Questionario-AUDITORIA_DE_SISTEMAS

Prévia do material em texto

Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares generalistas, entre outras, podemos citar:
R: extração de dados de amostra
O objetivo de auditoria que se preocupa se o sistema funciona conforme expectativa dos usuários autorizados é:
R: consistência 
Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista __________ independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation)
R: CoBit
Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria:
R: Segurança do sistema
Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando:
R: Entrevista
Uma das vantagens de uso de softwares generalista é que:
 R: O software pode processar vários arquivos ao mesmo tempo
Após a reunião inicial quando a Auditoria informa aos auditados que o sistema foi selecionado para auditoria, inicia-se o trabalho de campo. Nele estão contidas atividades tais como:
R: Testes de controle e negócio
Dentre outros itens, iniciação em trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, abordagens aos métodos existentes e supervisão necessária são conhecimentos que devem ser passados em treinamento para:
R: Auditores internos experientes em tecnologia da informação
João esta auditando um sistema de contas correntes de um banco. Ele constatou que o código do cliente não possui dígito verificador. Este fato significa uma fraqueza pois ao digitar o código da conta errada é possivel acessar os dados de outra conta, caso o código digitado erradamente exista. Quais as primeiras atitudes de João ao constatar essa fragilidade?
R: João deve notificar verbalmente a gerencia da área de Sistemas. A seguir deve enviar um memorando relatando o fato e solicitando providencias pela área de Sistemas. João deverá fazer follow-up do acerto da fragilidade e , se até a hora da emissão do relatório tal fragilidade não tiver sido acertada, ela constará do relatório de Auditoria como fraqueza encontrada.
Além da CONFIDENCIALIDADE, que preocupa-se com a leitura dos dados, quais os outros quatro objetivos da segurança ? Descreva cada um deles.
R: INTEGRIDADE ( preocupa-se com a gravação de dados), DISPONIBILIDADE (o sistema estará disponivel quando for necessário), CONSISTÊNCIA (o sistema funciona conforme expectativa dos usuários autorizados), CONFIABILIDADE (garantia que o sistema atuará conforme o esperado , mesmo em situações adversas)
Analise as sentenças abaixo sobre Auditoria de Sistemas e, em seguida, assinale a alternativa correta:
Tem como objetivo garantir a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas e padrões 
Os recursos envolvidos podem ser humanos, tecnológicos e materiais 
Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa
R: Todas as afirmativas estão corretas
O Plano de backup é ativado assim que é aprovado e, dentre outras coisas:
R: fornece acordos com terceiros através de acordos de reciprocidade
Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa correta: 
Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que normalmente é feito pelo escore de risco 
Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho 
Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e também após a emissão do relatório
R: Somente a sentença II está correta
A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica:
R: Mapping
A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, por senhas não autorizadas é a técnica:
R: análise do log/accounting
Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: 
O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. 
Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. 
Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito.
R: Todas as sentenças estão corretas
As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE:
R: O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias
Ao escrevermos um relatório de auditoria devemos incluir tamanho dos testes ou métodos de seleção de itens para teste porque?
R: O relatório ficara menos aberto a disputas e discussões
Dentre os aspectos funcionais a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar que o software permita :
R: Comentários do auditor.
"Vários testes foram elaborados e encontramos muitos erros durante a fase de teste da auditoria". Esta sentença não é recomendada para inclusão em um relatório de auditoria porque:
R: Possui muitas palavras generalistas
A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se:
R: Rastreamento
A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificar-se de que ........ De acordo com a afirmativa assinale a alternativa coreta:
R: Esses planos são testados periodicamente
Duas horas após um incêndio no prédio do CPD de uma loja de departamentos, o responsável pelo CPD conseguiu recuperar seus arquivos, no próprio CPD, porque:
R: Tinha cópias backups no CPD
Após um brainstorming com a equipe de segurança e auditoria, foi definido que para falta de luz temos um impacto alto uma media probabilidade de ocorrência, para incêndio um alto impacto e baixa probabilidade de ocorrência, para ataque de hackers tanto impacto como probabilidade de ocorrência altos, para quebra de servidor a probabilidade de ocorrência é baixa com um médio impacto e para queda de raio uma baixa probabilidade de ocorrência com médio impacto. Qual das ameaças deverá ser prioritária em relação às contingências?
R: Ataque de Hackers
Conforme o conteúdo estudado defina o que são Política de Segurança e Plano de Contingência de uma empresa?
Política de segurança são todos os procedimentos que a empresa adota no seu dia-a-dia, para que seus dados e seu sistema operem a toda carga. Nesses procedimentos estão a política de senhas, nível de acesso de usuários a rede e ao sistema e log de registros. Plano de contingência são procedimentos adotados, para que a empresa não pare, ou pare o mínimo no caso de desastre. Um exemplo de desastre pode ser: uma enchente na empresa, onde todos os sistemas param, a não ser que exista um plano que tenhaprevisto esta catástrofe e tenha uma alternativa pare que a empresa não pare.
Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: 
R: abordagem com o computador
Assim que uma falha é identificada em uma auditoria, ela deve:
R: Ser comunicada verbalmente ao gerente da área auditada
A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno:
R: Controle de acesso físico ao ambiente de informática
O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama:
 R: Confidencialidade
Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso:
R: a metodologia utilizada é da empresa de auditoria externa
A análise dos relatórios emitidos pela aplicação da técnica de mapping permite a constatação de situações tais como rotinas existentes em programas já desativados ou de uso esporádico e de rotinas mais utilizadas a cada processamento do programa. Partindo desse pressuposto, podemos dizer que: 
Essa técnica não deve ser utilizada por auditores iniciantes 
Essa técnica requer a inclusão de rotinas específicas no sistema operacional utilizado 
Essa técnica só pode ser utilizada em ambiente de produção. 
Marque a opção correta: opções I e II
É política de segurança da empresa CEB que as senhas de seus funcionários sejam trocadas a cada 3 meses. Considerando que esta função é vital para o desempenho do sistema de auditoria, identificamos como critério de decisão de escolha de um software de auditoria a facilidade "pesquisa de string" classificado entre os aspectos:
R: Relacionados a Tecnologia
O valor projetado de vendas para o próximo período está gravado em um arquivo cuja leitura e/ou gravação é possível mediante o fornecimento da senha do diretor de Planejamento Estratégico da empresa. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama:
R: Privacidade
A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se de protocolos. Responda a questão citando quais são esses principais protocolos:
Os principais são os protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP.
O Plano de Emergência serve para manter, dentro do possível, a capacidade de funcionamento da empresa/sistemas. Para isso, também:
R: executa o processamento dos sistemas através de hot-sites
Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria:
R: integridade de dados
Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do
tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que
o auditor gastará no trabalho efetuado em cada:
R: ponto de controle
Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado
no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta:
R: programa de computador para auditoria 
	Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: 
R: Ameaça
Protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada, os(as):
R: acordos de confidencialidade e de não-divulgação
Sabemos que a segurança dos dados envolve tanto leitura como gravação, por pessoas autorizadas a tanto. O objetivo de auditoria que se preocupa com a leitura de dados é:
R: confidencialidade
Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: 
R: essenciais para manter a continuidade do serviço
Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo:
R: aceite do usuário
A Auditoria de Sistemas tem como objetivo:
R: garantir a segurança de informações, recursos, serviços e acesso.
A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno:
R: Controle de acesso físico ao ambiente de informática
O código de ética da Organização Internacional de Instituições Supremas de Auditoria (INTOSAI) define como valores e princípios básicos da atuação da auditoria a independência, a objetividade, a imparcialidade, o segredo profissional e a competência. Ao iniciar um trabalho de auditoria sem definir claramente a finalidade da auditoria e o modelo de conformidade no qual a auditoria se apóia, qual valor ou princípio um auditor estaria primariamente falhando em atender? 
 R: objetividade
Atualmente os processo de autenticação estão baseados em quantos métodos distintos ? E quais são eles ? 
Três métodos: A política de segurança é um importante instrumento onde as definições ligadas à autorização devem estar descritas. Os critérios adotados para a criação de grupos de perfil devem estar aderentes ao modelo de gestão da empresa e preferencialmente orientado pela criticidade das informações. 1 - Senha: sequência de caracteres - números, letras ou caracteres especiais - que permitem acesso à determinado sistema e ou serviço. 2 - Método baseado em um dispositivo físico dado exclusivamente ao usuário para que o mesmo possa ser identificado ao utilizá-la. 3- Método baseado em uma informação única do corpo humano (biométrica) do usuário para que o mesmo possa ser identificado ao utilizá-la.
Os auditores necessitam compreender o processo de suporte técnico para que possam levantar recursos existentes, níveis de complexidade e qualificação dos funcionários da área de suporte técnico. Desta forma, podemos classificar como funções rotineiras de suporte técnico, entre outras atividades:
R: Substituição dos equipamentos antigos.
Para obter um bom resultado na confecção de um relatório de auditoria devemos:
R: Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas.
Os testes substantivos são utilizados quando o auditor deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para sua opinião sobre determinados fatos. Quando em auditoria a um sistema de cobrança motivada por não pagamento de parcelas de um empréstimo, esperamos achar evidencias de testes substantivos tais como: 
A documentação do empréstimo feita ao cliente. 
Relatório contendo os clientes em atraso, por data de inadimplência e valor devido. 
Relatório contendo as baixas da cobrança (porque os clientes pagaram as prestações em atraso). Marque a opção correta: 
R: só opção I e opções I e III