Baixe o app para aproveitar ainda mais
Prévia do material em texto
Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares generalistas, entre outras, podemos citar: R: extração de dados de amostra O objetivo de auditoria que se preocupa se o sistema funciona conforme expectativa dos usuários autorizados é: R: consistência Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista __________ independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation) R: CoBit Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: R: Segurança do sistema Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando: R: Entrevista Uma das vantagens de uso de softwares generalista é que: R: O software pode processar vários arquivos ao mesmo tempo Após a reunião inicial quando a Auditoria informa aos auditados que o sistema foi selecionado para auditoria, inicia-se o trabalho de campo. Nele estão contidas atividades tais como: R: Testes de controle e negócio Dentre outros itens, iniciação em trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, abordagens aos métodos existentes e supervisão necessária são conhecimentos que devem ser passados em treinamento para: R: Auditores internos experientes em tecnologia da informação João esta auditando um sistema de contas correntes de um banco. Ele constatou que o código do cliente não possui dígito verificador. Este fato significa uma fraqueza pois ao digitar o código da conta errada é possivel acessar os dados de outra conta, caso o código digitado erradamente exista. Quais as primeiras atitudes de João ao constatar essa fragilidade? R: João deve notificar verbalmente a gerencia da área de Sistemas. A seguir deve enviar um memorando relatando o fato e solicitando providencias pela área de Sistemas. João deverá fazer follow-up do acerto da fragilidade e , se até a hora da emissão do relatório tal fragilidade não tiver sido acertada, ela constará do relatório de Auditoria como fraqueza encontrada. Além da CONFIDENCIALIDADE, que preocupa-se com a leitura dos dados, quais os outros quatro objetivos da segurança ? Descreva cada um deles. R: INTEGRIDADE ( preocupa-se com a gravação de dados), DISPONIBILIDADE (o sistema estará disponivel quando for necessário), CONSISTÊNCIA (o sistema funciona conforme expectativa dos usuários autorizados), CONFIABILIDADE (garantia que o sistema atuará conforme o esperado , mesmo em situações adversas) Analise as sentenças abaixo sobre Auditoria de Sistemas e, em seguida, assinale a alternativa correta: Tem como objetivo garantir a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas e padrões Os recursos envolvidos podem ser humanos, tecnológicos e materiais Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa R: Todas as afirmativas estão corretas O Plano de backup é ativado assim que é aprovado e, dentre outras coisas: R: fornece acordos com terceiros através de acordos de reciprocidade Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa correta: Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que normalmente é feito pelo escore de risco Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e também após a emissão do relatório R: Somente a sentença II está correta A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica: R: Mapping A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, por senhas não autorizadas é a técnica: R: análise do log/accounting Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. R: Todas as sentenças estão corretas As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: R: O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias Ao escrevermos um relatório de auditoria devemos incluir tamanho dos testes ou métodos de seleção de itens para teste porque? R: O relatório ficara menos aberto a disputas e discussões Dentre os aspectos funcionais a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar que o software permita : R: Comentários do auditor. "Vários testes foram elaborados e encontramos muitos erros durante a fase de teste da auditoria". Esta sentença não é recomendada para inclusão em um relatório de auditoria porque: R: Possui muitas palavras generalistas A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se: R: Rastreamento A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificar-se de que ........ De acordo com a afirmativa assinale a alternativa coreta: R: Esses planos são testados periodicamente Duas horas após um incêndio no prédio do CPD de uma loja de departamentos, o responsável pelo CPD conseguiu recuperar seus arquivos, no próprio CPD, porque: R: Tinha cópias backups no CPD Após um brainstorming com a equipe de segurança e auditoria, foi definido que para falta de luz temos um impacto alto uma media probabilidade de ocorrência, para incêndio um alto impacto e baixa probabilidade de ocorrência, para ataque de hackers tanto impacto como probabilidade de ocorrência altos, para quebra de servidor a probabilidade de ocorrência é baixa com um médio impacto e para queda de raio uma baixa probabilidade de ocorrência com médio impacto. Qual das ameaças deverá ser prioritária em relação às contingências? R: Ataque de Hackers Conforme o conteúdo estudado defina o que são Política de Segurança e Plano de Contingência de uma empresa? Política de segurança são todos os procedimentos que a empresa adota no seu dia-a-dia, para que seus dados e seu sistema operem a toda carga. Nesses procedimentos estão a política de senhas, nível de acesso de usuários a rede e ao sistema e log de registros. Plano de contingência são procedimentos adotados, para que a empresa não pare, ou pare o mínimo no caso de desastre. Um exemplo de desastre pode ser: uma enchente na empresa, onde todos os sistemas param, a não ser que exista um plano que tenhaprevisto esta catástrofe e tenha uma alternativa pare que a empresa não pare. Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: R: abordagem com o computador Assim que uma falha é identificada em uma auditoria, ela deve: R: Ser comunicada verbalmente ao gerente da área auditada A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno: R: Controle de acesso físico ao ambiente de informática O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: R: Confidencialidade Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: R: a metodologia utilizada é da empresa de auditoria externa A análise dos relatórios emitidos pela aplicação da técnica de mapping permite a constatação de situações tais como rotinas existentes em programas já desativados ou de uso esporádico e de rotinas mais utilizadas a cada processamento do programa. Partindo desse pressuposto, podemos dizer que: Essa técnica não deve ser utilizada por auditores iniciantes Essa técnica requer a inclusão de rotinas específicas no sistema operacional utilizado Essa técnica só pode ser utilizada em ambiente de produção. Marque a opção correta: opções I e II É política de segurança da empresa CEB que as senhas de seus funcionários sejam trocadas a cada 3 meses. Considerando que esta função é vital para o desempenho do sistema de auditoria, identificamos como critério de decisão de escolha de um software de auditoria a facilidade "pesquisa de string" classificado entre os aspectos: R: Relacionados a Tecnologia O valor projetado de vendas para o próximo período está gravado em um arquivo cuja leitura e/ou gravação é possível mediante o fornecimento da senha do diretor de Planejamento Estratégico da empresa. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: R: Privacidade A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se de protocolos. Responda a questão citando quais são esses principais protocolos: Os principais são os protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP. O Plano de Emergência serve para manter, dentro do possível, a capacidade de funcionamento da empresa/sistemas. Para isso, também: R: executa o processamento dos sistemas através de hot-sites Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: R: integridade de dados Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada: R: ponto de controle Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta: R: programa de computador para auditoria Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: R: Ameaça Protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada, os(as): R: acordos de confidencialidade e de não-divulgação Sabemos que a segurança dos dados envolve tanto leitura como gravação, por pessoas autorizadas a tanto. O objetivo de auditoria que se preocupa com a leitura de dados é: R: confidencialidade Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: R: essenciais para manter a continuidade do serviço Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo: R: aceite do usuário A Auditoria de Sistemas tem como objetivo: R: garantir a segurança de informações, recursos, serviços e acesso. A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno: R: Controle de acesso físico ao ambiente de informática O código de ética da Organização Internacional de Instituições Supremas de Auditoria (INTOSAI) define como valores e princípios básicos da atuação da auditoria a independência, a objetividade, a imparcialidade, o segredo profissional e a competência. Ao iniciar um trabalho de auditoria sem definir claramente a finalidade da auditoria e o modelo de conformidade no qual a auditoria se apóia, qual valor ou princípio um auditor estaria primariamente falhando em atender? R: objetividade Atualmente os processo de autenticação estão baseados em quantos métodos distintos ? E quais são eles ? Três métodos: A política de segurança é um importante instrumento onde as definições ligadas à autorização devem estar descritas. Os critérios adotados para a criação de grupos de perfil devem estar aderentes ao modelo de gestão da empresa e preferencialmente orientado pela criticidade das informações. 1 - Senha: sequência de caracteres - números, letras ou caracteres especiais - que permitem acesso à determinado sistema e ou serviço. 2 - Método baseado em um dispositivo físico dado exclusivamente ao usuário para que o mesmo possa ser identificado ao utilizá-la. 3- Método baseado em uma informação única do corpo humano (biométrica) do usuário para que o mesmo possa ser identificado ao utilizá-la. Os auditores necessitam compreender o processo de suporte técnico para que possam levantar recursos existentes, níveis de complexidade e qualificação dos funcionários da área de suporte técnico. Desta forma, podemos classificar como funções rotineiras de suporte técnico, entre outras atividades: R: Substituição dos equipamentos antigos. Para obter um bom resultado na confecção de um relatório de auditoria devemos: R: Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas. Os testes substantivos são utilizados quando o auditor deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para sua opinião sobre determinados fatos. Quando em auditoria a um sistema de cobrança motivada por não pagamento de parcelas de um empréstimo, esperamos achar evidencias de testes substantivos tais como: A documentação do empréstimo feita ao cliente. Relatório contendo os clientes em atraso, por data de inadimplência e valor devido. Relatório contendo as baixas da cobrança (porque os clientes pagaram as prestações em atraso). Marque a opção correta: R: só opção I e opções I e III
Compartilhar