Auditoria de Sistemas

Prévia do material em texto

Prova Auditoria de Sistemas
1) O processo de auditoria de sistemas de TI é composto por um modelo denominado modelo de processo de auditoria de sistemas, que é formado por um ciclo, denominado ciclo de auditoria, em que suas fases são:
Alternativas:
· Auditoria no computador, auditoria ao redor do computador e pós-auditoria.
· Pré-auditoria, auditoria e pós-auditoria.CORRETO
· Planejamento, auditoria e conclusão.
· Pré-auditoria, abordagem ao redor do computador, auditoria e pós-auditoria.
· Auditoria e pós-auditoria.
Resolução comentada:
O processo de auditoria de sistemas de TI é composto por um modelo denominado modelo de processo de auditoria de sistemas, que é formado por um ciclo, denominado ciclo de auditoria, em que suas fases são pré-auditoria, auditoria e pós-auditoria. Cada qual possui processos, procedimentos, atividades e responsabilidades a serem executados.
2) Sobre o perfil do auditor de sistemas de TI, podemos afirmar que:
I. O objetivo do auditor é verificar se os processos, procedimentos e atividades estão sendo executadas de acordo com as normas, missões, objetivos da empresa e as legislações às quais a empresa é submetida. Para isso, o auditor deverá ser discreto e imparcial quando conversar com os colaboradores, pois se houver alguma suspeita de que algum esteja desviando-se daquilo que a empresa preza, ele fará de tudo para que esta suspeita não se torne uma certeza.
II. O auditor de sistemas de TI não precisa saber expressar com objetividade e raciocínio lógico aquilo que deseja analisar e verificar, pois as conversas que ele terá com todos os envolvidos para coletar informações não exigirá tantas estratégias para conseguir atingir seu objetivo.
III. O auditor de sistemas de TI não precisa identificar os pontos de falha e pontuá-los de maneira assertiva, pois somente os conhecimentos prévios que ele possui já bastam para que ele desempenhe seu papel.
IV. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de comprometimento com o trabalho para o qual foi contratado. Gírias, ambiguidades são muito malquistas, tanto na escrita quanto na fala.
V. O auditor de sistemas de TI lidará com informações sigilosas, logo, ele precisa agir com ética.
São verdadeiras:
Alternativas:
· I – III – V.
· I – II – III.
· I – II – V.
· II – IV – V.
· I – IV – V.CORRETO
Resolução comentada:
A afirmação I é verdadeira, pois discrição e parcialidade são requisitos imprescindíveis ao cargo, uma vez que entrevistará colaboradores e relatará os resultados dessas conversas no relatório final; a IV é verdadeira, pois o auditor de sistemas de TI deve saber muito bem ler, escrever e interpretar. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de comprometimento com o trabalho para o qual foi contratado. A afirmação V é verdadeira, pois o auditor de sistemas de TI precisa ser ético, no sentido de possuir zelo profissional, pois ele trabalhará com dados sigilosos. A II está errada, pois o auditor de sistemas de TI precisa saber expressar com objetividade e raciocínio lógico aquilo que deseja analisar e verificar. Neste ponto, é preciso saber equilibrar estas habilidades com as demais que compõem seu perfil; isso significa que ele precisa ser objetivo e possuir raciocínio lógico. A afirmativa III é falsa, pois o auditor de sistemas de TI deve possuir sólidos conhecimentos em todas as fases do ciclo de desenvolvimento de sistemas, de forma que poderá identificar os pontos de falha e pontuá-los de maneira assertiva.
3) Os controles internos versam ______ a segurança física e lógica, a ________, a obediência às_______ e _______________, a eficácia e a eficiência.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
· Assegurar; qualidade; missões; ética.
· Assegurar; confidencialidade; legislações – normas administrativas.CORRETO
· Legislações; segurança; clareza; coesão.
· Confidencialidade; legislações; normas administrativas; aos requisitos.
· Configurar; qualidade; missões; normas administrativas.
Resolução comentada:
Os controles internos versam assegurar a segurança física e lógica, a confidencialidade, a obediência às legislações e normas administrativas, a eficácia e a eficiência. Exemplos de pontos de controle internos que o auditor de sistemas de TI verifica neste tipo de auditoria são: metodologia de desenvolvimento de sistema adotada no projeto, especificação do sistema, questões que envolvem a administração do projeto, homologação do sistema etc.
4) Com relação à classificação dos controles internos e suas respectivas características, analise as afirmações e classifique-as em verdadeiras (V) ou falsas (F):
(F) O controle interno do tipo preventivo é aquele capaz de identificar e corrigir eventuais erros e pontos de vulnerabilidade.
(V) O controle interno do tipo detectivo é aquele capaz de detectar fraudes e eventuais erros e pontos de vulnerabilidade.
(V) O controle interno do tipo corretivo é aquele capaz de identificar e corrigir erros e reduzir impactos.
(F) Exemplos de controles internos do tipo detectivo são: senhas e log de eventos de acesso aos sistemas.
(F) Exemplos de controles internos do tipo preventivo são: planos de contingência e log de eventos de acesso aos sistemas.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
· V – V – F – V – F.
· F – V – V – F – V.
· F – V – V – F – F.CORRETO
· V – F – V – F – F.
· V – V – V – F – F.
Resolução comentada:
A primeira, a quarta e quinta asserções são falsas, pois o tipo de controle preventivo é aquele capaz de identificar e prevenir fraudes, eventuais erros e pontos de vulnerabilidade; são exemplos de controles internos do tipo detectivo: log de eventos em tentativa de acesso ao sistema, endereço da máquina da pessoa está acessando o sistema sem permissão. Finalmente, os exemplos de controles internos do tipo preventivo são: senha de acesso ao sistema e o tempo de acesso ao sistema.
5) Para qualquer projeto, o gerenciamento de mudanças organizacionais e de processos, geralmente, é o elemento mais importante a ser gerenciado e, de fato, pode representar o maior risco para um sistema. Os cenários mais complexos incluem a alteração de um processo de negócios e os sistemas de informações relacionados. Bons processos de governança de gerenciamento de projetos permitem gerenciamentos eficazes de mudanças.
Acerca dos pontos de controles internos da auditoria de manutenção de sistemas, considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F):
(V) Um dos aspectos mais críticos do processo de gerenciamento de mudanças no sistema, é gerenciar a comunicação em um sentido amplo.
(F) Os auditores de sistemas de TI não precisam preocupar-se sobre a dissolução da equipe do projeto de manutenção do sistema, pois isso não é alvo de preocupação, uma vez que não gerará pontos de controle.
(V) Exemplos de pontos de controle internos que podem ser avaliados após a realização das mudanças no sistema: relatórios de demonstrativos financeiros, gestão de inventário e atos regulatórios como a Lei Sarbanes-Oxley.
(F) Finalizados os trabalhos deste tipo de auditoria, os auditores de sistemas de TI devem apenas documentar os impactos das mudanças no sistema, não realizando qualquer tipo de recomendação para auxiliar na melhoria de seus processos de qualidade de manutenção e desenvolvimento .
(V) Os auditores de sistemas de TI podem executar uma variedade de análises diferentes, dependendo do risco do projeto de manutenção do sistema e das necessidades da organização.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
· V – F – V – F – V.CORRETO
· V – F – V – V – V.
· V – F – V – F – F.
· V – F – F – F – V.
· V – V – V – F – V.
Resolução comentada:
A primeira assertiva está correta, pois um dos aspectos mais críticos do processo de gerenciamento de mudanças no sistema é gerenciar a comunicação em um sentido amplo, iniciando com a obtenção de participação de todas as partes interessadas, apresentando os benefícios e/ou razões para a realizaçãoda mudança. Reunindo-se com todos aqueles que fazem parte da mudança do sistema, é possível deparar-se com algumas questões, por exemplo, quais processos serão impactados pela mudança no sistema e que impacto as alterações terão sobre fornecedores ou clientes? Perguntas como estas devem ser consideradas tanto no planejamento da mudança quanto na lista de possíveis pontos de controles internos do auditor de sistemas de TI.
A terceira assertiva é verdadeira, pois outros aspectos que podem ser avaliados após a realização das mudanças no sistema são relatórios de demonstrativos financeiros, gestão de inventário, atos regulatórios, como a Lei Sarbanes-Oxley, geração de receita e principais transformações comerciais ou de TI que afetam dados financeiros ou sistemas que produzem dados financeiros na empresa.
A quinta assertiva está correta, pois quando os auditores de sistemas de TI encontram problemas, suas recomendações, geralmente, incluem a adição de controles automatizados ou alterações no sistema. Para realizar este tipo de auditoria, os auditores de sistemas de TI podem executar uma variedade de análises diferentes, dependendo do risco do projeto de manutenção do sistema e das necessidades da organização. Os tipos mais comuns de auditorias ou avaliações relacionadas ao projeto de manutenção de sistemas a serem consideradas são: avaliação de risco do projeto de manutenção (avaliar a probabilidade de sucesso), revisão pós-implementação das mudanças e avaliação geral da metodologia de gerenciamento de projetos sob o plano de gerência de mudanças.
A segunda e a quarta assertivas estão incorretas, pois é importante que os auditores de de TI tenham consciência de que a equipe do projeto de manutenção do sistema se dissolverá e identifiquem quem assumirá a documentação do projeto do sistema e gerenciará a transição para uma fase normal de manutenção ou melhoria contínua.
Já a quarta assertiva está incorreta, pois uma vez finalizados os trabalhos deste tipo de auditoria, a conclusão à qual os auditores de TI devem chegar e documentar são que as mudanças no sistema sejam observadas como oportunidades para explorar suas principais competências em novas áreas, enquanto ajudam a garantir o gerenciamento eficaz de riscos, a contenção de custos e o sucesso organizacional dos projetos.
6) Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini-la como:
Alternativas:
· É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas de informação, desde o levantamento e estudo de viabilidade do sistema a ser computadorizado até seu teste de implantação.CORRETO
· São as normas e diretrizes de uma empresa ou de um determinado setor/departamento/seção da empresa que são verificadas e comparadas aos sistemas de informações existentes em sua totalidade.
· É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o sistema seja executado de maneira adequada.
· É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito entre eles.
· É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o usuário tenha acesso aos documentos armazenados no repositório de documentos.
Resolução comentada:
Na literatura, é possível observar uma quantidade considerável de definições a respeito da auditoria do desenvolvimento de sistemas de TI, dentre elas está a definição de Aslam (2019), por exprimir de maneira mais clara e didática este tipo de auditoria.
7) Sobre o plano gestor de continuidade, podemos afirmar que:
I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que identifica os processos críticos dentro da organização e, do ponto de vista da área de tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação.
II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o problema, piora ainda mais a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo aumentar significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho.
III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários não tenham que ser entregues continuamente, não necessitando de comprometimento, haja vista que há garantia de eles serem entregues.
IV. O plano de contingência deve incluir opções de recuperação para uma variedade de cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de protocolos de negócios e uso de TI.
V. Ele também assegura a disponibilidade contínua dos recursos de processamento de informações; a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordado: no local , no tempo e no custo .
São verdadeiras:
Alternativas:
· II – IV – V.
· I – III – V.
· I – II – III.
· I – IV – V.CORRETO
· I – II – V.
Resolução comentada:
A afirmação I é verdadeira, pois neste são identificados os processos críticos dentro da organização e, do ponto de vista da área de tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação. Com base nisso, os sistemas críticos e os manuais, podem ser elencados e interrelacionados. Uma análise de impacto nos negócios pode ser realizada para cada uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades específicas às informações e outros ativos em risco, para determinar as estruturas de controle apropriadas para equilibrar essas ameaças e vulnerabilidades.
A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade que demanda custo, pois envolve uma variedade de recursos e consome um tempo considerável. No entanto, o custo deve ser visto à luz do custo de não fazer, que pode ser o custo da falência em um caso extremo.
A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de processamento de informações, a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordado: no local , no tempo e no custo . Para garantir a gestão adequada da capacidade, a carga de trabalho e os níveis de desempenho devem ser monitorados por um período de tempo, para que a previsão de recursos possa se basear na antevisão da demanda e no dimensionamento dos sistemas aplicativos.
A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão de lançar mais recursos para o problema, mas sim para melhorar a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo reduzir significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho.
A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários sejam entregues continuamente, e como eles se comprometeram a ser entregues.
8) 
Alternativas:
· I – A; II – C; III – B.
· I – B; II – C; III – A.
· I – A; II – B; III – C.
· I – C; II – B; III – A.
· I – C; II – A; III – B.CORRETO
Resolução comentada:
Dentro do ciclo de auditoria, é possível o auditor de sistemas de TI ter autonomia para realizar seus trabalhos. Um exemplo disso é um quadro em que são identificados, numa versão macro, os possíveis pontos de controle interno e os colaboradores que executam atividades que são classificadas pelo auditor de sistemas de TI como pontos de controle interno.
O quadro de grau de análise de risco, a pontuação de cada item identificado pelo auditor de sistemas de TI é de 1 a 3, em que 1 é o grau mais baixo risco (vulnerabilidade) e o 3 é o grau mais alto risco. Isto facilita a organização do trabalho do auditor de sistemas de TI, ou seja,é por meio deste quadro que ele saberá qual ponto do ciclo de desenvolvimento e manutenção do sistema será auditado primeiro.
O auditor de sistemas de TI, a partir dos resultados obtidos no quadro de análise de grau de riscos, apenas apresentará à alta administração e ao gestor de projetos daquele projeto que está sendo auditado, não necessitando nenhum tipo de relatório para este tipo de atividade.
9) Segundo Isaca (2017), as vulnerabilidades podem ser definidas como “fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações, que podem ser exploradas por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: caráter confidencial, integridade e disponibilidade”.
As vulnerabilidades de ______ são aquelas em que é possível observar se as condições________ estão adequadas (boa conservação) e se são produzidos erros durante a_______ de sistemas em geral devido às condições do _______.
Refletindo sobre a definição de vulnerabilidades, assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
· Redes sociais; físicas; disponibilização; hardware.
· Software; lógicas; publicação; hardware.
· Recursos humanos; físicas; instalação; software.
· Hardware; físicas; instalação; hardware.CORRETO
· Mídias; lógicas; instalação; hardware.
Resolução comentada:
As vulnerabilidades de hardware são aquelas em que é possível observar se as condições físicas (HD e insumos de redes de computadores) estão adequadas (boa conservação, instalação dos equipamentos de maneira adequada – cabos não descascados, por exemplo, etc.) e se são produzidos erros durante a instalação de sistemas em geral devido às condições do hardware.
10) Acerca dos pontos de controles internos da auditoria dos controles de banco de dados, complete as lacunas a seguir:
Na análise de modelagem do banco de dados, são verificadas questões de ______________, consistências, normalizações, ________, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, nomes, tipos e tamanhos de atributos, nomes de__________ e triggers.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
· Cardinalidades; procedures; tipo de dados.
· Cardinalidades; procedures; tipo de tabelas.
· Integridade referencial; cardinalidades; procedures.CORRETO
· Integridade referencial; cardinalidades; views.
· Tipos de tabelas; cardinalidades; procedures.
Resolução comentada:
No ponto de controle interno análise de modelagem do banco de dados, são verificadas questões de integridade referencial, consistências, normalizações, cardinalidades, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, tipos e tamanhos de atributos, nomes de procedures e triggers.