Baixe o app para aproveitar ainda mais
Prévia do material em texto
ATIVIDADE - AUDITORIA DE SISTEMAS AULA 1 1. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: Diretoria Executiva Diretoria de Informática Diretoria Administrativa Presidência Executiva Diretoria Financeira 2. Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: abordagem ao redor do computador abordagem interna ao computador abordagem externa ao computador abordagem com o computador abordagem através do computador 3. A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: ela necessita de autonomia para executar suas atividades os auditores não tem horário fixo para exercer suas atividades esta posição demonstra o status e o poder que a Auditoria possui ela diz para os gerentes como consertar as falhas encontradas os salários dos auditores são compatíveis com os dos diretores 4. Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: o treinamento dos auditores é responsabilidade da área de recursos humanos o custo é distribuído pelos auditados a equipe será treinada conforme objetivos de segurança da empresa a metodologia utilizada é da empresa de auditoria externa o controle sobre trabalhos realizados é mais seguro 5. Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Somente a sentença III está correta Somente as sentenças I e III estão corretas Somente as sentenças I e II estão corretas Todas as sentenças estão corretas Somente as sentenças II e III estão corretas 6. Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo estão corretas, exceto uma. Identifique-a Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser desenvolvida pela empresa Os auditores de sistema possuem autoridade para verificarem dados extremamente confidenciais da empresa, desde que façam parte dos sistemas auditados Os auditores de sistema devem evitar relacionamento pessoal com os auditados Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já que estão posicionados em um alto nível no organograma da empresa O auditor de Sistemas deve conhecer os negócios da empresa AULA 2 1. Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças: I - desligar a força da sala do CPD II - instalar sprinklers e sensores de calor na sala do CPD III - telefonar para o Corpo de Bombeiros somente a III Somente a II I, II e III I e II I e III 2. Em relação à matriz de risco para confecção de um plano de contingência para um CPD, podemos afirmar que. para sua elaboração só consideramos os riscos identificados pelo cliente consideramos para sua elaboração as variáveis probabilidade de ocorrencia e impacto ela deve ser atualizada a cada descoberta de um novo virus ela determinará a frequencia com que os anti-virus deverão ser atualizados os critérios de seleção são escolhidos pelo gerente da área de segurança 3. Assinale a opção verdadeira: Respostas de risco são ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria atividades que devem ser evitadas para não gerar riscos ações a serem seguidas na eventualidade da ocorrência de uma ameaça relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores 4. As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema: custo do sistema, número de requisitos funcionais e visibilidade do cliente custo do sistema, nível de documentação existente e complexidade dos cálculos visibilidade do cliente, volume médio diário de transações processadas e idade do sistema volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais 5. Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a opção que não se constitui uma ameaça; Vazamento de Informação; Troca de senha por invasão de hacker; Violação de integridade; Ameça Concretizada; Indisponibilidade de serviços de informatica; 6. Identifique nas sentenças abaixo o que são erros (E) e o que são riscos (R). I - Falha no dispositivo de gravação de disco II - Falta de suprimento para impressão de contra-cheques III - Totalização no relatório de estoque incorreto IV - Queda de energia eletrica E,R,E,R R,E,E,R E,R,R,E R,E,R,E R,R,E,E AULA 3 1. Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: integridade de dados segurança do sistema processo de desenvolvimento guarda de ativos conformidade 2. As fases de uma Auditoria de Sistemas são: Planejamento; Exemplificação; Transmissão de relatórios; Backup Planejamento; Exemplificação; Transferência de relatórios; Backup Projeto; Execução; Emissão e divulgação de requisitos; Follow-up Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up Projeto; Execução; Emissão e divulgação de releases; Acompanhamento 3. Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa correta: I. Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que normalmente é feito pelo escore de risco II. Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho III. Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e também após a emissão do relatório Todas as sentenças estão corretas Somente as sentenças II e III estão corretas Somente a sentença I está correta Somente as sentenças I e II estão corretas Somente a sentença II está correta 4. A auditoria é uma atividade realizada em fases. Uma das fases é conhecida como FOLLOW-UP. Esta fase trata efetivamente do acompanhamneto de falahas. Marquea afirmativa correta referente ao acompanhamento desta fase: todo o acompanhamento não necessita ser documentado e não servirá de subsídio para auditorias futuras do mesmo sistema ou cpd todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou cpd o acompanhamento é opcional não tem nenhuma relevância para a próxima auditoria independente de ser ou não o mesmo sistema ou cpd uma auditoria realizada em um sistema não influência na próxima auditoria que o memso venha passar. Inclusive o cpd nunca é auditado. todo o acompanhamento deve ser documentado e será aproveitado para auditorias futuras em outro novo sistema ou cpd 5. Marque a alternativa que preencha corretamente as lacunas: A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação nela. Isto fica por conta dos ________________, que representam o como ela será implementada. política de segurança / programas classificação da informação / programas política de segurança / procedimentos estrutura organizacional / grau de maturidade política de segurança / acionistas majoritários 6. As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica? Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos) Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. AULA 4 1. Programa De Computador Para Auditoria são programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (microcomputadores).Qual tem abaixo NÃO é considerado como uma função inclusa em programas de Auditoria? Estatística dos campos dos arquivos Contagem de campos/registros Correlação de arquivos Executa somente fuções padrão Tabulação de campos 2. A Auditoria de Sistemas é uma atividade orientada para a avaliação dos procedimentos de controle e segurança da informação, recursos, serviços e acessos, bem como, a conformidade com objetivos da empresa, políticas, orçamentos, normas ou padrões. Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação. Para executar o seu trabalho, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação, que são: Softwares generalistas, Softwares especializados e Softwares utilitários. Softwares de instalação, Softwares de backup e Softwares de restore. Softwares de instalação, Softwares de especialização e Softwares de proposição. Softwares de instalação, Softwares de correção e Softwares de observação. Softwares de instalação, Softwares de observação e Softwares de correção. 3. Considerando as opções abaixo identifique a correta para a seguinte questão:Podemos realizar uma auditoria de sistemas naqueles que estiverem em : desenvolvimento ou aquisição de software aquisição de hardware ou de software. documentação ou em testes. desenvolvimento ou aquisição de hardware desenvolvimento ou em operação. 4. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: (V) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & Analysis). (V) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem características pouco comuns, como, por exemplo, sistemas de leasing e sistemas de câmbio. (V) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. (F) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle de forma remota, através de um programa instalado no seu computador. (F) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam formulários especiais para coleta de dados. Agora assinale a alternativa correta: V,V,V,V,F F,F,F,V,V F,F,F,F,F V,V,V,V,V V,V,V,F,F 5. Quando a auditorias de sistemas ocorre em sistremas em desenvolvimento, a atenção dos auditores é focada em qual etapa do desenvolvimento? Naquilo que foi planejado em termos de testes internos, processos e controles de negócios a serem desenvolvidos; Naquilo que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de controles internos, orçamentos de hardware para os sistemas. Nos controles internos, processos e controles de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de controles internos, processos custos de negócios a serem implementados nos sistemas. 6. O Senhor Alexandre possui uma Corretora de Seguros e resolveu investir em tecnologia da informação para aumentar o diferencial competitivo de sua empresa. Para viabilizar a sua estratégia ele contratou consultores com experiência em inovação na área de seguros. Os consultores incluíram no projeto a utilização de um "Data Center", deixando a própria Corretora como responsável pela execução do backup das operações diárias de serviço. Considerando o cenário apresentado, o tipo de software que melhor se aplica a demanda da Corretora para a realização dos backups é: Software Utilitário. Software Generalista. Software CRM. Software Especialista. Software ERP. AULA 5 1. A quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados é uma técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas. Para tanto são utilizados: Mapeamento estatístico dos programas de computador Mapeamento estatísticos de testes de observância Mapeamento estatístico dos testes de regressão; Mapeamento estatístico de testes substantivos; Mapas de Ponto de Função; 2. A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica: simulação paralela análise lógica de programação lógica de auditoria embutida nos sistemas análise do log accounting mapping 3. Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; - Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. Marque a opção que se refere a técnica citada: Teste do Sistema Auditado Mapeamento EstatísticoDos Programas De Computador (Mapping) Facilidade De Teste Integrado Dados De Teste Simulação Paralela 4. Correlacione as colunas abaixo e depois marque a alternativa correta: 1) Testes de observância 2) Testes substantivos 3) Simulação paralela (3) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção. (1) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. (2) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos. (3) Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi elaborado ou encomendado pelo auditor. (1) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc. Agora assinale a alternativa correta: 1,1,3,2,2 3,1,2,1,3 3,2,1,1,3 3,2,1,3,1 3,1,2,3,1 5. Analise as sentenças abaixo. I - verificar se a chave primária do arquivo possui digito de controle II - verificar se houve mais de uma proposta para compra de 50 micro-computadores, conforme exigido pela politica de compras da empresa III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas. (F,F,F,V) (V,V,V,F) (V,F,V,F) (F,V,F,F) (F,V,V,F) 6. A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se: rastreamento facilidade de teste integrado análise do log accounting mapping análise lógica de programação AULA 6 1. A segurança da empresa é responsabilidade da área de TI da área de auditoria de todos os envolvidos da gerencia administrativa da diretoria operacional 2. Apenas controle não garante a segurança de uma empresa. É necessário garantir a proteção das informações, serviços e acesso, no intuito de __________________________________________. Assinale dentre as opções abaixo aquela que complementa, corretamente, o conceito apresentado. Apenas controle não garantes a segurança de uma empresa. Segurança na empresa significa proteção das informações, serviços e acesso, no intuito de ---------------------- ------------------------. Escola dentre as opções abaixo aquela que complementa corretamente o conceito apresentado. Reduzir probabilidade de danos; Melhorar o controlke dos custos envolvidos; Conceituar as pessoas envolvidas no projeto; Favorecer o entrosamento dos participantes na auditoria; Permitir uma visualização adequada dos auditores; 3. Toda informação tem um dono, é aquele que a gera. A informação a classificada como secreta , aponta que a sua violação interna ou externa é extremamente crítica. Este tipo de informação de deve ser autorizada para quantas pessoas? Somente dos integrantes da diretoria; Somente do auditor chefe; Somente 2 ou 3 pessoas; Somente duas pessoas; Somente uma pessoa; 4. As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve .................................... Marque a opção abaixo que completa a afirmativa: a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes. a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos 5. Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado. Matriz de riscos; Utilização de crachá; Controle de entrada e saída de funcionários; Identificação biométrica; Identificação pela biometria de iris; 6. Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados. Referente a esta afirmativa quais recursos estão sendo tratados: hardware e aplicativos hardware e relatórios software e aplicativos dados e recursos materiais software e relatórios AULA 7 1. Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é: Cidade onde nasceu? Número de seu RG? Data de seu nascimento? Nome do pai? Data de vencimento da fatura do cartão? 2. O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc. Escolha a alternativa que preencha corretamente a lacuna: Software de controle de trilha de auditoria. Software de controle de rede. Software de controle de acesso. Software de controle de inventário. Software de controle de perfil. 3. Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes: Processo de escolha do Gerente do Projeto. Desenho das arquiteturas e topologia da rede; Implementação dos projetos físicos e lógicos; Monitoramento dos desempenho de possíveis interceptações nas redes; Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática; 4. O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança fisica, de enlace e de aplicação lógica, de desempenho e de protocolos de desempenho, de configuração e física fisica, de protocolos e de reposição lógica, de enlace e de monitoramento 5. Em relação a controle de acesso, identifique a única afirmativa correta. Um arquivo de log de acessos ao banco de dados é utilizado para controle de acesso físico Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para acesso físico como lógico O assédio moral é um exemplo de engenharia social Um detector de porte de metais é necessário para evitaracesso físico indevido ao CPD A biometria é usada para assegurar o controle lógico das informações 6. O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: Confidencialidade Privacidade Auditabilidade Integridade Acuidade AULA 8 1. Se uma empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente. Assinale a única opção que não está correta em relação aos controles que deverão existir. Os testes doa programas para efeito de cronograma deverão ser realizados somente na implantação do sistema. Toda a documentação deverá estar concluída e aprovada pelo gerente do Sistema;; A codificação de programas novos ou alterados deverão estar sujeita à revisão pelos supervisores de programação; Os programas deverão ser desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa.; Os sistemas novos ou modificados não deverão ser colocados em operação antes de estarem autorizados e aprovados para implantação.: 2. O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas. Entre as alternativas abaixo, qual delas descreve três desses critérios? Confidencialidade, integridade e disponibilidade Eficiência, responsabilidade e atitude Conformidade, efetividade e responsabilidade Integridade, confidencialidade e responsabilidade Responsabilidade, habilidade e atitude 3. Dentre as opções abaixo assinale aquela não se aplica, aos grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa. Pagamento de Fatura; Planejamento das aquisições ; Planejamento das solicitações ; Solicitação ; Administração do contrato ; 4. A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: Funções Superficiais e Funções Esporádicas Funções Rotineiras e Funções Superficiais Funções Rotineiras e Funções Esporádicas Funções Rotineiras e Funções Integradas Funções Integradas e Funções Superficiais 5. Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ? Auditoria de desenvolvimnto de sistemas Auditoria de suporte técnico Auditoria de redes Auditoria de operações de sistemas Auditoria de manutenção de sistemas 6. No capitulo 12 do PMBOK estudamos as aquisições do projeto, ou seja, aquilo que não há na empresa e que precisamos adquirir. Um dos conceitos aprendidos foi o que são declarações de trabalho. Marque a sentença que corresponde à definição de declarações de trabalho. Descrevem a aquisição a ser feita detalhadamente o suficiente para que os fornecedores em potencial possam avaliar se são capazes ou não de fornecer o produto ou serviço. Definem todo o trabalho a ser feito pelos desenvolvedores do projeto Definem os recursos a serem alocados no projeto Enumeram as entregas adquiridas que já foram produzidas e testadas no projeto Definem a duração das atividades a serem realizadas no projeto AULA 9 1. Ao preparar um relatório devemos ter cuidado com nossa escrita. Devemos evitar a escrever em círculos porque escrever em círculos pode aparentar ao leitor que o escritor tem:.........Marque a única opção FALSA Inabilidade em selecionar as palavras corretas. Insegurança quanto ao término de um parágrafo Insegurança no objetivo da matéria escrita Inabilidade em estruturar adequadamente sua escrita. Insegurança quanto ao ponto que o escritor quer atingir. 2. Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um ____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, incluindo a gerência da Auditoria). Marque a opção que completa corretamente a afirmativa: relatório online relatório parcial relatório sequencial relatório DRAFT (rascunho) relatório expositivo 3. Pedro estava auditando o Sistema de Crediário das Lojas Vendem Bem quando descobriu que havia um percentual de 25% de clientes com atraso no pagamento das mensalidades. Como os correios estavam em greve, ele inferiu que esta era a causa dos atrasos e solicitou que o operacional da empresa executasse a contingência para a ameaça "greve dos correios". A atitude de Pedro não está correta porque: Não foi feito teste no plano de contingência Todo trabalho do auditor é baseado em fatos e não em opiniões pessoais Não havia contingência para a ameaça greve dos correios O percentual de inadimplência não refletia ameaças para a empresa Não havia política de segurança na empresa sobre inadimplência 4. Assim que uma falha é identificada em uma auditoria, ela deve: Ser comunicada verbalmente ao gerente da área auditada Ser reportada em relatório apropriado para acerto imediato Ser acertada pelo auditor e reportada a seguir para a gerencia auditada Ser reportada à diretoria da empresa através de relatório de auditoria Ser comunicada ao gerente da Auditoria para inserção no relatório final 5. Um relatório deve apresentar: Um relatório deve apresentar uma descrição correta e clara das falhas de modo a evitar má- interpretação e mau entendimento. Devem ser incluídas informações de tamanho dos testes ou métodos de seleção de itens para teste, de modo que o leitor possa relacionar tal informação ao total da atividade e às falhas. Considerando a objetividade da escrita, qual das opções abaixo esta incorreta , em relação aos conceitos abordados. da escrita Permitir que os fatos falem por si só; Poder ser facilmente mal interpretado. Ser menos aberto à disputas/discussões; Colocar comentários na perspectiva certa - evita o trivial. Ser mais convincente; 6. Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um ____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, incluindo a gerência da Auditoria). Marque a opção que completa corretamente a afirmativa: relatório DRAFT (rascunho) relatório parcial relatório sequencial relatório expositivo relatório online AULA 10 1. Referente a avaliação de software de auditoria de sistemas para aquisição podemos afirmar que: devem ser examinadas características ____________________, consideradas relevantes para o processo de planejamento, estruturação, execução, controle e emissão de relatório de auditoria, assim como aspectos referentes a fornecedor, suporte e custos. Marque a opção que completa a afirmativa corretamente: funcionais e auditáveis funcionais e interativas tecnológicas e complexas funcionais e tecnológicas tecnológicas e interativas2. Ao analisarmos um software de auditoria para aquisição, devemos examinar características funcionais e tecnológicas, consideradas relevantes para o processo ....marque a única opção INCORRETA de planejamento de execução de elaboração de massa de teste de estruturação de controle 3. Alguns aspectos devem ser considerados ao serem considerados na escolha de um software. Os aspectos relacionados a custo é um deles. Aponte dentre as opções colocadas aquela que não está correta. Permitir a supervisão online Viagens e diárias; Taxa de manutenção; Valor de uso da licença; Serviços de treinamento; 4. A empresa BC Projetos possui escritório em várias cidades do Brasil. O departamento de Auditoria Interna situa-se na cidade de São Paulo. A gerencia da Auditoria necessita verificar diariamente o andamento do trabalho de seus auditores. Para auxiliar seu trabalho, a gerencia resolveu adquirir o software Audit Automation Facility especificamente porque: Ele permite acesso aos dados relevantes das auditorias encerradas Ele permite revisão dos trabalhos à distância - CORRETA Ele permite um planejamento assistido Ele gera relatórios de auditoria Ele automatiza o processo de cobrança das soluções para os planos de ação 5. Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar: Valor da licença de uso Facilidade para pesquisa por palavra ou string Integração com e-mail Disponibilização de código de fonte aberto Log de alterações 6. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: (V) Faz parte das boas práticas de seleção de software de auditoria a análise de catálogos, prospectos, folders e documentação sobre esse software disponíveis no mercado. (V) Faz parte das boas práticas de seleção de software de auditoria realizar visita nas empresas que já possuem o software e entrevistar alguns de seus usuários. (F) Faz parte das boas práticas de seleção de software de auditoria desconsiderar as funcionalidades desse software, caso a empresa fornecedora seja reconhecidamente idônea. (V) Faz parte das boas práticas de seleção de software de auditoria avaliar a tecnologia empregada no software, o seu custo, assim como, a capacidade e a disponibilidade de suporte técnico. (V) Faz parte das boas práticas de seleção de software de auditoria avaliar o seu desempenho, versatilidade e consistência. A rastreabilidade, assim como, a compatibilidade e a capacidade de automação de processos têm um peso menor na escolha e podem ser desconsideradas. Agora assinale a alternativa correta: V,V,F,V,F V,V,F,F,V F,F,F,V,V V,V,V,V,V F,F,V,F,V AV1 1. Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área. II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir os padrões profi ssionais aplicáveis. III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil. IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemas e Controles, seus membros devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Indique a opção que contenha todas as afirmações verdadeiras. II e III III e IV II e IV I e II I e III 2. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: Diretoria Administrativa Presidência Executiva Diretoria de Informática Diretoria Financeira Diretoria Executiva 3. Em relação à matriz de risco para confecção de um plano de contingência para um CPD, podemos afirmar que os critérios de seleção são escolhidos pelo gerente da área de segurança consideramos para sua elaboração as variáveis probabilidade de ocorrencia e impacto ela deve ser atualizada a cada descoberta de um novo virus ela determinará a frequencia com que os anti-virus deverão ser atualizados para sua elaboração só consideramos os riscos identificados pelo cliente 4. Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de Processamento de Dados) e assinale se são verdadeiras (V) ou falsas (F). I - Fazemos planos de emergência apenas para os sistemas não críticos II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de emergência III - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma ameaça. F,F,V F,V,F V,F,F V,F,V F,F,F 5. Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é conhecido como: ponto de partida ponto de controle ponto de auditoria ponto de integração documentação 6. Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: legibilidade operacional integridade de dados processo de desenvolvimento segurança do sistema conformidade 7. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: (V) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & Analysis). (V) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem características pouco comuns, como, por exemplo, sistemas de leasing e sistemas de câmbio. (V) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. (F) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle de forma remota, através de um programa instalado no seu computador. (F) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam formulários especiais para coleta de dados. • Agora assinale a alternativa correta: V,V,V,V,F F,F,F,V,V V,V,V,V,V V,V,V,F,F F,F,F,F,F 8. Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é chamado de ______________________________. Estes, são programas desenvolvidos pelos auditores ou sob encomenda. Sua finalidade é testar particularidades de sistemas auditados que possuem características comuns. Marque a opção que completa corretamente a afirmativa: SOFTWAREESPECIALISTA PARA CONTROLE E AUTOMAÇÃO SOFTWARE ESPECIALIZADO EM AUDITORIA SOFTWARE ESPECIALISTA PARA CONSUMO PÚBLICO SOFTWARE PRÓPRIO E GENERALISTA SOFTWARE GENERALISTA 9. Correlacione as colunas abaixo e depois marque a alternativa correta: 1) Testes de observância 2) Testes substantivos 3) Simulação paralela (3) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção. (1) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. (2) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos. (3) Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi elaborado ou encomendado pelo auditor. (1) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc. • Agora assinale a alternativa correta: 3,1,2,1,3 1,1,3,2,2 3,1,2,3,1 3,2,1,3,1 3,2,1,1,3 10. Analise as sentenças abaixo. I - verificar se a chave primária do arquivo possui digito de controle II - verificar se houve mais de uma proposta para compra de 50 micro-computadores, conforme exigido pela politica de compras da empresa III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas. (V,F,V,F) (V,V,V,F) (F,V,V,F) (F,F,F,V) (F,V,F,F) AV2 1. A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: ela necessita de autonomia para executar suas atividades esta posição demonstra o status e o poder que a Auditoria possui os auditores não tem horário fixo para exercer suas atividades os salários dos auditores são compatíveis com os dos diretores ela diz para os gerentes como consertar as falhas encontradas 2. Considere as seguintes descrições: I. Controle de acesso (físico e lógico) II. Gravação e atualização autorizadas III. Sistema disponível quando necessário IV. Sistema funciona conforme requisitos V. Sistema atuará conforme o esperado A opção que melhor representa o significado de cada uma delas respectivamente é: Consistência; Confidencialidade; Integridade; Disponibilidade; e, Confiabilidade. Confidencialidade; Confiabilidade; Integridade; Disponibilidade; e, Consistência. Confidencialidade; Disponibilidade; Consistência; Integridade; e, Confiabilidade. Confiabilidade; Integridade; Confidencialidade; Disponibilidade; e, Consistência. Confidencialidade; Integridade; Disponibilidade; Consistência; e, Confiabilidade. 3. A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificar-se de que ........ De acordo com a afirmativa assinale a alternativa coreta: a equipe de contingência está preparada para realizar um treinamento no momento de ocorrência de um desastre o sistema de qualidade executa suas tarefas periodicamente o sistema de recuperação de backups é lento e não satisfaz plenamente ao desejado pela organização esses planos são testados periodicamente. existe a possibilidade de se desenvolver planos que contemplem todas as necessidades de contingências 4. Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a opção que não se constitui uma ameaça; Violação de integridade; Indisponibilidade de serviços de informatica; Vazamento de Informação; Troca de senha por invasão de hacker; Ameça Concretizada; 5. As fases de uma Auditoria de Sistemas são: Projeto; Execução; Emissão e divulgação de requisitos; Follow-up Planejamento; Exemplificação; Transmissão de relatórios; Backup Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up Projeto; Execução; Emissão e divulgação de releases; Acompanhamento Planejamento; Exemplificação; Transferência de relatórios; Backup 6. Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo: ordem de serviço política empresarial aceite do usuário segurança do sistema suprimento sensível 7. Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas utilitários: a desvantagem é o extenso tempo em aprender sua utilização podemos usar cálculos específicos para os sistemas auditados os auditores não necessitam de muita experiência em programação a vantagem é a execução de apenas funções padrões podemos incluir testes específicos do sistema auditado 8. Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares generalistas, entre outras, podemos citar: extração de dados de amostra controle de lote saldo devedor do sistema de financiamento de casa própria testes do digito verificador do cliente inclusão de trailler label 9. A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se: análise lógica de programação análise do log accounting mapping Rastreamento facilidade de teste integrado 10. A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica: lógica de auditoria embutida nos sistemas mapping análise lógica de programação simulação paralela análise do log accounting AV3 1. Analise as sentenças abaixo sobre Auditoria de Sistemas e, em seguida, assinale a alternativa correta: I. Tem como objetivo garantir a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas e padrões II. Os recursos envolvidos podem ser humanos, tecnológicos e materiais III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Somente as sentenças II e II estão corretas Somente a sentença III está correta Somente as sentenças I e II estão corretas Somente a sentença I está correta Todas as sentenças estão corretas 2. Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos da segurança e este objetivo é conhecido por: confiabilidade integridade credibilidade confidencialidade consistência 3. Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de Processamento de Dados) e assinale se são verdadeiras (V) ou falsas (F). I - Fazemos planos de emergência apenas para os sistemas não críticos II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de emergênciaIII - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma ameaça. F,V,F F,F,V V,F,F F,F,F V,F,V 4. Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de dados, por meio de autorização e registro de responsabilidade. II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho, programação, testes e documentação de sistemas. III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a responsabilidade dos colaboradores auditados. IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em tecnologia da informação deve ser realizado ou planejado para a equipe de auditores do quadro de colaboradores da organização. Indique a opção que contenha todas as afirmações verdadeiras. II e III I e II I e III III e IV II e IV 5. Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada: ponto de auditoria teste de unidade comunicação de falha encontrada unidade de controle ponto de controle 6. Sobre o trabalho de auditoria, podemos afirmar que: I) O auditor deve guardar as evidências relacionadas com as não conformidades encontradas durante o trabalho de campo; II) Existem determinados tipos de não conformidades que o auditor deve ajudar, orientando sobre a melhor solução que deve ser dada para o cenário encontrado; III) O auditado pode discordar de uma não conformidade, informando ao auditor por escrito e justificando a sua discordância. Agora assinale a alternativa correta: Somente II e III são proposições verdadeiras. Somente I e II são proposições verdadeiras. Somente I e III são proposições verdadeiras. I, II e III são proposições verdadeiras. Somente I é proposição verdadeira. 7. Quando a auditorias de sistemas ocorre em sistremas em desenvolvimento, a atenção dos auditores é focada em qual etapa do desenvolvimento? Nos controles internos, processos e controles de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de testes internos, processos e controles de negócios a serem desenvolvidos; Naquilo que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de controles internos, orçamentos de hardware para os sistemas. Naquilo que foi planejado em termos de controles internos, processos custos de negócios a serem implementados nos sistemas. 8. Uma das vantagens de uso de softwares generalista é que: as aplicações podem ser feitas online e utilizadas em outros sistemas o software pode processar vários arquivos ao mesmo tempo o softaware aceita inclusão de testes de controles internos específicos tais como digito verificador provê cálculos específicos para sistemas específicos tais como Contas-Correntes podem processar header labels 9. Analise as sentenças abaixo. I - verificar se a chave primária do arquivo possui digito de controle II - verificar se houve mais de uma proposta para compra de 50 micro-computadores, conforme exigido pela politica de compras da empresa III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas. (F,F,F,V) (F,V,V,F) (F,V,F,F) (V,V,V,F) (V,F,V,F) 10. Lei com atenção a afirmativa e marque a opção que a completa corretamente: "... Este tipo de teste é de fundamental importância na complementação dos testes de observância, considerando que são através dos ______________________ que o auditor tem condições de constatar sobre a fidedignidade das transações e registros..." testes substantivos testes de observância testes de fidedignidade testes de integridade testes de auditoria
Compartilhar