:
	
	
	
	mensagem de voz
	
	
	observações
	
	
	teste
	
	
	informação solicitada
	
	
	documentação
	
Explicação:
Receber mensagem  pode ser recebida em qualquer local, não necessitando ser em visitas in loco.
	
	
	
	 
		
	
		5.
		Quando a auditorias de sistemas ocorre em sistremas em desenvolvimento, a atenção dos auditores é focada em qual etapa do desenvolvimento?
	
	
	
	Naquilo que foi planejado em termos de testes internos, processos e controles de negócios a serem desenvolvidos;
	
	
	Naquilo que foi planejado em termos de controles internos, processos custos de negócios a serem implementados nos sistemas.
	
	
	Naquilo que foi planejado em termos de controles internos, orçamentos de hardware para os sistemas.
	
	
	Naquilo que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados nos sistemas.
	
	
	Nos controles internos, processos e controles de negócios a serem implementados nos sistemas.
	
	
	
	 
		
	
		6.
		Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a seguir:
I   - Os softwares especialistas normalmente são comprados prontos.
II  - Os softwares utilitários tem a vantagem de processar vários arquivos ao mesmo tempo.
III - Os softwares generalistas não proveem cálculos específicos para sistemas específicos.
 
	
	
	
	F, V, F
	
	
	F, F, V
	
	
	V, V, F
	
	
	V, F, V
	
	
	F, V, V
	
Explicação:
I   - Os softwares especialistas normalmente são comprados prontos. => Falso. os softwares especialistas são desenvolvidos conforme necessidades dos auditors e normalmente não são encontrados prontos para venda.
II  - Os softwares utilitários tem a vantagem de processar vários arquivos ao mesmo tempo.=> Falso. Essa característica é dos softwares generalistas.
III - Os softwares generalistas não proveem cálculos específicos para sistemas específicos.=> Verdadeiro. 
	
	
	
	 
		
	
		7.
		Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares generalistas, entre outras, podemos citar:
	
	
	
	testes do digito verificador do cliente
	
	
	inclusão de trailler label
	
	
	controle de lote
	
	
	extração de dados de amostra
	
	
	saldo devedor do sistema de financiamento de casa própria
	
Explicação:
Os softwares generalistas não permitem programação específica. A extração de registros para compor uma amostra é uma função pronta, fornecemos apenas parametros. É um exemplo de software generalista.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		8.
		Indique quais as formas verdadeiras (V) ou falsas(F) de testarmos programas em produção durante uma auditoria.
I   - Auditoria constrói um programa e o processa com a massa de dados real.
II  - Auditoria prepara a massa de teste e a processa com programas da Produção.
III - Auditoria constrói programas e massa de dados para testes de rotinas sensíveis.
IV - Auditoria prepara massa de dados e processa com programa elaborado pela Auditoria a fim de verificar a integridade dos dados.
	
	
	
	V, F, F, F
	
	
	F, V, F, F
	
	
	F, V, F, V
	
	
	V, V, F, F
	
	
	V, F, V, F
	
Explicação:
I   - Auditoria constrói um programa e o processa com a massa de dados real. => verdadeira
II  - Auditoria prepara a massa de teste e a processa com programas da Produção. => verdadeira
III - Auditoria constrói programas e massa de dados para testes de rotinas sensíveis.=> falsa. Com esta opção a Auditoria não esta testando sistemas em produção mas sim seus próprios programas.
IV - Auditoria prepara massa de dados e processa com programa elaborado pela Auditoria a fim de verificar a integridade dos dados.=> falsa. Com esta opção a Auditoria não esta testando sistemas em produção mas sim seus próprios programas.
		
	
		1.
O Senhor Alexandre possui uma Corretora de Seguros e resolveu investir em tecnologia da informação para aumentar o diferencial competitivo de sua empresa. Para viabilizar a sua estratégia ele contratou consultores com experiência em inovação na área de seguros. Os consultores incluíram no projeto a utilização de um "Data Center", deixando a própria Corretora como responsável pela execução do backup das operações diárias de serviço.
· Considerando o cenário apresentado, o tipo de software que melhor se aplica a demanda da Corretora para a realização dos backups é:
	
	
	
	
	Software Generalista.
	
	
	Software Especialista.
	
	
	Software Utilitário.
	
	
	Software ERP.
	
	
	Software CRM.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		2.
		A Auditoria de Sistemas é uma atividade orientada para a avaliação dos procedimentos de controle e segurança da informação, recursos, serviços e acessos, bem como, a conformidade com objetivos da empresa, políticas, orçamentos, normas ou padrões. Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação.
· Para executar o seu trabalho, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação, que são:
	
	
	
	Softwares generalistas, Softwares especializados e Softwares utilitários.
	
	
	Softwares de instalação, Softwares de especialização e Softwares de proposição.
	
	
	Softwares de instalação, Softwares de observação e Softwares de correção.
	
	
	Softwares de instalação, Softwares de correção e Softwares de observação.
	
	
	Softwares de instalação, Softwares de backup e Softwares de restore.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		3.
		O Senhor Albino é um auditor com experiência em realizar trabalhos em grandes empresas. Em uma das últimas auditorias que participou, ele encontrou um determinado sistema com particularidades que impossibilitavam a realização de testes com as ferramentas disponíveis para o trabalho. Logo ele percebeu que seria necessário o desenvolvimento de um software para atender esta demanda.
· Pelas características do trabalho, o Senhor Albino providenciou:
	
	
	
	Um software ERP.
	
	
	Um software B2B.
	
	
	Um software especialista.
	
	
	Um software utilitário.
	
	
	Um software generalista.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		4.
		A técnica de entrevista pode ser:
Marque a opção INCORRETA.
 
	
	
	
	por correio
	
	
	estruturada
	
	
	pessoal
	
	
	através de video conferência
	
	
	por telefone
	
Explicação:
A entrevista não pode ser feita por correio. Neste caso estaríamos usando a tecnica de questionário.
	
	
	
	 
		
	
		5.
		Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é chamado de ______________________________. Estes, são porgramas desenvolvidos pelos auditores ou sob encomenda. Sua finalidade é testar particularidades de sistemas auditados que possuem características comuns. Marque a opção que completa corretamente a afirmativa:
	
	
	
	SOFTWARE PRÓPRIO E GENERALISTA
	
	
	SOFTWARE ESPECIALIZADO EM AUDITORIA
	
	
	SOFTWARE ESPECIALISTA PARA CONTROLE E AUTOMAÇÃO
	
	
	SOFTWARE GENERALISTA
	
	
	SOFTWARE ESPECIALISTA PARA CONSUMO PÚBLICO
		
	Gabarito
Comentado
	
	
	
	
	 
		6.
		No processo de auditoria de sistemas as ferramentas são instrumentos que o auditor possui para ajudá-lo a realizar o trabalho que foi planejado. Apesar de existir no mercado uma oferta significativa dessas ferramentas, a pouca propaganda faz com que muitos desses profissionais tenham dificuldade para fazer uma boa escolha.
· Associe a cada tipo de software a vantagem ou desvantagem a ele associada:
1. Generalista.
2. Especialista.
3. Utilitário.
[     ] Pode processar vários arquivos ao mesmo tempo.
[     ] Não provê cálculos específicos para sistemas específicos.
[     ] Inclusão de testes de controle internos específicos, tais como dígito verificador.
[     ] Existe custo de desenvolvimento de programa.
[     ] São fáceis de serem utilizados.
Agora assinale a alternativa correta:
	
	
	
	1,1,3,3,2.
	
	
	1,1,2,2,3.
	
	
	2,2,1,1,3.
	
	
	1,2,2,1,3.
	
	
	1,1,2,3,2.
		
	
		6.
		Programa De Computador Para Auditoria são programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (microcomputadores).Qual tem abaixo NÃO é considerado como uma função inclusa em programas de Auditoria?
	
	
	
	Executa somente fuções padrão
	
	
	Correlação de arquivos
	
	
	Tabulação de campos
	
	
	Estatística dos campos dos arquivos
	
	
	Contagem de campos/registros
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		7.
		Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta:
	
	
	
	questionário para auditoria
	
	
	simulação paralela
	
	
	mapeamento
	
	
	programa de computador para auditoria
	
	
	teste integrado
	
Explicação:
Este algoritmo de calculo de hash total é programado em programas do tipo programa de computador para auditoria, que é a única opção de programa na questão.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		8.
		Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista __________ independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation)
	
	
	
	Snort
	
	
	Pentana
	
	
	Cobit
	
	
	Nmap
	
	
	Nessus
	
Explicação:
COBIT (Control Objectives for Information and Related Technologies) é framework de boas práticas criado pela ISACA (Information Systems Audit and Control Association) para a governança de tecnologia de informação (TI).
 O  Information Systems Audit and Control Foundation® (ISACF®  pertence ao ISACA   
		
	Gabarito
Comentado
	
	
		1.
		Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta:
(     ) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & Analysis).
(     ) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem características pouco comuns, como, por exemplo, sistemas de leasing e sistemas de câmbio.
(     ) Softwares utilitários são programas utilitários para funções básicas deprocessamento, como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo.
(     ) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle de forma remota, através de um programa instalado no seu computador.
(     ) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam formulários especiais para coleta de dados.
· Agora assinale a alternativa correta:
	
	
	
	V,V,V,V,F
	
	
	V,V,V,F,F
	
	
	F,F,F,F,F
	
	
	V,V,V,V,V
 
	
	
	F,F,F,V,V
Aula 5
	
	 
		
	
		4.
		A técnica de computação que pode ser utilizada por auditores para verificar rotinas não utilizadas  no sistema sob auditoria é conhecida como
 
	
	
	
	Simulação paralela
	
	
	Rastreamento
	
	
	Análise de log 
	
	
	Mapping
	
	
	Test deck
	
Explicação:
A técnica chama-se mapping. Serve para testar também a quantidade de vezes que cada rotina foi utilizada quando submetida a processamento.
	
		6.
		 O Teste Substantivo é empregado pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para a sua opinião sobre determinados fatos. Como objetivos fundamentais dos testes substantivos, a constatação de que que as transações comunicadas/registradas realmente tenham ocorrido refere-se a que tipo de constatação:  
	
	
	
	Parte interessada;
	
	
	Avaliação da regra de Pareto;
	
	
	Avaliação e aferição;
	
	
	Existência real;
	
	
	Avaliação da rede de PERT
		5.
		A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, por senhas não autorizadas é a técnica:
	
	
	
	lógica de auditoria embutida nos sistemas
	
	
	mapping
	
	
	análise lógica de programação
	
	
	análise dolog accounting
	
	
	análise do log/accounting
	
Explicação:
a justificativa encontra-se na opção correta
		4.
		Uma técnica sempre presente nas auditorias se refere ao _______________________. Sendo que esta técnica está classificada em dois tipos diferentes chamados de teste de observância e teste substantivo. Com base na afirmativa marque a opção que a completa corretamente:
	
	
	
	teste do sistema operado
	
	
	teste do sistema observado
	
	
	teste do sistema complexo
	
	
	teste do sistema desenvolvido
	
	
	teste do sistema auditado
		7.
		Quanto à classificação das informações, identifique as que são públicas ou irrestritas (PUB) e as que são de uso interno (INT)
I   - Data de aniversário dos colaboradores.
II  - Endereço do CPD da empresa.
III - Organograma da empresa.
	
	
	
	INT, INT, PUB
	
	
	INT, PUB, PUB
	
	
	PUB, PUB, INT
	
	
	PUB, INT, PUB
	
	
	INT, PUB, INT
		8.
		A politica organizacional deve tratar de princípios éticos,sendo ela compulsória . Aponte dentre as opções colocadas abaixo aquela que esta correta em caso do seu descumprimento.
	
	
	
	Justifica processo de auditoria.
	
	
	Justifica suspensão temporaria
	
	
	Justifica perdas de vantagens financeiras;
	
	
	Justifica demissão por justa causa;
	
	
	Justifica perda de cargo;
	
Explicação:
Informações de uso interno => não devem sair do âmbito da empresa. Se sairem não são críticas.
Informações públicas ou de uso irrestrito => podem ser divulgadas publicamente (para fora da empresa)
		1.
		Uma técnica sempre presente nas auditoiras se refere ao teste do sistema auditado. Esse teste faz a distinção de quais outros teste? Marque a opção que responde corretamente ao questionamento.
	
	
	
	Esse teste faz a distinção entre os teste de software e o teste substantivo.
	
	
	Esse teste faz a distinção entre os teste de usuário e o teste de sistemas.
	
	
	Esse teste faz a distinção entre os teste de observância e o teste substantivo.
	
	
	Esse teste faz a distinção entre os teste de inteface e o teste de unidade.
	
	
	Esse teste faz a distinção entre os teste de unidade e o teste modular.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		2.
		Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; - Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. Marque a opção que se refere a técnica citada:
	
	
	
	Teste do Sistema Auditado
	
	
	Dados De Teste
	
	
	Simulação Paralela
	
	
	Mapeamento Estatístico Dos Programas De Computador (Mapping)
	
	
	Facilidade De Teste Integrado
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		3.
		Lei com atenção a afirmativa e marque a opção que a completa corretamente: "... Este tipo de teste é de fundamental importância na complementação dos testes de observância, considerando que são através dos ______________________ que o auditor tem condições de constatar sobre a fidedignidade das transações e registros..."
	
	
	
	testes de integridade
	
	
	testes de auditoria
	
	
	testes substantivos
	
	
	testes de fidedignidade
	
	
	testes de observância
	
	
	
	 
		
	
		4.
		Correlacione as colunas abaixo e depois marque a alternativa correta:
1) Testes de observância
2) Testes substantivos
3) Simulação paralela
(     )  Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção.
(     )  Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores.
(     ) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações que lhe proporcionem fundamentação para a sua argumentação sobre  determinados fatos.
(     )  Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi elaborado ou encomendado pelo auditor.
(     ) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc.
· Agora assinale a alternativa correta:
	
	
	
	3,2,1,1,3
 
	
	
	1,1,3,2,2
	
	
	3,1,2,3,1
 
	
	
	3,2,1,3,1
	
	
	3,1,2,1,3
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		5.
		Quando os auditores querem obter evidências, isto é, provas suficientes e convincentes sobre transações, que lhe proporcionem fundamentação para suas opiniões eles utilizam que tipo de teste?
	
	
	
	Testes substantivos
	
	
	Testes da caixa branca;
	
	
	Testes da caixa preta;
	
	
	Testes de observância;
	
	
	Testes de regressão;
	
	
	
	 
		
	
		6.
		A técnica onde o auditor prepara um conjunto de dados com o objetivo de testar os controles programados para rotinas sistêmicas ou manuais é chamada de
	
	
	
	técnica indutiva
	
	
	dados de teste
	
	
	dados para simulação
	
	
	massa de dados
	
	
	técnica simulada
	
Explicação:
A técnica em questão chama-se dados de teste ou test data ou test deck
	
	
	
	 
		
	
		7.
		Classifique os testes de auditoria abaixo quanto a serem testes de observância (O)  ou testes substantivos (S).
I   - Obter cópia da documentação dos clientes inadimplentes.
II  - Observar o uso de crachá das pessoas que transitam pela empresa
III - Obter saldos diários dos clientes
	
	
	
	S, O, S
	
	
	O, O, S
	
	
	O, S, O
	
	
	S, O, O
	
	
	S, S, O
	
Explicação:
I   - Obter cópia da documentação dos clientes inadimplentes. - teste de observância. Verificação de documentos.
II  - Observar o uso de crachá das pessoas que transitam pela empresa- teste de observância. Verificação do cumprimento de politica de segurança.
III - Obter saldos diários dos clientes - teste substantivo. Processamento de uma massa de dados e obtenção de um relatório que servirá como evidência do teste.8.
		Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que:
I. Eessa técnica pode ser utilizada por auditores iniciantes
II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de transações no dia para não gerar desconfiança no pessoal da produção
III. A base de dados real fica integra em relação aos dados inseridos.
Marque a opção correta:
	
	
	
	só a opção II
	
	
	opções I e II
	
	
	opções I e III
	
	
	só a opção I
	
	
	só a opção III
	
	 
		
	
		1.
		Marque V para verdadeiro e F para falso.
A técnica Facilidade de Teste Integrado consiste em:
I  - Testar situações inexistentes junto com os dados de produção.
II - Testar massa de dados preparada pela Auditoria em programas de produção integrados com programas elaborados pela Auditoria.
III - Os resultados dos testes são enviados aos clientes e à Auditoria.
	
	
	
	F, V, V
	
	
	F, V, F
	
	
	V, V, F
	
	
	V, F, F
	
	
	V, F, V
	
Explicação:
I  - Testar situações inexistentes junto com os dados de produção. => Verdadeira
II - Testar massa de dados preparada pela Auditoria em programas de produção integrados com programas elaborados pela Auditoria.=> Falsa. Os dados de teste criados pela Auditoria são misturados aos dados reais e são processados pelos programas de Produção.
III - Os resultados dos testes são enviados aos clientes e à Auditoria.=> Falso. Nesta técnica, criam-se arquivos de resultados em separado. Os dados criados, considerados inexistentes, não devem atualizar as bases de dados.
	
	
	
	 
		
	
		2.
		Os testes de observância são empregado pelo auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. Estes testes são largamente aplicado em:
	
	
	
	Auditoria de Software
	
	
	Auditorias de aquisição de hardware
	
	
	Emissão de Relatoios
	
	
	Auditorias operacionais;
	
	
	Software Generalista
	
	
	
	 
		
	
		3.
		A simulação paralela trata-se da elaboração de um programa de computador para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Esta técnica utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador, sendo simulado e elaborado pelo :.  
	
	
	
	Analista de Sistema;
	
	
	Programador
	
	
	Gerente do projeto;
	
	
	Analista e programador;
	
	
	Auditor;
	
	
	
	 
		
	
		4.
		Analise as sentenças abaixo.
I - verificar se a chave primária do arquivo possui digito de controle
II - verificar se houve mais de uma proposta para compra de 50 micro-computadores, conforme exigido pela politica de compras da empresa
III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente
IV - Verificar se existe o relatório de clientes em atraso, por data de atraso.
Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas.
	
	
	
	(V,F,V,F)
	
	
	(V,V,V,F)
	
	
	(F,V,V,F)
	
	
	(F,V,F,F)
	
	
	(F,F,F,V)
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		5.
		Marque V para verdadeira e F para falsa.
A técnica de simulação paralela é:
I   - Um programa preparado pelo auditor para simular funções de rotina do sistema sob  auditoria. É processado com a massa real de produção.
II  - É uma técnica que utiliza dados preparados pelo auditor para serem processados por programas em produção.
III - Utiliza-se de dados preparados pelo auditor para serem processados por programas elaborados pelo auditor  para teste de rotinas sob auditoria.
	
	
	
	F, V, F
	
	
	V, V, F
	
	
	F, V, V
	
	
	V, F, V
	
	
	V, F, F
	
Explicação:
I   - Um programa preparado pelo auditor para simular funções de rotina do sistema sob  auditoria. É processado com a massa real de produção.=> verdadeira
II  - É uma técnica que utiliza dados preparados pelo auditor para serem processados por programas em produção.=> falsa. Essa descrição corresponde à tecnica test deck.
III - Utiliza-se de dados preparados pelo auditor para serem processados por programas elaborados pelo auditor  para teste de rotinas sob auditoria.=> falsa. Com este processamento o que esta sendo testado são os programas elaborados pelo auditor.
	
	
	
	 
		
	
		6.
		A quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados é uma técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas. Para tanto são utilizados:
	
	
	
	Mapeamento estatístico de testes substantivos;
	
	
	Mapeamento estatístico dos testes de regressão;
	
	
	Mapas de Ponto de Função;
	
	
	Mapeamento estatístico dos programas de computador
	
	
	Mapeamento estatísticos de testes de observância
	
	
	
	 
		
	
		7.
		Classifique os testes de auditoria abaixo quanto a serem testes de observância (O)  ou testes substantivos (S).
I   - Verificar se há controle de lote de transações digitadas e se o total nele informado confere com o total constante no relatório de movimento do dia.
II  - Conferir documentos dos clientes com documentos registrados no cadastro de clientes.
III - Obter evidências de controle de acesso à base de dados por pessoas autorizadas.
	
	
	
	S, O, S
	
	
	S, O, O
	
	
	O, S, S
	
	
	O, O, S
	
	
	O, S, O
	
Explicação:
I   - Verificar se há controle de lote de transações digitadas e se o total nele informado confere com o total constante no relatório de movimento do dia.=> teste substantivo. Processamento de grande massa de dados.
II  - Conferir documentos dos clientes com documentos registrados no cadastro de clientes.=> Teste de observância com intuito de verificar existencia e  validade dos documentos dos clientes.
III - Obter evidências de controle de acesso à base de dados por pessoas autorizadas.=> Teste de observância com intuito de verificar se politica de segurança de senhas esta sendo cumprida.
	
	
	
	 
		
	
		8.
		A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica:
	
	
	
	análise lógica de programação
	
	
	simulação paralela
	
	
	análise do log accounting
	
	
	mapping
	
	
	lógica de auditoria embutida nos sistemas
		
	Gabarito
Comentado
	
	
Aula 6
	
	 
		
	
		1.
		Identifique quais dos recursos abaixo NÃO são considerados críticos para a confecção de politicas de segurança.
	
	
	
	celulares particulares de colaboradores
	
	
	colaboradores terceirizados
	
	
	suprimento 
	
	
	modens
	
	
	automóvel da frota da empresa
	
Explicação:
Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados (no caso de dados e recursos materiais).
Celulares particulares de colaboradores não são recursos críticos.
	
	
	
	 
		
	
		2.
		Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, uma política de segurança deve conter ______________ de informação mas __________ para que seja entendida, sem dúvidas.
	
	
	
	um mínimo, o bastante
	
	
	um grande número, sem repetí-los
	
	
	um número razoável, muitos detalhes
	
	
	um grande número, sem palavras difíceis
	
	
	o máximo, alguns detalhes
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		3.
		Sabemos que o cumprimento de uma politica de segurança é de carater compulsório, obrigatório.
Analise as situações abaixo e indique se são falsas (F) ou verdadeirs (V).
I    - Uma violação de uma politica de segurança deve gerar uma demissão por justacausa já que o cumprimento da politica é compulsório.
II   - O descumprimento  de uma politica de segurança deve ser analisado caso a caso.
III  - Uma violação de uma politica de segurança por negligência deve ter igual punição  que uma violação gerada por desconhecimento da mesma, já que não podemos violar as politicas de segurança.
	
	
	
	F, V, F
	
	
	V, F, V
	
	
	V, F, F
	
	
	V, V, F
	
	
	F, V, V
	
Explicação:
As violações das politicas de segurança devem ser vistas cso a caso, devm ser analisadas as razões pelas quais a politica foi violada.
	
	
	
	 
		
	
		4.
		Uma politica organizacional representa os valores e o credo da empresa não devendo, portanto, ser alterada.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - Após a revisão, a politica de segurança (texto e procedimentos) é implementada em definitivo.
PORQUE
II - as alterações que porventura venham a ocorrer devem ser alteradas nos seus procedimentos
A respeito dessas asserções, assinale a opção correta.
	
	
	
	As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
	
	
	A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
	
	As asserções I e II são proposições falsas.
	
	
	A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
	
	As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	
Explicação:
A implantação da politica é em carater definitivo e não devemos trocar seu texto, apenas os procedimentos , quando necessário.
	
	
	
	 
		
	
		5.
		Informações cuja violação seja extremamente crítica são classificadas como:
	
	
	
	internas
	
	
	confidenciais
	
	
	de uso irrestrito
	
	
	de uso restrito
	
	
	secretas
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		6.
		Segurança é responsabilidade de todos.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - A empresa cria politicas de segurança para homogeneizar o comportamento das pessoas em relação ao objeto que deseja preservar
PORQUE
II - o comportamento das pessoas deve refletir a sua hierarquia funcional.
A respeito dessas asserções, assinale a opção correta.
	
	
	
	A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
	
	As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	
	
	As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
	
	
	A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
	
	As asserções I e II são proposições falsas.
	
Explicação:
É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades e não de sua hierarquia funcional. Mesmo porque as politicas também abrangem clientes, fornecedores, terceirizados.
	
	
	
	 
		
	
		7.
		Toda informação tem um dono, que corresponde aquele que a gera. Assinale dentre as opções abaixo aquela que está correta, caso o dono da informação a classifique como internas ou uso interno,.
	
	
	
	Necessita de senha para acessá-las;
	
	
	Excepcionalmente, agentes externos podem obter o conteúdo;
	
	
	Não devem sair do âmbito interno da organização.
	
	
	Só pode ser acessada por auditores internos;
	
	
	Somente a diretoria de segurança pode saber seu conteúdo.
	
	
	
	 
		
	
		8.
		As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade.
Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve ....................................
Marque a opção abaixo que completa a afirmativa:
	
	
	
	o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações.
	
	
	a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
	
	
	a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes.
	
	
	o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos
	
	
	a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema
		1.
		Toda informação tem um dono, é aquele que a gera. A informação a classificada como secreta , aponta que a sua violação interna ou externa é extremamente crítica. Este tipo de informação de deve ser autorizada para quantas pessoas?
	
	
	
	Somente dos integrantes da diretoria;
	
	
	Somente duas pessoas;
	
	
	Somente uma pessoa;
	
	
	Somente 2 ou 3 pessoas;
	
	
	Somente do auditor chefe;
	
	
	
	 
		
	
		2.
		Toda informação tem um dono, é aquele que a gera. Quando o dono da informação a classifica em PÚBLICA OU USO IRRESTRITO, é porque esta informação pode ser divulgada para::
	
	
	
	Somente para quem ocupa cargos gerenciais;
	
	
	Para qualquer pessoa;
	
	
	Somente para os integrantes da área de TI;
	
	
	Somente para quem controla o acesso aos sisterma;
	
	
	Somente para os integrantes da equipe de auditoria;
		4.
		Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado.
	
	
	
	Identificação biométrica;
	
	
	Identificação pela biometria de iris;
	
	
	Matriz de riscos;
	
	
	Utilização de crachá;
	
	
	Controle de entrada e saída de funcionários;
		6.
		Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos
	
	
	
	Definir o que precisa ser duplicado;
	
	
	Definir o que precisa ser orçado;
	
	
	Definir o que precisa implantado;
	
	
	Definir o que precisa ser desenvolvido
	
	
	Definir o que precisa ser protegido;
	
	
	
	 
		
	
		7.
		A segurança da empresa é responsabilidade
	
	
	
	da diretoria operacional
	
	
	da área de auditoria
	
	
	da gerencia administrativa
	
	
	da área de TI
	
	
	de todos os envolvidos
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		8.
		Analisando o texto das politicas abaixo, identifique os que estão corretos (C) e os errados (E). 
I   - O acesso aos sistemas da empresa deve ser realizado através de senha contendo no mínimo 6 digitos.
II  - O acesso aos sistemas da empresa deve ser realizado através de senha individual, trocada a cada 30 dias.
III - O acesso aos sistemas da empresa deve ser realizado através de senha individual.
	
	
	
	E, C, C
	
	
	C, E, E
	
	
	C, C, E
	
	
	E, E, C
	
	
	C, E, C
	
Explicação:
Uma politica de segurança deve ser clara o suficiente para que todos entendam a sua proposta. Detalhes, números, como agir para cumprir as politicas, devem  estar contidos nos procedimentos da politica e não no seu enunciado.
		1.
		Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima.
	
	
	
	Políticas de RH;
	
	
	Políticas de Cargos e Salários;
	
	
	Políticas Orçamentárias
	
	
	Políticas Comerciais;
	
	
	Políticas Administrativas,
		3.
		Toda informação tem