ATIVIDADE AUDITORIA DE SISTEMAS

Prévia do material em texto

ATIVIDADE - AUDITORIA DE SISTEMAS 
 
AULA 1 
 
1. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar 
distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade 
com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de 
Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo:
 
 
Diretoria Executiva 
Diretoria de Informática 
Diretoria Administrativa 
Presidência Executiva 
Diretoria Financeira 
 
2. Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos 
necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da 
técnica: 
 
abordagem ao redor do computador 
abordagem interna ao computador 
abordagem externa ao computador 
abordagem com o computador 
abordagem através do computador 
 
3. A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque 
a opção que responde de forma verdadeira a afirmativa: 
 
ela necessita de autonomia para executar suas atividades 
os auditores não tem horário fixo para exercer suas atividades 
esta posição demonstra o status e o poder que a Auditoria possui 
ela diz para os gerentes como consertar as falhas encontradas 
os salários dos auditores são compatíveis com os dos diretores 
 
4. Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, 
estamos falando de auditoria externa. Neste caso: 
 
o treinamento dos auditores é responsabilidade da área de recursos humanos 
o custo é distribuído pelos auditados 
a equipe será treinada conforme objetivos de segurança da empresa 
a metodologia utilizada é da empresa de auditoria externa 
o controle sobre trabalhos realizados é mais seguro 
 
5. Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: 
I. Está calçada em segurança e em controles internos 
II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos 
III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa 
 
 
Somente a sentença III está correta 
Somente as sentenças I e III estão corretas 
Somente as sentenças I e II estão corretas 
Todas as sentenças estão corretas 
Somente as sentenças II e III estão corretas 
 
6. Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo estão corretas, exceto 
uma. Identifique-a 
 
Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser desenvolvida pela empresa 
Os auditores de sistema possuem autoridade para verificarem dados extremamente confidenciais da empresa, desde 
que façam parte dos sistemas auditados 
Os auditores de sistema devem evitar relacionamento pessoal com os auditados 
Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já que estão posicionados em um alto 
nível no organograma da empresa 
O auditor de Sistemas deve conhecer os negócios da empresa 
 
 
AULA 2 
 
1. Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças: 
 
I - desligar a força da sala do CPD 
II - instalar sprinklers e sensores de calor na sala do CPD 
III - telefonar para o Corpo de Bombeiros 
 
somente a III 
Somente a II 
I, II e III 
I e II 
I e III 
 
2. Em relação à matriz de risco para confecção de um plano de contingência para um CPD, podemos afirmar que. 
 
para sua elaboração só consideramos os riscos identificados pelo cliente 
consideramos para sua elaboração as variáveis probabilidade de ocorrencia e impacto 
ela deve ser atualizada a cada descoberta de um novo virus 
ela determinará a frequencia com que os anti-virus deverão ser atualizados 
os critérios de seleção são escolhidos pelo gerente da área de segurança 
 
3. Assinale a opção verdadeira: 
Respostas de risco são 
 
ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria 
atividades que devem ser evitadas para não gerar riscos 
ações a serem seguidas na eventualidade da ocorrência de uma ameaça 
relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado 
ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores 
 
4. As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas 
são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior 
escore de risco. São fatores que influenciam o escore de risco de um sistema: 
 
custo do sistema, número de requisitos funcionais e visibilidade do cliente 
custo do sistema, nível de documentação existente e complexidade dos cálculos 
visibilidade do cliente, volume médio diário de transações processadas e idade do sistema 
volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas 
capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais 
 
5. Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a opção que não se 
constitui uma ameaça; 
 
Vazamento de Informação; 
Troca de senha por invasão de hacker; 
Violação de integridade; 
Ameça Concretizada; 
Indisponibilidade de serviços de informatica; 
 
6. Identifique nas sentenças abaixo o que são erros (E) e o que são riscos (R). 
 
I - Falha no dispositivo de gravação de disco 
II - Falta de suprimento para impressão de contra-cheques 
III - Totalização no relatório de estoque incorreto 
IV - Queda de energia eletrica 
 
E,R,E,R 
R,E,E,R 
E,R,R,E 
R,E,R,E 
R,R,E,E 
 
AULA 3 
 
1. Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: 
 
integridade de dados 
segurança do sistema 
processo de desenvolvimento 
guarda de ativos 
conformidade 
 
2. As fases de uma Auditoria de Sistemas são: 
 
Planejamento; Exemplificação; Transmissão de relatórios; Backup 
Planejamento; Exemplificação; Transferência de relatórios; Backup 
Projeto; Execução; Emissão e divulgação de requisitos; Follow-up 
Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up 
Projeto; Execução; Emissão e divulgação de releases; Acompanhamento 
 
3. Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa 
correta: 
 
I. Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que 
normalmente é feito pelo escore de risco 
II. Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de 
Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho 
III. Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e 
também após a emissão do relatório 
 
Todas as sentenças estão corretas 
Somente as sentenças II e III estão corretas 
Somente a sentença I está correta 
Somente as sentenças I e II estão corretas 
Somente a sentença II está correta 
 
4. A auditoria é uma atividade realizada em fases. Uma das fases é conhecida como FOLLOW-UP. Esta fase trata 
efetivamente do acompanhamneto de falahas. Marquea afirmativa correta referente ao acompanhamento desta fase:
 
todo o acompanhamento não necessita ser documentado e não servirá de subsídio para auditorias futuras do mesmo 
sistema ou cpd 
todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou cpd 
o acompanhamento é opcional não tem nenhuma relevância para a próxima auditoria independente de ser ou não o 
mesmo sistema ou cpd 
uma auditoria realizada em um sistema não influência na próxima auditoria que o memso venha passar. Inclusive o 
cpd nunca é auditado. 
todo o acompanhamento deve ser documentado e será aproveitado para auditorias futuras em outro novo sistema ou 
cpd 
 
5. Marque a alternativa que preencha corretamente as lacunas: 
 
A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação 
nela. Isto fica por conta dos ________________, que representam o como ela será implementada. 
 
política de segurança / programas 
classificação da informação / programas 
política de segurança / procedimentos 
estrutura organizacional / grau de maturidade 
política de segurança / acionistas majoritários 
 
6. As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica? 
 
Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. 
Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de 
computador para auditoria, simulado e elaborado pelo auditor. 
Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor 
Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos) 
Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob 
auditoria, com foco nos pontos de controle a serem verificados. 
 
AULA 4 
 
1. Programa De Computador Para Auditoria são programas especializados, correlacionando dados e arquivos, 
tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta 
(mainframe) como para baixa plataforma (microcomputadores).Qual tem abaixo NÃO é considerado como uma 
função inclusa em programas de Auditoria? 
 
Estatística dos campos dos arquivos 
Contagem de campos/registros 
Correlação de arquivos 
Executa somente fuções padrão 
Tabulação de campos 
 
2. A Auditoria de Sistemas é uma atividade orientada para a avaliação dos procedimentos de controle e segurança da 
informação, recursos, serviços e acessos, bem como, a conformidade com objetivos da empresa, políticas, orçamentos, 
normas ou padrões. Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação. 
 
Para executar o seu trabalho, o auditor pode contar com três tipos de programas de auditoria de tecnologia de 
informação, que são: 
 
Softwares generalistas, Softwares especializados e Softwares utilitários. 
Softwares de instalação, Softwares de backup e Softwares de restore. 
Softwares de instalação, Softwares de especialização e Softwares de proposição. 
Softwares de instalação, Softwares de correção e Softwares de observação. 
Softwares de instalação, Softwares de observação e Softwares de correção. 
 
3. Considerando as opções abaixo identifique a correta para a seguinte questão:Podemos realizar uma auditoria de 
sistemas naqueles que estiverem em : 
 
desenvolvimento ou aquisição de software 
aquisição de hardware ou de software. 
documentação ou em testes. 
desenvolvimento ou aquisição de hardware 
desenvolvimento ou em operação. 
 
4. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: 
 
(V) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme 
a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & 
Analysis). 
 
(V) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a 
finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem características pouco comuns, 
como, por exemplo, sistemas de leasing e sistemas de câmbio. 
 
(V) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar 
determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. 
 
(F) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle 
de forma remota, através de um programa instalado no seu computador. 
 
(F) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam 
formulários especiais para coleta de dados. 
 
Agora assinale a alternativa correta: 
 
V,V,V,V,F 
F,F,F,V,V 
F,F,F,F,F 
V,V,V,V,V 
V,V,V,F,F 
 
5. Quando a auditorias de sistemas ocorre em sistremas em desenvolvimento, a atenção dos auditores é focada em qual 
etapa do desenvolvimento? 
 
Naquilo que foi planejado em termos de testes internos, processos e controles de negócios a serem desenvolvidos; 
Naquilo que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados 
nos sistemas. 
Naquilo que foi planejado em termos de controles internos, orçamentos de hardware para os sistemas. 
Nos controles internos, processos e controles de negócios a serem implementados nos sistemas. 
Naquilo que foi planejado em termos de controles internos, processos custos de negócios a serem implementados nos 
sistemas. 
 
6. O Senhor Alexandre possui uma Corretora de Seguros e resolveu investir em tecnologia da informação para 
aumentar o diferencial competitivo de sua empresa. Para viabilizar a sua estratégia ele contratou consultores com 
experiência em inovação na área de seguros. Os consultores incluíram no projeto a utilização de um "Data Center", 
deixando a própria Corretora como responsável pela execução do backup das operações diárias de serviço. 
 
Considerando o cenário apresentado, o tipo de software que melhor se aplica a demanda da Corretora para a realização 
dos backups é: 
 
Software Utilitário. 
Software Generalista. 
Software CRM. 
Software Especialista. 
Software ERP. 
 
AULA 5 
 
1. A quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados 
é uma técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento 
de programas. Para tanto são utilizados: 
 
Mapeamento estatístico dos programas de computador 
Mapeamento estatísticos de testes de observância 
Mapeamento estatístico dos testes de regressão; 
Mapeamento estatístico de testes substantivos; 
Mapas de Ponto de Função; 
 
 
2. A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, 
flagrando rotinas não utilizadas é a técnica: 
 
simulação paralela 
análise lógica de programação 
lógica de auditoria embutida nos sistemas 
análise do log accounting 
mapping 
 
3. Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante 
o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; - Quantidade de vezes que 
cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. Marque a opção que se 
refere a técnica citada: 
 
Teste do Sistema Auditado 
Mapeamento EstatísticoDos Programas De Computador (Mapping) 
Facilidade De Teste Integrado 
Dados De Teste 
Simulação Paralela 
 
4. Correlacione as colunas abaixo e depois marque a alternativa correta: 
 
1) Testes de observância 
2) Testes substantivos 
3) Simulação paralela 
 
(3) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção. 
 
(1) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão 
sendo cumpridos pelos seus colaboradores. 
 
(2) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as 
transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos. 
 
(3) Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi 
elaborado ou encomendado pelo auditor. 
 
(1) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os 
colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc. 
 
Agora assinale a alternativa correta: 
 
1,1,3,2,2 
3,1,2,1,3 
3,2,1,1,3 
3,2,1,3,1 
3,1,2,3,1 
 
5. Analise as sentenças abaixo. 
I - verificar se a chave primária do arquivo possui digito de controle 
II - verificar se houve mais de uma proposta para compra de 50 micro-computadores, conforme exigido pela politica 
de compras da empresa 
III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente 
IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. 
 
Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas. 
 
(F,F,F,V) 
(V,V,V,F) 
(V,F,V,F) 
(F,V,F,F) 
(F,V,V,F) 
 
6. A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa 
chama-se: 
 
rastreamento 
facilidade de teste integrado 
análise do log accounting 
mapping 
análise lógica de programação 
 
AULA 6 
1. A segurança da empresa é responsabilidade 
 
da área de TI 
da área de auditoria 
de todos os envolvidos 
da gerencia administrativa 
da diretoria operacional 
 
2. Apenas controle não garante a segurança de uma empresa. É necessário garantir a proteção das informações, 
serviços e acesso, no intuito de __________________________________________. Assinale dentre as opções abaixo 
aquela que complementa, corretamente, o conceito apresentado. Apenas controle não garantes a segurança de uma 
empresa. Segurança na empresa significa proteção das informações, serviços e acesso, no intuito de ----------------------
------------------------. Escola dentre as opções abaixo aquela que complementa corretamente o conceito apresentado. 
 
Reduzir probabilidade de danos; 
Melhorar o controlke dos custos envolvidos; 
Conceituar as pessoas envolvidas no projeto; 
Favorecer o entrosamento dos participantes na auditoria; 
Permitir uma visualização adequada dos auditores; 
 
3. Toda informação tem um dono, é aquele que a gera. A informação a classificada como secreta , aponta que a sua 
violação interna ou externa é extremamente crítica. Este tipo de informação de deve ser autorizada para quantas 
pessoas? 
 
Somente dos integrantes da diretoria; 
Somente do auditor chefe; 
Somente 2 ou 3 pessoas; 
Somente duas pessoas; 
Somente uma pessoa; 
 
4. As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção 
de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas 
proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. 
 
Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a 
técnica denominada "Rastreamento e Mapeamento" envolve .................................... 
 
Marque a opção abaixo que completa a afirmativa: 
 
a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são 
inconsistentes. 
a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já 
identificadas nas documentações do sistema 
a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. 
o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do 
processamento de algumas transações. 
o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa 
rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos 
 
5. Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser 
levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. 
Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado. 
 
Matriz de riscos; 
Utilização de crachá; 
Controle de entrada e saída de funcionários; 
Identificação biométrica; 
Identificação pela biometria de iris; 
 
6. Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados. 
Referente a esta afirmativa quais recursos estão sendo tratados: 
 
hardware e aplicativos 
hardware e relatórios 
software e aplicativos 
dados e recursos materiais 
software e relatórios 
 
AULA 7 
1. Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente 
diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um 
exemplo eficaz destas perguntas é: 
 
Cidade onde nasceu? 
Número de seu RG? 
Data de seu nascimento? 
Nome do pai? 
Data de vencimento da fatura do cartão? 
 
2. O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio 
e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas 
de acessos frustradas; e, etc. Escolha a alternativa que preencha corretamente a lacuna: 
 
Software de controle de trilha de auditoria. 
Software de controle de rede. 
Software de controle de acesso. 
Software de controle de inventário. 
Software de controle de perfil. 
 
3. Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes: 
 
Processo de escolha do Gerente do Projeto. 
Desenho das arquiteturas e topologia da rede; 
Implementação dos projetos físicos e lógicos; 
Monitoramento dos desempenho de possíveis interceptações nas redes; 
Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática; 
 
4. O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança 
 
fisica, de enlace e de aplicação 
lógica, de desempenho e de protocolos 
de desempenho, de configuração e física 
fisica, de protocolos e de reposição 
lógica, de enlace e de monitoramento 
 
5. Em relação a controle de acesso, identifique a única afirmativa correta. 
 
Um arquivo de log de acessos ao banco de dados é utilizado para controle de acesso físico 
Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para acesso físico como lógico 
O assédio moral é um exemplo de engenharia social 
Um detector de porte de metais é necessário para evitaracesso físico indevido ao CPD 
A biometria é usada para assegurar o controle lógico das informações 
 
6. O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema 
Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: 
 
Confidencialidade 
Privacidade 
Auditabilidade 
Integridade 
Acuidade 
 
AULA 8 
1. Se uma empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente. Assinale a única opção 
que não está correta em relação aos controles que deverão existir. 
 
Os testes doa programas para efeito de cronograma deverão ser realizados somente na implantação do sistema. 
Toda a documentação deverá estar concluída e aprovada pelo gerente do Sistema;; 
A codificação de programas novos ou alterados deverão estar sujeita à revisão pelos supervisores de programação; 
Os programas deverão ser desenvolvidos de maneira consistente e de acordo com os padrões de programação ou 
outras orientações usadas pela empresa.; 
Os sistemas novos ou modificados não deverão ser colocados em operação antes de estarem autorizados e aprovados 
para implantação.: 
 
2. O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas. 
Entre as alternativas abaixo, qual delas descreve três desses critérios? 
 
Confidencialidade, integridade e disponibilidade 
Eficiência, responsabilidade e atitude 
Conformidade, efetividade e responsabilidade 
Integridade, confidencialidade e responsabilidade 
Responsabilidade, habilidade e atitude 
 
3. Dentre as opções abaixo assinale aquela não se aplica, aos grandes grupos de processos a serem seguidos para que 
uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa. 
 
Pagamento de Fatura; 
Planejamento das aquisições ; 
Planejamento das solicitações ; 
Solicitação ; 
Administração do contrato ; 
 
4. A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com 
responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização 
nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: 
 
Funções Superficiais e Funções Esporádicas 
Funções Rotineiras e Funções Superficiais 
Funções Rotineiras e Funções Esporádicas 
Funções Rotineiras e Funções Integradas 
Funções Integradas e Funções Superficiais 
 
5. Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam 
programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em 
tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ? 
 
Auditoria de desenvolvimnto de sistemas 
Auditoria de suporte técnico 
Auditoria de redes 
Auditoria de operações de sistemas 
Auditoria de manutenção de sistemas 
 
6. No capitulo 12 do PMBOK estudamos as aquisições do projeto, ou seja, aquilo que não há na empresa e que 
precisamos adquirir. Um dos conceitos aprendidos foi o que são declarações de trabalho. Marque a sentença que 
corresponde à definição de declarações de trabalho. 
 
Descrevem a aquisição a ser feita detalhadamente o suficiente para que os fornecedores em potencial possam avaliar 
se são capazes ou não de fornecer o produto ou serviço. 
Definem todo o trabalho a ser feito pelos desenvolvedores do projeto 
Definem os recursos a serem alocados no projeto 
Enumeram as entregas adquiridas que já foram produzidas e testadas no projeto 
Definem a duração das atividades a serem realizadas no projeto 
 
AULA 9 
1. Ao preparar um relatório devemos ter cuidado com nossa escrita. Devemos evitar a escrever em círculos porque 
escrever em círculos pode aparentar ao leitor que o escritor tem:.........Marque a única opção FALSA 
 
Inabilidade em selecionar as palavras corretas. 
Insegurança quanto ao término de um parágrafo 
Insegurança no objetivo da matéria escrita 
Inabilidade em estruturar adequadamente sua escrita. 
Insegurança quanto ao ponto que o escritor quer atingir. 
 
2. Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um 
____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência 
de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da 
auditoria, incluindo a gerência da Auditoria). Marque a opção que completa corretamente a afirmativa: 
 
relatório online 
relatório parcial 
relatório sequencial 
relatório DRAFT (rascunho) 
relatório expositivo 
 
3. Pedro estava auditando o Sistema de Crediário das Lojas Vendem Bem quando descobriu que havia um percentual 
de 25% de clientes com atraso no pagamento das mensalidades. Como os correios estavam em greve, ele inferiu que 
esta era a causa dos atrasos e solicitou que o operacional da empresa executasse a contingência para a ameaça "greve 
dos correios". A atitude de Pedro não está correta porque: 
 
Não foi feito teste no plano de contingência 
Todo trabalho do auditor é baseado em fatos e não em opiniões pessoais 
Não havia contingência para a ameaça greve dos correios 
O percentual de inadimplência não refletia ameaças para a empresa 
Não havia política de segurança na empresa sobre inadimplência 
 
4. Assim que uma falha é identificada em uma auditoria, ela deve: 
 
Ser comunicada verbalmente ao gerente da área auditada 
Ser reportada em relatório apropriado para acerto imediato 
Ser acertada pelo auditor e reportada a seguir para a gerencia auditada 
Ser reportada à diretoria da empresa através de relatório de auditoria 
Ser comunicada ao gerente da Auditoria para inserção no relatório final 
 
5. Um relatório deve apresentar: Um relatório deve apresentar uma descrição correta e clara das falhas de modo a 
evitar má- interpretação e mau entendimento. Devem ser incluídas informações de tamanho dos testes ou métodos de 
seleção de itens para teste, de modo que o leitor possa relacionar tal informação ao total da atividade e às falhas. 
Considerando a objetividade da escrita, qual das opções abaixo esta incorreta , em relação aos conceitos abordados. da 
escrita 
 
Permitir que os fatos falem por si só; 
Poder ser facilmente mal interpretado. 
Ser menos aberto à disputas/discussões; 
Colocar comentários na perspectiva certa - evita o trivial. 
Ser mais convincente; 
 
6. Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um 
____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência 
de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da 
auditoria, incluindo a gerência da Auditoria). Marque a opção que completa corretamente a afirmativa: 
 
relatório DRAFT (rascunho) 
relatório parcial 
relatório sequencial 
relatório expositivo 
relatório online 
 
AULA 10 
1. Referente a avaliação de software de auditoria de sistemas para aquisição podemos afirmar que: devem ser 
examinadas características ____________________, consideradas relevantes para o processo de planejamento, 
estruturação, execução, controle e emissão de relatório de auditoria, assim como aspectos referentes a fornecedor, 
suporte e custos. Marque a opção que completa a afirmativa corretamente: 
 
funcionais e auditáveis 
funcionais e interativas 
tecnológicas e complexas 
funcionais e tecnológicas 
tecnológicas e interativas2. Ao analisarmos um software de auditoria para aquisição, devemos examinar características funcionais e 
tecnológicas, consideradas relevantes para o processo ....marque a única opção INCORRETA 
 
de planejamento 
de execução 
de elaboração de massa de teste 
de estruturação 
de controle 
 
3. Alguns aspectos devem ser considerados ao serem considerados na escolha de um software. Os aspectos 
relacionados a custo é um deles. Aponte dentre as opções colocadas aquela que não está correta. 
 
Permitir a supervisão online 
Viagens e diárias; 
Taxa de manutenção; 
Valor de uso da licença; 
Serviços de treinamento; 
 
4. A empresa BC Projetos possui escritório em várias cidades do Brasil. O departamento de Auditoria Interna situa-se 
na cidade de São Paulo. A gerencia da Auditoria necessita verificar diariamente o andamento do trabalho de seus 
auditores. Para auxiliar seu trabalho, a gerencia resolveu adquirir o software Audit Automation Facility 
especificamente porque: 
Ele permite acesso aos dados relevantes das auditorias encerradas 
Ele permite revisão dos trabalhos à distância - CORRETA 
Ele permite um planejamento assistido 
Ele gera relatórios de auditoria 
Ele automatiza o processo de cobrança das soluções para os planos de ação 
 
5. Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de 
auditoria de sistemas, devemos considerar: 
 
Valor da licença de uso 
Facilidade para pesquisa por palavra ou string 
Integração com e-mail 
Disponibilização de código de fonte aberto 
Log de alterações 
 
6. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: 
 
(V) Faz parte das boas práticas de seleção de software de auditoria a análise de catálogos, prospectos, folders e 
documentação sobre esse software disponíveis no mercado. 
 
(V) Faz parte das boas práticas de seleção de software de auditoria realizar visita nas empresas que já possuem o 
software e entrevistar alguns de seus usuários. 
 
(F) Faz parte das boas práticas de seleção de software de auditoria desconsiderar as funcionalidades desse software, 
caso a empresa fornecedora seja reconhecidamente idônea. 
 
(V) Faz parte das boas práticas de seleção de software de auditoria avaliar a tecnologia empregada no software, o seu 
custo, assim como, a capacidade e a disponibilidade de suporte técnico. 
 
(V) Faz parte das boas práticas de seleção de software de auditoria avaliar o seu desempenho, versatilidade e 
consistência. A rastreabilidade, assim como, a compatibilidade e a capacidade de automação de processos têm um 
peso menor na escolha e podem ser desconsideradas. 
 
Agora assinale a alternativa correta: 
 
V,V,F,V,F 
V,V,F,F,V 
F,F,F,V,V 
V,V,V,V,V 
F,F,V,F,V 
 
AV1 
 
1. Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. 
 
I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, 
preferencialmente, um funcionário ou ter um cargo nessa área. 
II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir 
os padrões profi ssionais aplicáveis. 
III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões 
e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil. 
IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemas e Controles, seus membros 
devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando 
exigido legalmente. 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
II e III 
III e IV 
II e IV 
I e II 
I e III 
 
2. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar 
distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade 
com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de 
Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: 
 
Diretoria Administrativa 
Presidência Executiva 
Diretoria de Informática 
Diretoria Financeira 
Diretoria Executiva 
 
3. Em relação à matriz de risco para confecção de um plano de contingência para um CPD, podemos afirmar que 
 
os critérios de seleção são escolhidos pelo gerente da área de segurança 
consideramos para sua elaboração as variáveis probabilidade de ocorrencia e impacto 
ela deve ser atualizada a cada descoberta de um novo virus 
ela determinará a frequencia com que os anti-virus deverão ser atualizados 
para sua elaboração só consideramos os riscos identificados pelo cliente 
 
4. Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de Processamento de 
Dados) e assinale se são verdadeiras (V) ou falsas (F). 
 
I - Fazemos planos de emergência apenas para os sistemas não críticos 
II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de emergência 
III - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma ameaça. 
 
F,F,V 
F,V,F 
V,F,F 
V,F,V 
F,F,F 
 
5. Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é 
conhecido como: 
 
ponto de partida 
ponto de controle 
ponto de auditoria 
ponto de integração 
documentação 
 
6. Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: 
 
legibilidade operacional 
integridade de dados 
processo de desenvolvimento 
segurança do sistema 
conformidade 
 
7. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: 
 
(V) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme 
a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & 
Analysis). 
(V) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a 
finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem características pouco comuns, 
como, por exemplo, sistemas de leasing e sistemas de câmbio. 
(V) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar 
determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. 
(F) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle 
de forma remota, através de um programa instalado no seu computador. 
(F) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam 
formulários especiais para coleta de dados. 
 
• Agora assinale a alternativa correta: 
 
V,V,V,V,F 
F,F,F,V,V 
V,V,V,V,V 
V,V,V,F,F 
F,F,F,F,F 
 
8. Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é chamado de 
______________________________. Estes, são programas desenvolvidos pelos auditores ou sob encomenda. Sua 
finalidade é testar particularidades de sistemas auditados que possuem características comuns. Marque a opção que 
completa corretamente a afirmativa: 
 
SOFTWAREESPECIALISTA PARA CONTROLE E AUTOMAÇÃO 
SOFTWARE ESPECIALIZADO EM AUDITORIA 
SOFTWARE ESPECIALISTA PARA CONSUMO PÚBLICO 
SOFTWARE PRÓPRIO E GENERALISTA 
SOFTWARE GENERALISTA 
 
9. Correlacione as colunas abaixo e depois marque a alternativa correta: 
 
1) Testes de observância 
2) Testes substantivos 
3) Simulação paralela 
 
(3) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção. 
(1) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão 
sendo cumpridos pelos seus colaboradores. 
(2) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as 
transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos. 
(3) Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi 
elaborado ou encomendado pelo auditor. 
(1) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os 
colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc. 
 
• Agora assinale a alternativa correta: 
 
3,1,2,1,3 
1,1,3,2,2 
3,1,2,3,1 
3,2,1,3,1 
3,2,1,1,3 
 
10. Analise as sentenças abaixo. 
 
I - verificar se a chave primária do arquivo possui digito de controle 
II - verificar se houve mais de uma proposta para compra de 50 micro-computadores, conforme exigido pela politica 
de compras da empresa 
III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente 
IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. 
 
Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas. 
 
(V,F,V,F) 
(V,V,V,F) 
(F,V,V,F) 
(F,F,F,V) 
(F,V,F,F) 
 
AV2 
 
1. A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque 
a opção que responde de forma verdadeira a afirmativa: 
 
ela necessita de autonomia para executar suas atividades 
esta posição demonstra o status e o poder que a Auditoria possui 
os auditores não tem horário fixo para exercer suas atividades 
os salários dos auditores são compatíveis com os dos diretores 
ela diz para os gerentes como consertar as falhas encontradas 
 
2. Considere as seguintes descrições: 
 
I. Controle de acesso (físico e lógico) 
II. Gravação e atualização autorizadas 
III. Sistema disponível quando necessário 
IV. Sistema funciona conforme requisitos 
V. Sistema atuará conforme o esperado 
 
A opção que melhor representa o significado de cada uma delas respectivamente é: 
 
Consistência; Confidencialidade; Integridade; Disponibilidade; e, Confiabilidade. 
Confidencialidade; Confiabilidade; Integridade; Disponibilidade; e, Consistência. 
Confidencialidade; Disponibilidade; Consistência; Integridade; e, Confiabilidade. 
Confiabilidade; Integridade; Confidencialidade; Disponibilidade; e, Consistência. 
Confidencialidade; Integridade; Disponibilidade; Consistência; e, Confiabilidade. 
 
3. A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificar-se 
de que ........ De acordo com a afirmativa assinale a alternativa coreta: 
 
a equipe de contingência está preparada para realizar um treinamento no momento de ocorrência de um desastre 
o sistema de qualidade executa suas tarefas periodicamente 
o sistema de recuperação de backups é lento e não satisfaz plenamente ao desejado pela organização 
esses planos são testados periodicamente. 
existe a possibilidade de se desenvolver planos que contemplem todas as necessidades de contingências 
 
4. Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a opção que não se 
constitui uma ameaça; 
 
Violação de integridade; 
Indisponibilidade de serviços de informatica; 
Vazamento de Informação; 
Troca de senha por invasão de hacker; 
Ameça Concretizada; 
 
5. As fases de uma Auditoria de Sistemas são: 
 
Projeto; Execução; Emissão e divulgação de requisitos; Follow-up 
Planejamento; Exemplificação; Transmissão de relatórios; Backup 
Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up 
Projeto; Execução; Emissão e divulgação de releases; Acompanhamento 
Planejamento; Exemplificação; Transferência de relatórios; Backup 
 
6. Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de 
processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É 
exemplo de controle de processo: 
 
ordem de serviço 
política empresarial 
aceite do usuário 
segurança do sistema 
suprimento sensível 
 
7. Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem 
embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas utilitários:
 
a desvantagem é o extenso tempo em aprender sua utilização 
podemos usar cálculos específicos para os sistemas auditados 
os auditores não necessitam de muita experiência em programação 
a vantagem é a execução de apenas funções padrões 
podemos incluir testes específicos do sistema auditado 
 
8. Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram 
implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares 
generalistas, entre outras, podemos citar: 
 
extração de dados de amostra 
controle de lote 
saldo devedor do sistema de financiamento de casa própria 
testes do digito verificador do cliente 
inclusão de trailler label 
 
9. A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa 
chama-se: 
 
análise lógica de programação 
análise do log accounting 
mapping 
Rastreamento 
facilidade de teste integrado 
 
10. A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, 
flagrando rotinas não utilizadas é a técnica: 
 
lógica de auditoria embutida nos sistemas 
mapping 
análise lógica de programação 
simulação paralela 
análise do log accounting 
 
AV3 
 
1. Analise as sentenças abaixo sobre Auditoria de Sistemas e, em seguida, assinale a alternativa correta: 
 
I. Tem como objetivo garantir a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, 
regras, normas e padrões 
II. Os recursos envolvidos podem ser humanos, tecnológicos e materiais 
III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa
 
Somente as sentenças II e II estão corretas 
Somente a sentença III está correta 
Somente as sentenças I e II estão corretas 
Somente a sentença I está correta 
Todas as sentenças estão corretas 
 
2. Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos da segurança e este 
objetivo é conhecido por: 
 
confiabilidade 
integridade 
credibilidade 
confidencialidade 
consistência 
 
3. Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de Processamento de 
Dados) e assinale se são verdadeiras (V) ou falsas (F). 
 
I - Fazemos planos de emergência apenas para os sistemas não críticos 
II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de emergênciaIII - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma ameaça. 
 
F,V,F 
F,F,V 
V,F,F 
F,F,F 
V,F,V 
 
4. Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. 
 
I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de 
dados, por meio de autorização e registro de responsabilidade. 
II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se 
contra falhas de controle que podem surgir durante especificações de sistemas, desenho, programação, testes e 
documentação de sistemas. 
III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a responsabilidade dos 
colaboradores auditados. 
IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em tecnologia da 
informação deve ser realizado ou planejado para a equipe de auditores do quadro de colaboradores da organização. 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
II e III 
I e II 
I e III 
III e IV 
II e IV 
 
5. Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do 
tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o 
auditor gastará no trabalho efetuado em cada: 
 
ponto de auditoria 
teste de unidade 
comunicação de falha encontrada 
unidade de controle 
ponto de controle 
 
6. Sobre o trabalho de auditoria, podemos afirmar que: 
 
I) O auditor deve guardar as evidências relacionadas com as não conformidades encontradas durante o trabalho de 
campo; 
II) Existem determinados tipos de não conformidades que o auditor deve ajudar, orientando sobre a melhor solução 
que deve ser dada para o cenário encontrado; 
III) O auditado pode discordar de uma não conformidade, informando ao auditor por escrito e justificando a sua 
discordância. 
 
Agora assinale a alternativa correta: 
 
Somente II e III são proposições verdadeiras. 
Somente I e II são proposições verdadeiras. 
Somente I e III são proposições verdadeiras. 
I, II e III são proposições verdadeiras. 
Somente I é proposição verdadeira. 
 
7. Quando a auditorias de sistemas ocorre em sistremas em desenvolvimento, a atenção dos auditores é focada em qual 
etapa do desenvolvimento? 
 
Nos controles internos, processos e controles de negócios a serem implementados nos sistemas. 
Naquilo que foi planejado em termos de testes internos, processos e controles de negócios a serem desenvolvidos; 
Naquilo que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados 
nos sistemas. 
Naquilo que foi planejado em termos de controles internos, orçamentos de hardware para os sistemas. 
Naquilo que foi planejado em termos de controles internos, processos custos de negócios a serem implementados nos 
sistemas. 
 
8. Uma das vantagens de uso de softwares generalista é que: 
 
as aplicações podem ser feitas online e utilizadas em outros sistemas 
o software pode processar vários arquivos ao mesmo tempo 
o softaware aceita inclusão de testes de controles internos específicos tais como digito verificador 
provê cálculos específicos para sistemas específicos tais como Contas-Correntes 
podem processar header labels 
 
9. Analise as sentenças abaixo. 
 
I - verificar se a chave primária do arquivo possui digito de controle 
II - verificar se houve mais de uma proposta para compra de 50 micro-computadores, conforme exigido pela politica 
de compras da empresa 
III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente 
IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. 
 
Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas. 
 
(F,F,F,V) 
(F,V,V,F) 
(F,V,F,F) 
(V,V,V,F) 
(V,F,V,F) 
 
10. Lei com atenção a afirmativa e marque a opção que a completa corretamente: "... Este tipo de teste é de 
fundamental importância na complementação dos testes de observância, considerando que são através dos 
______________________ que o auditor tem condições de constatar sobre a fidedignidade das transações e 
registros..." 
 
testes substantivos 
testes de observância 
testes de fidedignidade 
testes de integridade 
testes de auditoria