Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão Analise as sentenças abaixo sobre Auditoria de Sistemas e, em seguida, assinale a alternativa correta: I. Tem como objetivo garantir a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas e padrões II. Os recursos envolvidos podem ser humanos, tecnológicos e materiais III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Somente a sentença III está correta Somente as sentenças I e II estão corretas Todas as sentenças estão corretas Somente a sentença I está correta Somente as sentenças II e II estão corretas 2a Questão Há dois grandes meios de se ter uma equipe de auditoria. Com base na afirmativa marque a opção que indica os dois tipos de equipe de auditoria: EQUIPE INTERNA E CONSULTORIA EQUIPE INTERNA E EXTERNA EQUIPE INTERNA E VIRTUAL EQUIPE PREESENCIAL E VIRTUAL EQUIPE EXTERNA E CONSULTORIA 3a Questão Considere as seguintes descrições: I. Controle de acesso (físico e lógico) II. Gravação e atualização autorizadas III. Sistema disponível quando necessário IV. Sistema funciona conforme requisitos V. Sistema atuará conforme o esperado A opção que melhor representa o significado de cada uma delas respectivamente é: Confiabilidade; Integridade; Confidencialidade; Disponibilidade; e, Consistência. Confidencialidade; Disponibilidade; Consistência; Integridade; e, Confiabilidade. Confidencialidade; Confiabilidade; Integridade; Disponibilidade; e, Consistência. Confidencialidade; Integridade; Disponibilidade; Consistência; e, Confiabilidade. Consistência; Confidencialidade; Integridade; Disponibilidade; e, Confiabilidade. 4a Questão Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser: Subordinada a diretoria Financeira. logo abaixo da direção executiva da empresa. Subordinada a Diretoria de Tecnologia. No mesmo nível das demais Diretorias. Subordinada a Diretoria Jurídica. 5a Questão Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos da segurança e este objetivo é conhecido por: credibilidade confidencialidade confiabilidade consistência integridade 6a Questão A Auditoria de Sistemas tem como objetivo: permitir o compartilhamento de informações e serviços na rede permitir o acesso à documentação dos aplicativos e sistemas operacionais expandir as fronteiras de acesso aos sistemas e também à Internet garantir a segurança de informações, recursos, serviços e acesso gerenciar todo hardware e software da empresa, garantindo sua manutenção Explicação: O objetivo da Auditoria de Sistemas é garantir a segurança de informações, recursos, serviços e acesso 7a Questão Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área. II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir os padrões profi ssionais aplicáveis. III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil. IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemas e Controles, seus membros devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Indique a opção que contenha todas as afirmações verdadeiras. II e IV I e III III e IV I e II II e III 9a Questão Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: a equipe será treinada conforme objetivos de segurança da empresa a metodologia utilizada é da empresa de auditoria externa o treinamento dos auditores é responsabilidade da área de recursos humanos o controle sobre trabalhos realizados é mais seguro o custo é distribuído pelos auditados Explicação: a metodologia utilizada é da empresa de auditoria externa => sim, é verdade o controle sobre trabalhos realizados é mais seguro => o controle do trabalho realizado é responsabilidade da empresa terceirizada, não podemos dizer se é mais ou menos seguro. a equipe será treinada conforme objetivos de segurança da empresa => Não, a equipe de auditores externos será treinada conforme metodologua da empresa terceirizada o custo é distribuído pelos auditados => não, o custo d auditoria é de quem a contratou o treinamento dos auditores é responsabilidade da área de recursos humanos => Não, a equipe de auditores externos será treinada conforme metodologua da empresa terceirizada 10a Questão A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: os salários dos auditores são compatíveis com os dos diretores ela necessita de autonomia para executar suas atividades ela diz para os gerentes como consertar as falhas encontradas os auditores não tem horário fixo para exercer suas atividades esta posição demonstra o status e o poder que a Auditoria possui Explicação: Um auditor pode não se sentir a vontade para pedir ao seu gerente um plano de contingência caso ele não exista, Os auditores necessitam de flexibilidade e autonomia para exercerem seu trabalho. 11a Questão Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área. II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir os padrões profi ssionais aplicáveis. III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil. IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemas e Controles, seus membros devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Indique a opção que contenha todas as afirmações verdadeiras. III e IV II e III I e III I e II II e IV 12a Questão Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento,estamos falando de auditoria externa. Neste caso: a equipe será treinada conforme objetivos de segurança da empresa a metodologia utilizada é da empresa de auditoria externa o controle sobre trabalhos realizados é mais seguro o treinamento dos auditores é responsabilidade da área de recursos humanos o custo é distribuído pelos auditados Explicação: a metodologia utilizada é da empresa de auditoria externa => sim, é verdade o controle sobre trabalhos realizados é mais seguro => o controle do trabalho realizado é responsabilidade da empresa terceirizada, não podemos dizer se é mais ou menos seguro. a equipe será treinada conforme objetivos de segurança da empresa => Não, a equipe de auditores externos será treinada conforme metodologua da empresa terceirizada o custo é distribuído pelos auditados => não, o custo d auditoria é de quem a contratou o treinamento dos auditores é responsabilidade da área de recursos humanos => Não, a equipe de auditores externos será treinada conforme metodologua da empresa terceirizada 13a Questão Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: abordagem externa ao computador abordagem com o computador abordagem através do computador abordagem interna ao computador abordagem ao redor do computador 14a Questão Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo estão corretas, exceto uma. Identifique-a O auditor de Sistemas deve conhecer os negócios da empresa Os auditores de sistema devem evitar relacionamento pessoal com os auditados Os auditores de sistema possuem autoridade para verificarem dados extremamente confidenciais da empresa, desde que façam parte dos sistemas auditados Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser desenvolvida pela empresa Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já que estão posicionados em um alto nível no organograma da empresa 15a Questão Aponte qual das opções abaixo não corresponde ao pefil do auditor ; Deve ser profundo conhecedor de linguagens orientada a objetos; Deve ter comportamento condizente com quem tem autoridade no assunto; Deve consultar especialistas quando o assunto fugir de seu domínio ; Deve ter conhecimento teórico e prático em Sistemas de Informação Deve ter visão abrangente da empresa; 16a Questão Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: Diretoria Executiva Diretoria Financeira Diretoria de Informática Presidência Executiva Diretoria Administrativa 17a Questão As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema: custo do sistema, número de requisitos funcionais e visibilidade do cliente visibilidade do cliente, volume médio diário de transações processadas e idade do sistema custo do sistema, nível de documentação existente e complexidade dos cálculos capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas 18a Questão Identifique nas sentenças abaixo o que são erros (E) e o que são riscos (R). I - Falha no dispositivo de gravação de disco II - Falta de suprimento para impressão de contra-cheques III - Totalização no relatório de estoque incorreto IV - Queda de energia eletrica R,E,E,R E,R,E,R E,R,R,E R,R,E,E R,E,R,E 19a Questão Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças: I - desligar a força da sala do CPD II - instalar sprinklers e sensores de calor na sala do CPD III - telefonar para o Corpo de Bombeiros somente a III I, II e III I e III Somente a II I e II 20a Questão Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de Processamento de Dados) e assinale se são verdadeiras (V) ou falsas (F). I - Fazemos planos de emergência apenas para os sistemas não críticos II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de emergência III - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma ameaça. V,F,V F,F,F V,F,F F,V,F F,F,V 21a Questão CIPA ¿ Comissão Interna de Prevenção de Acidentes, tem como objetivo a prevenção de acidentes e doenças profissionais, tornando compatível o trabalho com a preservação da vida e da saúde do trabalhador. Assinale dentre as opções abaixo aquela que apresenta o documento que contem as disposições legais; Regulamentadora número 5 (NR 5) do Ministério do planejamento; Regulamentadora número 5 (NR 5) do Ministério do Trabalho e Emprego. Regulamentadora número 7 (NR 5) do Ministério do Trabalho e Emprego. Regulamentadora número 5 (NR 5) do Ministério da Educação; Regulamentadora número 5 (NR 5) do Ministério da Justiça; 22a Questão Assinale dentre as opções abaixo aquela que correponde as COLUNAS da matriz de risco; Impoortância impacto,probabilidade,escore de risco; Ameaça, impacto,custo,escore de risco; Ameaça, impacto,probabilidade,escore de risco; Custo, impacto,probabilidade,escore de risco; Importância, impacto,probabilidade,custo; 23a Questão plano de contingência é formado por 3 compontes: a) Plano de emergência b) plano de backup c) plano de Recuperação. As descrições a seguir: 1).Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 2). Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. 3). São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. Correspondem, respectivamente a: 1b,2a,3c 1b, 2c, 3a 1c, 2a, 3b 1a, 2b, 3c 1c. 2b, 3a 24a Questão Um plano de contingência pode ser definido como: A solução de emergência para eventos não identificados previamente Uma sequenciade ações pre-definidas, a serem executadas na eventualidae da ocorrência de uma ameaça A identificação de uma serie de ameaças e suas ponderações de probabilidade de ocorrência e provavel impacto gerado A manutenção de ambiente preparado para funcionar como back-up na eventualidade de uma parada do CPD da empresa Uma sequencia de ações para geração de arquivos cópia (back-ups) dos principais sistemas da empresa 25a Questão Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: risco vulnerabilidade impacto ataque ameaça Explicação: Por definição, ameaça é um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso. 26a Questão Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: essenciais para manter a continuidade do serviço prioritários para serem refeitos sujeitos a aprovação da crítica do cliente que não devem ser descontinuados por terem caducado definidos pelo usuário como sendo os mais complexos 27a Questão Em relação à matriz de risco para confecção de um plano de contingência para um CPD, podemos afirmar que ela deve ser atualizada a cada descoberta de um novo virus os critérios de seleção são escolhidos pelo gerente da área de segurança ela determinará a frequencia com que os anti-virus deverão ser atualizados consideramos para sua elaboração as variáveis probabilidade de ocorrencia e impacto para sua elaboração só consideramos os riscos identificados pelo cliente 28a Questão Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de dados, por meio de autorização e registro de responsabilidade. II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho, programação, testes e documentação de sistemas. III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a responsabilidade dos colaboradores auditados. IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em tecnologia da informação deve ser realizado ou planejado para a equipe de auditores do quadro de colaboradores da organização. Indique a opção que contenha todas as afirmações verdadeiras. II e IV III e IV II e III I e III I e II 29a Questão Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: funcionários e clientes da empresa todas as pessoas da empresa os diretores e gerentes da empresa as pessoas que tem seus nomes mencionados no plano só para a diretoria da empresa Explicação: Não divulgamos nossas estratégias de segurança para as pessoas, exceto se elas tem algo a ver com as estratégias. Como um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo apenas para as pessoas que tem algo a ver com o plano de emergência. Essas pessoas tem seus nomes no plano de emergência. 30a Questão Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a opção que não se constitui uma ameaça; Indisponibilidade de serviços de informatica; Troca de senha por invasão de hacker; Ameça Concretizada; Vazamento de Informação; Violação de integridade; 31a Questão Segundo Claudia Dias, as ameças podem ser classificadas como: _____________ e _______________. Marque a opção que completa corretamente a afirmativa: ACIDENTAIS E DELIBERADAS ACIDENTAIS E PASSIVAS DELIBERADAS E PASSIVAS DELIBERADAS E ATIVAS ACIDENTAIS E ATIVAS 32a Questão Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco. Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é: Plano de Risco Plano de Backup Plano de Provisões Plano de Emergência Plano de Recuperação Ref.: 201502537310 33a Questão Você esta auditando um Sistema de Folha de Pagamento e fará uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas, da área de Recursos Humanos e da área de Contabilidade a fim de informar que o sistema foi selecionado para ser auditado. Esta reunião é feita na fase do trabalho de auditoria chamada de: levantamento priorização de sistemas a serem auditados planejamento execução controle Ref.: 201502537193 34a Questão As fases de uma Auditoria de Sistemas são: Planejamento; Exemplificação; Transferência de relatórios; Backup Planejamento; Exemplificação; Transmissão de relatórios; Backup Projeto; Execução; Emissão e divulgação de requisitos; Follow-up Projeto; Execução; Emissão e divulgação de releases; Acompanhamento Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up Ref.: 201505360169 35a Questão O objetivo de auditoria que se preocupa se o sistema funciona conforme expectativa dos usuários autorizados é: consistência credibilidade integridade confidencialidade confiabilidade Explicação: Consistência é um atributo de sistema que indica que o sistema funciona conforme expectativa dos usuários Ref.: 201502537304 36a Questão Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa correta: I. Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que normalmente é feito pelo escore de risco II. Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho III. Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e também após a emissão do relatório Somente a sentença I está correta Somente as sentenças II e III estão corretas Somente a sentença II está correta Somente as sentenças I e II estão corretas Todas as sentenças estão corretas Ref.: 201502689683 37a Questão Sobre o trabalho de auditoria, podemos afirmar que: I) O auditor deve guardar as evidências relacionadas com as não conformidadesencontradas durante o trabalho de campo; II) Existem determinados tipos de não conformidades que o auditor deve ajudar, orientando sobre a melhor solução que deve ser dada para o cenário encontrado; III) O auditado pode discordar de uma não conformidade, informando ao auditor por escrito e justificando a sua discordância. Agora assinale a alternativa correta: Somente I e III são proposições verdadeiras. Somente II e III são proposições verdadeiras. Somente I e II são proposições verdadeiras. Somente I é proposição verdadeira. I, II e III são proposições verdadeiras. Ref.: 201502689817 38a Questão As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica? Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos) Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Ref.: 201502676391 39a Questão Ao fazermos a analise de risco de um sistema para determinar seu escore de risco e, desta forma, prioriza-lo para ser auditado, devemos considerar: O número de periféricos necessários, a linguagem de desenvolvimento e o local físico do CPD a linguagem de desenvolvimento, o custo de treinamento dos desenvolvedores e o número de interface com outros sistemas seu volume médio diário de transações, seu custo de desenvolvimento e o impacto em outros sistemas O número de arquivos do sistema, o nivel tecnico dos operadores do sistema e seu volume médio diário de transações O custo do sistema, o local físico do CPD e o número de arquivos do sistema Ref.: 201502692159 40a Questão A auditoria é uma atividade realizada em fases. Uma das fases é conhecida como FOLLOW-UP. Esta fase trata efetivamente do acompanhamneto de falahas. Marque a afirmativa correta referente ao acompanhamento desta fase: o acompanhamento é opcional não tem nenhuma relevância para a próxima auditoria independente de ser ou não o mesmo sistema ou cpd todo o acompanhamento deve ser documentado e será aproveitado para auditorias futuras em outro novo sistema ou cpd todo o acompanhamento não necessita ser documentado e não servirá de subsídio para auditorias futuras do mesmo sistema ou cpd uma auditoria realizada em um sistema não influência na próxima auditoria que o memso venha passar. Inclusive o cpd nunca é auditado. todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou cpd A auditoria é uma atividade realizada em fases. Uma das fases é conhecida como FOLLOW-UP. Esta fase trata efetivamente do acompanhamneto de falahas. Marque a afirmativa correta referente ao acompanhamento desta fase: todo o acompanhamento deve ser documentado e será aproveitado para auditorias futuras em outro novo sistema ou cpd o acompanhamento é opcional não tem nenhuma relevância para a próxima auditoria independente de ser ou não o mesmo sistema ou cpd todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou cpd todo o acompanhamento não necessita ser documentado e não servirá de subsídio para auditorias futuras do mesmo sistema ou cpd uma auditoria realizada em um sistema não influência na próxima auditoria que o memso venha passar. Inclusive o cpd nunca é auditado. Ref.: 201502537184 41a Questão Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: processo de desenvolvimento conformidade segurança do sistema integridade de dados legibilidade operacional Explicação: No planejamento de uma auditoria devemos verificar se existem controle internos no sistema auditado. Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria de segurança do sistema. Ref.: 201502689918 42a Questão Marque a alternativa que preencha corretamente as lacunas: A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação nela. Isto fica por conta dos ________________, que representam o como ela será implementada. classificação da informação / programas política de segurança / programas política de segurança / acionistas majoritários estrutura organizacional / grau de maturidade política de segurança / procedimentos Ref.: 201503046777 43a Questão Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é conhecido como: ponto de integração ponto de partida documentação ponto de auditoria ponto de controle Ref.: 201502537186 44a Questão Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo: ordem de serviço aceite do usuário suprimento sensível segurança do sistema política empresarial Explicação: Controles internos de processo identificam se os processos existem e se estão coerentes com os padrões da empresa. Conforme a lista que estudamos , somente a opção ACEITE DE USUÁRIO representa um controle de processo. Ref.: 201502537182 45a Questão Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: guarda de ativos conformidade processo de desenvolvimento segurança do sistema integridade de dados Ref.: 201502684795 46a Questão AS fases de uma auditoria são: Planejamento ,Execução,Emissão e divulgação de relatórios e Follow-up Execução,Follow-up e emissão e de relatórios. Planejamento ,Execução,Emissão e divulgação de relatórios e Arquivamento. Planejamento ,Execução e Arquivamento. Planejamento,Execução,Follow-up e Arquivamento Ref.: 201502537324 47a Questão Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada: unidade de controle ponto de controle teste de unidade comunicação de falha encontrada ponto de auditoria Considerando as opções abaixo identifique a correta para a seguinte questão:Podemos realizar uma auditoria de sistemas naqueles que estiverem em : desenvolvimento ou aquisição de software desenvolvimentoou em operação. desenvolvimento ou aquisição de hardware aquisição de hardware ou de software. documentação ou em testes. Ref.: 201502689789 48a Questão Programa De Computador Para Auditoria são programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (microcomputadores).Qual tem abaixo NÃO é considerado como uma função inclusa em programas de Auditoria? Correlação de arquivos Contagem de campos/registros Estatística dos campos dos arquivos Tabulação de campos Executa somente fuções padrão Ref.: 201502689792 49a Questão Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: ( ) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & Analysis). ( ) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem características pouco comuns, como, por exemplo, sistemas de leasing e sistemas de câmbio. ( ) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. ( ) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle de forma remota, através de um programa instalado no seu computador. ( ) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam formulários especiais para coleta de dados. Agora assinale a alternativa correta: V,V,V,F,F F,F,F,V,V V,V,V,V,F F,F,F,F,F V,V,V,V,V Ref.: 201503025811 50a Questão A Auditoria de Sistemas é uma atividade orientada para a avaliação dos procedimentos de controle e segurança da informação, recursos, serviços e acessos, bem como, a conformidade com objetivos da empresa, políticas, orçamentos, normas ou padrões. Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação. Para executar o seu trabalho, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação, que são: Softwares generalistas, Softwares especializados e Softwares utilitários. Softwares de instalação, Softwares de backup e Softwares de restore. Softwares de instalação, Softwares de observação e Softwares de correção. Softwares de instalação, Softwares de correção e Softwares de observação. Softwares de instalação, Softwares de especialização e Softwares de proposição. Ref.: 201502537337 51a Questão Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista __________ independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation) Nessus Nmap Cobit Snort Pentana Explicação: COBIT (Control Objectives for Information and Related Technologies) é framework de boas práticas criado pela ISACA (Information Systems Audit and Control Association) para a governança de tecnologia de informação (TI). O Information Systems Audit and Control Foundation® (ISACF® pertence ao ISACA Ref.: 201503025816 52a Questão O Senhor Albino é um auditor com experiência em realizar trabalhos em grandes empresas. Em uma das últimas auditorias que participou, ele encontrou um determinado sistema com particularidades que impossibilitavam a realização de testes com as ferramentas disponíveis para o trabalho. Logo ele percebeu que seria necessário o desenvolvimento de um software para atender esta demanda. Pelas características do trabalho, o Senhor Albino providenciou: Um software ERP. Um software especialista. Um software utilitário. Um software generalista. Um software B2B. Ref.: 201503144359 53a Questão Quando a auditorias de sistemas ocorre em sistremas em desenvolvimento, a atenção dos auditores é focada em qual etapa do desenvolvimento? Naquilo que foi planejado em termos de controles internos, processos custos de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de testes internos, processos e controles de negócios a serem desenvolvidos; Nos controles internos, processos e controles de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de controles internos, orçamentos de hardware para os sistemas. Ref.: 201503025830 54a Questão O Senhor Alexandre possui uma Corretora de Seguros e resolveu investir em tecnologia da informação para aumentar o diferencial competitivo de sua empresa. Para viabilizar a sua estratégia ele contratou consultores com experiência em inovação na área de seguros. Os consultores incluíram no projeto a utilização de um "Data Center", deixando a própria Corretora como responsável pela execução do backup das operações diárias de serviço. Considerando o cenário apresentado, o tipo de software que melhor se aplica a demanda da Corretora para a realização dos backups é: Software ERP. Software Especialista. Software Utilitário. Software CRM. Software Generalista. Ref.: 201502537339 55a Questão Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas utilitários: os auditores não necessitam de muita experiência em programação podemos usar cálculos específicos para os sistemas auditados a vantagem é a execução de apenas funções padrões a desvantagem é o extenso tempo em aprender sua utilização podemos incluir testes específicos do sistema auditado Explicação: Um programa utilitário realiza funções que os sistemas operacionais não executam com tanta eficácia, como a limpeza de disco rígido e a compactação de dados, por exemplo. Não é requerida especialização para utilização desses programas. Ref.: 201502537333 56a Questão Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando: programa de computador questionário simulação paralela entrevista rastreamento Ref.: 201502538870 57a Questão Uma das vantagens de uso de softwares generalista é que: as aplicações podem ser feitas online e utilizadas em outros sistemas o softaware aceita inclusão de testes de controles internos específicos tais como digito verificadorpodem processar header labels provê cálculos específicos para sistemas específicos tais como Contas-Correntes o software pode processar vários arquivos ao mesmo tempo Explicação: Dentre as vantagens de um software generalista temos a que ele pode processar vários arquivos ao mesmo tempo Ref.: 201502692210 58a Questão Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é chamado de ______________________________. Estes, são porgramas desenvolvidos pelos auditores ou sob encomenda. Sua finalidade é testar particularidades de sistemas auditados que possuem características comuns. Marque a opção que completa corretamente a afirmativa: SOFTWARE GENERALISTA SOFTWARE ESPECIALISTA PARA CONTROLE E AUTOMAÇÃO SOFTWARE ESPECIALISTA PARA CONSUMO PÚBLICO SOFTWARE ESPECIALIZADO EM AUDITORIA SOFTWARE PRÓPRIO E GENERALISTA Ref.: 201503025824 59a Questão No processo de auditoria de sistemas as ferramentas são instrumentos que o auditor possui para ajudá-lo a realizar o trabalho que foi planejado. Apesar de existir no mercado uma oferta significativa dessas ferramentas, a pouca propaganda faz com que muitos desses profissionais tenham dificuldade para fazer uma boa escolha. Associe a cada tipo de software a vantagem ou desvantagem a ele associada: 1. Generalista. 2. Especialista. 3. Utilitário. [ ] Pode processar vários arquivos ao mesmo tempo. [ ] Não provê cálculos específicos para sistemas específicos. [ ] Inclusão de testes de controle internos específicos, tais como dígito verificador. [ ] Existe custo de desenvolvimento de programa. [ ] São fáceis de serem utilizados. Agora assinale a alternativa correta: 1,2,2,1,3. 1,1,2,2,3. 2,2,1,1,3. 1,1,3,3,2. 1,1,2,3,2. Ref.: 201502538970 60a Questão Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta: mapeamento questionário para auditoria simulação paralela programa de computador para auditoria teste integrado Explicação: Este algoritmo de calculo de hash total é programado em programas do tipo programa de computador para auditoria, que é a única opção de programa na questão. Ref.: 201502538861 61a Questão Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares generalistas, entre outras, podemos citar: testes do digito verificador do cliente controle de lote saldo devedor do sistema de financiamento de casa própria extração de dados de amostra inclusão de trailler label Explicação: Os softwares generalistas não permitem programação específica. A extração de registros para compor uma amostra é uma função pronta, fornecemos apenas parametros. É um exemplo de software generalista. 62a Questão Uma técnica sempre presente nas auditorias se refere ao _______________________. Sendo que esta técnica está classificada em dois tipos diferentes chamados de teste de observância e teste substantivo. Com base na afirmativa marque a opção que a completa corretamente: teste do sistema complexo teste do sistema operado teste do sistema desenvolvido teste do sistema observado teste do sistema auditado Ref.: 201502676413 63a Questão Analise as sentenças abaixo. I - verificar se a chave primária do arquivo possui digito de controle II - verificar se houve mais de uma proposta para compra de 50 micro-computadores, conforme exigido pela politica de compras da empresa III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas. (F,F,F,V) (F,V,V,F) (F,V,F,F) (V,V,V,F) (V,F,V,F) Ref.: 201503144783 64a Questão A quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados é uma técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas. Para tanto são utilizados: Mapeamento estatístico dos programas de computador Mapeamento estatísticos de testes de observância Mapeamento estatístico dos testes de regressão; Mapas de Ponto de Função; Mapeamento estatístico de testes substantivos; Ref.: 201503144434 65a Questão Os testes de observância são empregado pelo auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. Estes testes são largamente aplicado em: Software Generalista Auditoria de Software Auditorias operacionais; Emissão de Relatoios Auditorias de aquisição de hardware Ref.: 201502542080 66a Questão A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se: rastreamento análise lógica de programação facilidade de teste integrado análise do log accounting mapping Ref.: 201502542085 67a Questão Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: I. Eessa técnica pode ser utilizada por auditores iniciantes II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de transações no dia para não gerar desconfiança no pessoal da produção III. A base de dados real fica integra em relação aos dados inseridos. Marque a opção correta: só a opção I opções I e III só a opção II opções I e II só a opção III Ref.: 201503025058 68a Questão A técnica, conhecida também por Integrated Test Facility (ITF), somente pode ser processada com maior eficiência em ambiente online e real time. Com base na afirmativa marque a opção que responde como os dados de teste são integrados: Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões atuais da produção. Os dados de teste são integrados aos ambientes de processamento, utilizando-se de versões futuras da produção. Os dados de teste são integrados aos ambientes desenvolvidos, utilizando-se de versões atuais da produção. Os dados de teste são integrados aos ambientes virtuais de processamento, utilizando-se de versões de backup da produção. Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões passadas, atuais e futuras da produção.Ref.: 201503024963 69a Questão Lei com atenção a afirmativa e marque a opção que a completa corretamente: "... Este tipo de teste é de fundamental importância na complementação dos testes de observância, considerando que são através dos ______________________ que o auditor tem condições de constatar sobre a fidedignidade das transações e registros..." testes de observância testes de auditoria testes de fidedignidade testes substantivos testes de integridade Ref.: 201503144767 70a Questão A simulação paralela trata-se da elaboração de um programa de computador para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Esta técnica utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador, sendo simulado e elaborado pelo :. Programador Gerente do projeto; Analista de Sistema; Auditor; Analista e programador; Ref.: 201502689819 71a Questão Correlacione as colunas abaixo e depois marque a alternativa correta: 1) Testes de observância 2) Testes substantivos 3) Simulação paralela ( ) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção. ( ) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. ( ) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos. ( ) Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi elaborado ou encomendado pelo auditor. ( ) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc. Agora assinale a alternativa correta: 3,1,2,1,3 3,1,2,3,1 1,1,3,2,2 3,2,1,1,3 3,2,1,3,1 Ref.: 201502542936 72a Questão As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve .................................... Marque a opção abaixo que completa a afirmativa: a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes. o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema Ref.: 201503025114 73a Questão Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; - Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. Marque a opção que se refere a técnica citada: Teste do Sistema Auditado Simulação Paralela Facilidade De Teste Integrado Dados De Teste Mapeamento Estatístico Dos Programas De Computador (Mapping) Ref.: 201503144778 74a Questão Quando os auditores querem obter evidências, isto é, provas suficientes e convincentes sobre transações, que lhe proporcionem fundamentação para suas opiniões eles utilizam que tipo de teste? Testes de regressão; Testes de observância; Testes da caixa branca; Testes da caixa preta; Testes substantivos Ref.: 201503027189 75a Questão Uma técnica sempre presente nas auditoiras se refere ao teste do sistema auditado. Esse teste faz a distinção de quais outros teste? Marque a opção que responde corretamente ao questionamento. Esse teste faz a distinção entre os teste de inteface e o teste de unidade. Esse teste faz a distinção entre os teste de observância e o teste substantivo. Esse teste faz a distinção entre os teste de unidade e o teste modular. Esse teste faz a distinção entre os teste de software e o teste substantivo. Esse teste faz a distinção entre os teste de usuário e o teste de sistemas. Ref.: 201502542077 76a Questão A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica: mapping lógica de auditoria embutida nos sistemas simulação paralela análise do log accounting análise lógica de programação Ref.: 201503144435 77a Questão O Teste Substantivo é empregado pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para a sua opinião sobre determinados fatos. Como objetivos fundamentais dos testes substantivos, a constatação de que que as transações comunicadas/registradas realmente tenham ocorrido refere-se a que tipo de constatação: Parte interessada; Avaliação da rede de PERT Avaliação da regra de Pareto; Avaliação e aferição; Existência real; Ref.: 201502690012 78a Questão Dos itens abaixo, assinale aquele que NÃO faz referência ao acesso lógico. O controle de acesso pela biometria O controle de acesso através de um token. O controle de acesso pelo reconhecimento de voz Processamento por pessoas não autorizadas utilizando a senha de outra pessoa. Guarda de arquivos de um sistema por pessoas não autorizadas Ref.: 201503182554 79a Questão A politica organizacional deve tratar de princípios éticos,sendo ela compulsória . Aponte dentre as opções colocadas abaixo aquela que esta correta em caso do seu descumprimento. Justifica suspensão temporaria Justifica perdas de vantagens financeiras; Justifica perda de cargo; Justifica demissão por justa causa; Justifica processo de auditoria. Ref.: 201502542091 80a Questão Informações cuja violação seja extremamente crítica são classificadas como: de uso restrito de uso irrestrito secretas confidenciais internas Ref.: 201502676415 81a QuestãoA segurança da empresa é responsabilidade da gerencia administrativa da diretoria operacional da área de TI de todos os envolvidos da área de auditoria Ref.: 201503147113 82a Questão Apenas controle não garante a segurança de uma empresa. É necessario garantir a proteção das infromações, serviços e acesso, no intuito de __________________________________________. Assinale dentre as opções abaixo aquela que complementa, corretamente, o conceito apresentado. Apenas controle não garantes a segurança de uma empresa. Sefurança na empresa significa proteção das informações,serviços e acesso, no intuito de ----------------------------------------------. Escola dentre as opções absixo aquela que complementa corretamene o conceito apresentado. Melhorar o controlke dos custos envolvidos; Conceituar as pessoas envolvidas no projeto; Permitir uma visualização adequada dos auditores; Reduzir probabilidade de danos; Favorecer o entrosamento dos participantes na auditoria; Ref.: 201502542090 83a Questão Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, uma política de segurança deve conter ______________ de informação mas __________ para que seja entendida, sem dúvidas. um mínimo, o bastante um número razoável, muitos detalhes um grande número, sem palavras difíceis um grande número, sem repetí-los o máximo, alguns detalhes Ref.: 201503152145 84a Questão Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos Definir o que precisa ser duplicado; Definir o que precisa implantado; Definir o que precisa ser orçado; Definir o que precisa ser protegido; Definir o que precisa ser desenvolvido Ref.: 201502692274 85a Questão Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados. Referente a esta afirmativa quais recursos estão sendo tratados: software e relatórios dados e recursos materiais hardware e relatórios software e aplicativos hardware e aplicativos Ref.: 201503180225 86a Questão Toda informação tem um dono, que corresponde aquele que a gera. Assinale dentre as opções abaixo aquela que está correta, caso o dono da informação a classifique como internas ou uso interno,. Excepcionalmente, agentes externos podem obter o conteúdo; Só pode ser acessada por auditores internos; Somente a diretoria de segurança pode saber seu conteúdo. Não devem sair do âmbito interno da organização. Necessita de senha para acessá-las; Ref.: 201503180267 87a Questão Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado. Identificação biométrica; Matriz de riscos; Utilização de crachá; Controle de entrada e saída de funcionários; Identificação pela biometria de iris; Ref.: 201503148869 88a Questão Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima. Políticas de Cargos e Salários; Políticas Orçamentárias Políticas Administrativas, Políticas Comerciais; Políticas de RH; Ref.: 201503148923 89a Questão Toda informação tem um dono, é aquele que a gera. Quando o dono da informação a classifica em PÚBLICA OU USO IRRESTRITO, é porque esta informação pode ser divulgada para:: Somente para quem controla o acesso aos sisterma; Para qualquer pessoa; Somente para os integrantes da equipe de auditoria; Somente para os integrantes da área de TI; Somente para quem ocupa cargos gerenciais; Ref.: 201503147126 90a Questão Toda informação tem um dono, que é caracteizado por aquele que a gera. Assinale dentre as opções abaixo como o dono da informação classifica as mesmas. Pública, interna , confidencial, secreta; Pública, interna , criptografada, secreta; Pública, criptografada , confidencial, customizada; Pública, customizada , confidencial, secreta; Pública, interna , confidencial, criptografada; Ref.: 201503182560 91a Questão Toda informação tem um dono, é aquele que a gera. A informação a classificada como secreta , aponta que a sua violação interna ou externa é extremamente crítica. Este tipo de informação de deve ser autorizada para quantas pessoas? Somente do auditor chefe; Somente uma pessoa; Somente 2 ou 3 pessoas; Somente dos integrantes da diretoria; Somente duas pessoas; 92a Questão Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento. II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos. Apenas a sentença II está correta Todas as sentenças estão corretas Apenas as sentenças II e III estão corretas Apenas as sentenças I e II estão corretas Apenas a sentença III está correta Ref.: 201502542094 93a Questão Analise as sentenças sobre Auditoria de Hardware e, em seguida, assinale a alternativa correta: I. O controle de hardware objetiva implantar procedimentos de segurança lógica sobre equipamentos instalados na empresa, incluindo funções que possuem mecanismo para liberar acesso para toda e qualquer pessoa ao ambiente dos computadores da empresa, sem se preocupar inclusive com os controles referentes à proteção de vida de pessoas. II. Entre os recursos utilizados para amenizar os riscos de segurança lógica temos: extintores de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. III. Dentro desse contexto, existe a necessidade de controle de acionamento e desligamentode máquinas, que consiste na preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. Apenas a sentença III está correta Todas as sentenças estão corretas Apenas a sentença I está correta Apenas as sentenças I e II estão corretas Apenas as sentenças I e III estão corretas Ref.: 201502690006 94a Questão Analise as proposições a seguir e depois marque a alternativa correta: I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis. II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente. III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente. IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI. Agora assinale a resposta correta: I, II, III e IV são proposições verdadeiras Somente I e II são proposições verdadeiras Somente I, II e III são proposições verdadeiras Somente I é proposição verdadeira Somente II e III são proposições verdadeiras Ref.: 201503147095 95a Questão Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes: Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática; Implementação dos projetos físicos e lógicos; Monitoramento dos desempenhod e possíveis interceptações nas redes; Processo de escolha do Gerente do Projeto. Desenho das arquiteturas e topologia da rede; Ref.: 201503154264 96a Questão Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA Os auditores devem preocupar-se com a localização e infraestrutura do CPD A empresa deve possuir mecanismo para restringir acessos de pessoas ao ambiente de computador Os auditores devem verificar a existência de políticas organizacionais sobre aquisição de equipamentos e se há evidencias de que ela está sendo aplicada Os auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. Na sala do CPD deve haver detectores de fumaça e aumento de temperatura para amenizar riscos de segurança física Ref.: 201502548585 97a Questão Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança quanto à disponibilidade da rede Segurança da emissão e distribuição de relatórios Segurança da criação de arquivos log Segurança de atualização de senhas Segurança de programas de atualização Ref.: 201502542096 98a Questão Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Todas as sentenças estão corretas Apenas as sentenças I e III estão corretas Apenas a sentença I está correta Apenas as sentenças II e III estão corretas Apenas a sentença III está correta 99a Questão Avaliar se o acesso ao local de instalação do CPD é restrito é preocupação do controle interno chamado: Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Localização e infraestrutura do CPD Controle sobre o firewall instalado Controle sobre os recursos instalados Controle sobre nível de acesso a aplicativos Ref.: 201502548575 100a Questão A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Solicitar ao setor de RH listagem de funcionários para uso na portaria Colocar cartazes sobre segurança nas dependências da empresa Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa Fornecer treinamento de segurança ao pessoal de portaria Ref.: 201502548549 101a Questão O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: Integridade Privacidade Confidencialidade Acuidade Auditabilidade Ref.: 201503025866 102a Questão O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc. Escolha a alternativa que preencha corretamente a lacuna: Software de controle de perfil. Software de controle de inventário. Software de controle de trilha de auditoria. Software de controle de rede. Software de controle de acesso. Ref.: 201503154284 103a Questão Em relação a controle de acesso, identifique a única afirmativa correta. O assédio moral é um exemplo de engenharia social Um arquivo de log de acessos ao banco de dados é utilizado para controle de acesso físico Um detector de porte de metais é necessário para evitar acesso físico indevido ao CPD A biometria é usada para assegurar o controle lógico das informações Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para acesso físico como lógico Ref.: 201502548587 104a Questão A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno: Controle sobre os recursos instalados Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Controle de aquisição e disposição do equipamento Controle de acesso físico ao ambiente de informática Controle de back-up e off-site Ref.: 201503154239 105a Questão O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança fisica, de enlace e de aplicação de desempenho, de configuração e física lógica, de desempenhoe de protocolos fisica, de protocolos e de reposição lógica, de enlace e de monitoramento Ref.: 201503025835 106a Questão A rede empresarial é onde se encontram as informações que alimentam as transações e os processos do negócio. É o local onde trafegam informações importantes para a execução de transações estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais que se relacionam com esse ambiente. Considere as seguintes proposições: 1. Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição. 2. As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos. 3. Customização de recursos de software, desempenho, acompanhamento e rendimento operacional. 4. Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo em situação adversa. Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança: Física, Biométrica, Enlace e Aplicação. Física, Aplicação, Enlace e Lógica. Física, Biométrica, Lógica e Aplicação. Física, Lógica, Enlace e Aplicação. Física, Enlace, Lógica e Aplicação. 107a Questão Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico Processamento de um sistema por pessoas não autorizadas Entrada de visitantes no CPD Relatórios de clientes jogados no lixo Guarda de arquivos back-ups vencidos na biblioteca externa Destino dos relatórios gerados Ref.: 201502542096 108a Questão Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Apenas a sentença III está correta Apenas as sentenças II e III estão corretas Apenas as sentenças I e III estão corretas Apenas a sentença I está correta Todas as sentenças estão corretas Ref.: 201502542083 109a Questão Falando em técnicas de auditoria, podemos afirmar que: A gravação de arquivos logs poderia ser incluida na técnica de teste integrado A técnica de simulação paralela usa dados preparados pelo auditor e pelo gerente do projeto A técnica de dados simulados de teste deve prever somente situações incorretas O mapeamento estatístico é uma técnica de verificação de transações incompletas A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real time Ref.: 201502548580 110a Questão Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é: Cidade onde nasceu? Data de seu nascimento? Número de seu RG? Data de vencimento da fatura do cartão? Nome do pai? Ref.: 201502692301 111a Questão Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere-se a que tipo de auditoria direcionada? Marque a opção correta: Auditoria online Auditoria de redes Auditoria de informações Auditoria de controle Auditoria de dados Ref.: 201503154355 2a Questão Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ? Auditoria de manutenção de sistemas Auditoria de suporte técnico Auditoria de desenvolvimnto de sistemas Auditoria de redes Auditoria de operações de sistemas Ref.: 201502610895 3a Questão Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos: _____________________________________________________. Marque a opção que complementa corretamente a citação Com base na afirmativa complete-a respondendo quais são esses pontos: risco e implementação de uma política de segurança riscos envolvidos e ao custo-benefício de ambas as alternativas. contratação de profissionais e infra-estrutura riscos envolvidos e ao custo riscos de perda de informação e custo-benefício Ref.: 201502698360 4a Questão Na aquisição de um software para sua empresa, voce deverá verificar alguns controles. Uma das perguntas a se fazer seria: Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? Suponha que voce obteve a resposta sim. Então voce deve preocupar-se com controles para assegurar que: Marque a única opção NÃO verdadeira Há documentação que garanta a manutenção do sistema fornecido por parte dos fornecedores É irrelevante o feedback de possiveis clientes do fornecedor vitorioso As declarações de trabalho estão especificadas e aprovadas pelo usuário. A seleção da melhor proposta foi feita com base em critérios previamente definidos e distribuidos para os candidatos a fornecedores (preço, prazo de entrega ,etc) Houve participação na concorrência de pelo menos 3 fornecedores. Ref.: 201502542099 Ref.: 201503154345 6a Questão Quando adquirimos softwares, nas rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas, os auditores devem preocupar-se em verificar se vários testes foram executados. Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação. evidências de participação do usuário na definição e testes do projeto evidências de acompanhamento número de erros nos testes de lógica de programas testes de controles e características de segurança existência de plano de teste, incluindo os casos de teste testes de regressão Ref.: 201502542107 7a Questão As questões abaixo, referentes aos objetivos de auditoria
Compartilhar