Auditoria de sistemas

Prévia do material em texto

18/07/2022 23:52 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 1/6
Auditoria de sistemas
Professor(a): Priscilla Labanca (Mestrado acadêmico)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini-
la como:
Alternativas:
É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o
usuário tenha acesso aos documentos armazenados no repositório de documentos.
É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o
sistema seja executado de maneira adequada.
É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito
entre eles.
São as normas e diretrizes de uma empresa ou de um determinado
setor/departamento/seção da empresa que são verificadas e comparadas aos sistemas
de informações existentes em sua totalidade.
É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas
de informação, desde o levantamento e estudo de viabilidade do sistema a ser
computadorizado até seu teste de implantação.  CORRETO
Código da questão: 57637
Alternativas:
I – A; II – C; III – B.
I – B; II – C; III – A.
I – C; II – A; III – B.  CORRETO
I – C; II – B; III – A.
I – A; II – B; III – C.
Resolução comentada:
na literatura, é possível observar uma quantidade considerável de definições a
respeito da auditoria do desenvolvimento de sistemas de TI, dentre elas está a
definição de Aslam (2019), por exprimir de maneira mais clara e didática este tipo de
auditoria.
Resolução comentada:
dentro do ciclo de auditoria, é possível o auditor de sistemas de TI ter autonomia
para realizar seus trabalhos. Um exemplo disso é um quadro em que são
identificados, numa versão macro, os possíveis pontos de controle interno e os
colaboradores que executam atividades que são classificadas pelo auditor de
sistemas de TI como pontos de controle interno. 
18/07/2022 23:52 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 2/6
3)
4)
Código da questão: 57640
A natureza e a sensibilidade dos dados armazenados em bancos de dados nas empresas
influencia os critérios usados para auditá-los, principalmente no que diz respeito ao exame
de controles de segurança ou privacidade, como a criptografia de dados, o controle de
acesso, o backup e a recuperação de dados. Sobre os objetivos da auditoria dos controles
de banco de dados, assinale a alternativa correta.
Alternativas:
Compreender a modelagem do banco de dados em todos os seus níveis, os sistemas que
o utilizam e relacioná-la com os objetivos/estratégias da empresa.  CORRETO
Proteger os dados ou informações contra modificações intencionais ou acidentais não
autorizadas.
Observar, identificar, analisar os pontos de controles internos candidatos às
vulnerabilidades.
Estabelecer quais itens devem ser revisados, de acordo com as necessidades da
companhia, para garantir a segurança do sistema.
Identificadas eventuais discrepâncias, anomalias, violações de segurança, atividades
incomuns, etc.
Código da questão: 57651
Acerca dos pontos de controles internos da auditoria dos controles de banco de dados,
complete as lacunas a seguir:
Na análise de modelagem do banco de dados, são verificadas questões de ______________,
consistências, normalizações, ________, opcionalidades, nomenclatura de definição das
tabelas, nomes de relacionamentos, nomes, tipos e tamanhos de atributos, nomes
de__________ e triggers. 
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Cardinalidades; procedures; tipo de dados.
Cardinalidades; procedures; tipo de tabelas.
Tipos de tabelas; cardinalidades; procedures.
Integridade referencial; cardinalidades; procedures.  CORRETO
Integridade referencial; cardinalidades; views.
O quadro de grau de análise de risco, a pontuação de cada item identificado pelo
auditor de sistemas de TI é de 1 a 3, em que 1 é o grau mais baixo risco
(vulnerabilidade) e o 3 é o grau mais alto risco. Isto facilita a organização do trabalho
do auditor de sistemas de TI, ou seja, é por meio deste quadro que ele saberá qual
ponto do ciclo de desenvolvimento e manutenção do sistema será auditado
primeiro. 
O auditor de sistemas de TI, a partir dos resultados obtidos no quadro de análise de
grau de riscos, apenas apresentará à alta administração e ao gestor de projetos
daquele projeto que está sendo auditado, não necessitando nenhum tipo de
relatório para este tipo de atividade.
Resolução comentada:
a auditoria dos controles de banco de dados objetiva compreender a modelagem do
banco de dados em todos os seus níveis, os sistemas que o utilizam e relacioná-la
com os objetivos/estratégias da empresa. 
Neste tipo de auditoria, são identificadas eventuais discrepâncias, anomalias,
violações de segurança, atividades incomuns, etc. Todos estes exemplos podem ser
bem compreendidos como vulnerabilidade e, consequentemente, pontos de
controles internos a serem observados, identificados, analisados, coletados e
documentados.
Resolução comentada:
18/07/2022 23:52 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 3/6
5)
6)
Código da questão: 57652
Segundo Cascarino (2007), “sistemas de informação eficazes e eficientes são os pilares
da maioria das empresas hoje”. Porém, para que estes sistemas de informação possuam
estas características, é preciso que todas as estruturas e ferramentas estejam funcionando
de maneira adequada, eficiente e eficaz. Conhecida também por auditoria de infraestrutura
técnica, a auditoria da administração e operações de redes (de computadores) possui o
objetivo de:
Alternativas:
Observar, identificar, analisar os pontos de controles internos candidatos às
vulnerabilidades.
Analisar por observação, evidenciar e documentar pontos de controles internos
candidatos às vulnerabilidades.
Analisar, evidenciar e documentar pontos de controles internos candidatos às
vulnerabilidades.
Observar, identificar, analisar, evidenciar e documentar pontos de controles internos
candidatos às vulnerabilidades e, consequentemente, comprometendo toda a
infraestrutura que acomoda os sistemas de informação.  CORRETO
Analisar os pontos de controles internos candidatos às vulnerabilidades.
Código da questão: 57644
Alternativas:
I – C; II – B; III – A.
I – C; II – A; III – B.  CORRETO
I – A; II – C; III – B.
I – B; II – C; III – A.
I – A; II – B; III – C.
no ponto de controle interno análise de modelagem do banco de dados, são
verificadas questões de integridade referencial, consistências, normalizações,
cardinalidades, opcionalidades, nomenclatura de definição das tabelas, nomes de
relacionamentos, tipos e tamanhos de atributos, nomes de procedures e triggers.
Resolução comentada:
Observar, identificar, analisar, evidenciar e documentar pontos de controles internos
candidatos às vulnerabilidades e, consequentemente, comprometendo toda a
infraestrutura que acomoda os sistemas de informação.
Resolução comentada:
o checklist de controle de acesso aos dados refere-se exatamente aos pontos de
controles internos que devem ser observados, identificados, analisados, coletados e
documentados acerca deste quesito. 
O checklist de monitoramento de operações refere-se exatamente aos pontos de
controles internos que devem ser observados, identificados, analisados, coletados e
18/07/2022 23:52 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 4/6
7)
8)
9)
Código da questão: 57654
Analise a sentença a seguir e assinale a alternativa correta: “Possui o objetivo dedesempenhar tarefas específicas quando os sistemas de informação utilizados pela
empresa auditada não são compatíveis aos SEA”. Qual é o tipo de ferramenta que possui
estas características?
Alternativas:
Microsoft Access..
MS SQL .
Data Mart Software Auditing.
SEA (software especializado para auditoria)..
SAA (software de auditoria adaptado)..  CORRETO
Código da questão: 57657
A vulnerabilidade pode ser definida como uma falha ou fraqueza no sistema de
informação que pode se transformar em ameaça ou em risco. Estas vulnerabilidades
podem causar grandes danos, principalmente nos quesitos:
Alternativas:
Ética, qualidade e segurança dos dados.
Confidencialidade, integridade e confiabilidade.  CORRETO
Qualidade e segurança dos dados.
Processos, procedimentos e atividades.
Confidencialidade, complexidade e completude.
Código da questão: 57642
Sobre os pontos de controle internos que o auditor de sistemas de TI verifica em
auditoria do desenvolvimento de sistemas, podemos afirmar que: 
I. As características dos pontos de controles internos identificados na metodologia do
desenvolvimento do sistema adotada no projeto são aqueles que se referem ao
oferecimento de suporte, à facilidade de gerenciamento de requisitos e à garantia da
qualidade, a fim de verificar se nada foi esquecido. 
II. As características dos pontos de controle interno de especificação do sistema são,
basicamente, se existe um documento de especificação e dentro dele os protótipos das
telas. 
III. Verificação de problemas técnicos de hardware e segurança da informação podem ser
compreendidos como pontos de controle do tipo metodologia do desenvolvimento do
sistema. 
IV. Os pontos de controle internos que se referem à administração do projeto, são aqueles
que analisam questões sobre pessoas-chaves que participam do processo de construção
documentados acerca deste quesito. 
O checklist de controle de backup refere-se à documentação de procedimentos e
monitoramento de rotinas de backup, queires e jobs.
Resolução comentada:
O software de auditoria adaptado (SAA) possui o objetivo de desempenhar tarefas
específicas quando os sistemas de informação utilizados pela empresa auditada não
são compatíveis aos SEA.
Resolução comentada:
os quesitos que podem gerar vulnerabilidades em um sistema de informação são:
confidencialidade, integridade e confiabilidade. Eles também são conhecidos como
princípios da segurança da informação.
18/07/2022 23:52 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 5/6
10)
do sistema, estrutura tecnológica, dentre outros.
V. São exemplos de pontos de controle no que se refere à homologação do sistema: plano
de treinamento, avaliação conjunta e confronto. 
São verdadeiras:
Alternativas:
II – IV – V.
I – IV – V.  CORRETO
I – II – III.
I – III – V.
I – II – V.
Código da questão: 57641
A base de qualquer plano de continuidade de negócios ou plano de recuperação de
desastres é uma avaliação do risco que envolve a identificação e análise de possíveis
vulnerabilidades e ameaças. Esta avaliação possui os seguintes passos:
Alternativas:
Identificação, observação, análise, coleta de evidências e documentação dos ativos
constantes e possíveis candidatos à vulnerabilidade.
Avaliação e classificação dos ativos, análise de vulnerabilidade e do plano de
contingência.
Identificação dos ativos, informações sobre análise de ameaças e avaliação da segurança
da arquitetura dos sistemas de informação.
Identificação de vulnerabilidade em plano de contingência e análise documental do
departamento de infraestrutura e segurança da informação.
Identificação e avaliação dos ativos e informações em risco, análise de ameaças e a
eficácia dos controles.  CORRETO
Resolução comentada:
a afirmação I é verdadeira, pois o controle interno da metodologia de
desenvolvimento do sistema adotada no projeto é pautado basicamente em 3 (três)
verbos/locuções verbais: dar suporte (base para o treinamento da área que utilizará
o sistema e auxiliar na execução dos processos, procedimentos e atividades
relacionados ao projeto), facilitar (gerenciamento de requisitos e posterior
manutenção) e garantir (qualidade de revisões contínuas a fim de verificar se nada
foi esquecido). 
A assertiva IV é verdadeira, pois os pontos de controle internos que se referem à
administração do projeto são aqueles que analisam questões sobre os recursos
humanos que participam do processo de construção do sistema, estrutura
tecnológica e recursos financeiros. 
A assertiva V é verdadeira, pois os pontos de controle internos que se referem à
homologação do projeto são aqueles que convidam todos os envolvidos a avaliar e
validar o sistema, criar um plano de treinamento, etc. 
A assertiva II é falsa, pois as características dos pontos de controle interno de
especificação do sistema verificam desde as técnicas de elicitação de requisitos
utilizadas pelo analista de requisitos até o teor do plano de testes e de implantação. 
A assertiva III é falsa, pois a verificação de problemas técnicos de hardware e
segurança da informação são observados, identificados e documentados na
auditoria de sistemas de TI, na modalidade auditoria em segurança física e de dados.
Resolução comentada:
a base de qualquer plano de continuidade de negócios ou plano de recuperação de
desastres é uma avaliação do risco que envolve a identificação e análise de possíveis
vulnerabilidades e ameaças. Ela se inicia com a identificação e avaliação dos ativos e
informações em risco, passa por uma análise de ameaças e uma avaliação da eficácia
dos controles destinados a mitigar o risco. Isso resulta em uma lista de ameaças em
potencial, a probabilidade provável e a exposição prevista, bem como os controles
necessários para atenuar as ameaças, incluindo os controles corretivos que farão
parte do plano de recuperação de desastres.
18/07/2022 23:52 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 6/6
Código da questão: 57650
Arquivos e Links