AUDITORIA DE SOFTWARE AVALIANDO APRENDIZADO

Prévia do material em texto

1 Auditoria de Software 
 
 
Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista 
__________ independe das plataformas de tecnologia da informação adotada nas empresas e é 
recomendado pelo ISACF (Information Systems Audit and Control Foundation) 
 
 
Cobit 
 
 
2. 
Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a 
alternativa correta: 
( ) Softwares generalistas normalmente são sistemas comprados prontos que necessitam 
de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command 
language) e IDEA (Interactive Data Extraction & Analysis). 
( ) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou 
sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas 
auditados que possuem características pouco comuns, como, por exemplo, sistemas de 
leasing e sistemas de câmbio. 
( ) Softwares utilitários são programas utilitários para funções básicas de processamento, 
como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e 
listar determinados campos de registros de um arquivo. 
( ) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações 
sobre os pontos de controle de forma remota, através de um programa instalado no seu 
computador. 
( ) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não 
estruturadas utilizam formulários especiais para coleta de dados. 
 
 
 
Agora assinale a alternativa correta: 
 
V,V,V,F,F 
 
 
 
 
3. 
 
 
 
 
 
 
Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a 
seguir: 
I - Os softwares especialistas normalmente são comprados prontos. 
II - Os softwares utilitários tem a vantagem de processar vários arquivos ao mesmo 
tempo. 
III - Os softwares generalistas não proveem cálculos específicos para sistemas 
específicos. 
 
2 Auditoria de Software 
 
 
F, F, V 
 
 
 
4. 
 
 
 
 
 
A técnica de entrevista pode ser: 
Marque a opção INCORRETA. 
 
 
por correio 
 
 
 
5. 
 
 
 
Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada 
__________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema 
que está auditando: 
 
entrevista 
 
 
 
 
6. 
 
 
 
 
 
Softwares generalistas, Softwares especializados e Softwares utilitários. 
 
 
 
 
 
7. 
 
 
 
A Auditoria de Sistemas é uma atividade orientada para a avaliação dos procedimentos de controle e 
segurança da informação, recursos, serviços e acessos, bem como, a conformidade com objetivos da 
empresa, políticas, orçamentos, normas ou padrões. Podemos realizar uma auditoria de sistemas em 
sistemas em desenvolvimento ou em operação. 
 
 
Uma das 
vantagens de uso 
de softwares 
generalista é que: 
 
o software pode processar vários arquivos ao mesmo tempo 
 
 
 
 
8. 
 
 
 
Quando a auditorias de sistemas ocorre em sistremas em desenvolvimento, a atenção dos auditores 
é focada em qual etapa do desenvolvimento? 
 
Naquilo que foi planejado em termos de controles internos, processos e controles de 
negócios a serem implementados nos sistemas. 
 
 
A técnica de auditoria que implica em análise visual do código fonte, buscando a verificação da lógica dos 
programas chama-se: 
 
 
análise lógica de programação 
3 Auditoria de Software 
 
 
 
 
 
2. 
 
 
 
 
 
A técnica de auditoria que pode ser utilizada para efetuar verificações durante o 
processamento de programas, flagrando rotinas não utilizadas é a técnica: 
 
mapping 
 
 
 
 
3. 
 
 
 
 
 
A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, 
por senhas não autorizadas é a técnica: 
 
análise do log/accounting 
 
 
 
 
 
4. 
 
 
 
Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como 
funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. 
Confrontamos os dados no processamento de transações reais com esses dados inseridos pela 
auditoria. Partindo desse pressuposto, podemos dizer que: 
I. Eessa técnica pode ser utilizada por auditores iniciantes 
II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de 
transações no dia para não gerar desconfiança no pessoal da produção 
III. A base de dados real fica integra em relação aos dados inseridos. 
Marque a opção correta: 
 
 
 
 
 
 só a opção III 
 
 
5. 
 
 
 
Uma técnica sempre presente nas auditorias se refere ao _______________________. Sendo que esta 
técnica está classificada em dois tipos diferentes chamados de teste de observância e teste 
substantivo. Com base na afirmativa marque a opção que a completa corretamente: 
 
teste do sistema auditado 
 
 
 
6. 
 
 
 
 
Analise as sentenças abaixo. 
I - verificar se a chave primária do arquivo possui digito de controle 
II - verificar se houve mais de uma proposta para compra de 50 micro-computadores, 
conforme exigido pela politica de compras da empresa 
III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo 
cliente 
IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. 
Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e 
4 Auditoria de Software 
 
 
as falsas. 
 
(V,V,V,F) 
 
 
 
 
7. 
 
 
 
 
 
Os testes de observância são empregado pelo auditor para verificar se os procedimentos 
internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. 
Estes testes são largamente aplicado em: 
 
Auditorias operacionais; 
 
 
 
 
8. 
 
 
 
Uma técnica sempre presente nas auditoiras se refere ao teste do sistema auditado. Esse teste faz a 
distinção de quais outros teste? Marque a opção que responde corretamente ao questionamento. 
 
 
 
 
 
 
 
 
Esse teste faz a distinção entre os teste de observância e o teste substantivo. 
 
Toda informação tem um dono, é aquele que a gera. A informação a classificada como secreta , aponta 
que a sua violação interna ou externa é extremamente crítica. Este tipo de informação de deve ser 
autorizada para quantas pessoas? 
 
 
Somente 2 ou 3 pessoas; 
 
 
 
2. 
 
 
 
 
 
Dos itens abaixo, assinale aquele que NÃO faz referência ao acesso lógico. 
 
Guarda de arquivos de um sistema por pessoas não autorizadas 
 
 
 
 
3. 
 
 
 
 
 
Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de 
Identificação dos recursos críticos 
 
Definir o que precisa ser protegido; 
 
4. 
 
 
 
 
 
Toda informação tem um dono, que é caracteizado por aquele que a gera. Assinale 
dentre as opções abaixo como o dono da informação classifica as mesmas. 
 
Pública, interna , confidencial, secreta; 
 
 
 
 
5. 
 
 
 
5 Auditoria de Software 
 
 
Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, 
uma política de segurança deve conter ______________ de informação mas __________ para que 
seja entendida, sem dúvidas. 
 
um mínimo, o bastante 
 
 
 
 
 
6. 
 
 
 
Em relação a um determinado item, o objetivo de uma política de segurança é: 
 
homogeneizaro comportamento das pessoas 
 
 
 
 
7. 
 
 
 
 
 
Similar ao que fé feito na definição de um plano de contingência, também na definição das 
políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que 
possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende 
ao objetivo do que está colocado. 
 
Matriz de riscos; 
 
 
 
 
 
8. 
 
 
 
 
 
Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento 
das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria 
_________________________________, para homogeneizar o comportamento de todos 
em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto 
acima. 
 
Políticas Administrativas, 
 
Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: 
I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode 
ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, 
 biometria. 
II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas 
que são autorizadas a lerem e/ou gravarem informações é através de senhas. 
III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um 
ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia 
tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas 
guardarem na carteira os documentos e cartões de banco e de crédito. 
 
 
Todas as sentenças estão corretas 
 
2. 
 
 
 
 
 
Devemos considerar os seguintes processos na auditoria de redes, EXCETO 
6 Auditoria de Software 
 
 
Replanejamento da arquitetura da rede. 
 
 
 
3. 
 
 
 
A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas 
no lixo é verificada na execução do seguinte controle interno: 
 
Controle de acesso físico ao ambiente de informática 
 
 
 
 
 
4. 
 
 
 
 
 
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no 
tocante a segurança 
 
fisica, de enlace e de aplicação 
 
 
 
 
5. 
 
 
 
Em relação a controle de acesso, identifique a única afirmativa correta. 
 
Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para 
acesso físico como lógico 
 
 
 
 
6. 
 
 
 
A rede empresarial é onde se encontram as informações que alimentam as transações e os processos 
do negócio. É o local onde trafegam informações importantes para a execução de transações 
estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais 
que se relacionam com esse ambiente. 
 Considere as seguintes proposições: 
1. Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição. 
2. As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites 
estabelecidos. 
3. Customização de recursos de software, desempenho, acompanhamento e rendimento 
operacional. 
4. Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo 
em situação adversa. 
Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança: 
 
Física, Enlace, Lógica e Aplicação. 
 
 
 
7. 
 
 
Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: 
I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via 
intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna 
7 Auditoria de Software 
 
 
para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem 
tanta importância assim e demanda pouco investimento. 
II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e 
informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, 
de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. 
III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado 
para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de 
um trabalho baseado essencialmente em opiniões pessoais e não em fatos. 
 
Apenas a sentença II está correta 
 
 
 
8. 
 
 
 
 
 
Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria 
de redes: 
 
Processo de escolha do Gerente do Projeto. 
 
Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas 
existentes, devemos verificar se há controles para assegurar que 
Marque a alternativa INCORRETA 
 
 
tenha sido fornecido treinamento para operar o sistema 
 
 
 
2. 
 
 
 
Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management 
Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre 
aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos 
 dentre os quais: 
Indique se falsas (F) ou verdadeiras (V) as afirmativas 
I - Planejamento das solicitações, onde obtemos as cotações. 
II - Planejamento das aquisições - onde definimos as declarações de trabalho 
III - Solicitação - onde escolhemos a melhor proposta 
 
F, V, F 
 
 
 
 
3. 
 
 
 
Para avaliarmos os sistemas aplicativos geralmente usamos as seguintes ferramentas EXCETO 
 
questionários 
 
 
 
 
4. 
 
 
 
 
Se vamos desenvolver um sistema em casa ou se vamos comprar um sistema 
8 Auditoria de Software 
 
 
pronto, antes de qualquer coisa devemos fazer um estudo preliminar para o 
sistema em questão EXCETO sobre 
 
custo de upgrade de equipamentos 
 
 
 
 
5. 
 
 
 
No capitulo 12 do PMBOK estudamos as aquisições do projeto, ou seja, aquilo que não há na empresa e 
que precisamos adquirir. Um dos conceitos aprendidos foi o que são declarações de trabalho. Marque a 
sentença que corresponde à definição de declarações de trabalho. 
 
descrevem a aquisição a ser feita detalhadamente o suficiente para que os fornecedores 
em potencial possam avaliar se são capazes ou não de fornecer o produto ou serviço. 
 
 
 
 
 
6. 
 
 
 
 
 
A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos 
indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de 
alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte 
técnico dividem-se em dois grandes grupos: 
 
Funções Rotineiras e Funções Esporádicas 
 
 
 
 
7. 
 
 
 
 
 
Na aquisição de um software para sua empresa, voce deverá verificar alguns controles. 
Uma das perguntas a se fazer seria: 
Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção 
de sistemas? 
Suponha que voce obteve a resposta sim. Então voce deve preocupar-se com controles 
para assegurar que: 
Marque a única opção NÃO verdadeira 
 
É irrelevante o feedback de possiveis clientes do fornecedor vitorioso 
 
 
 
 
8. 
 
 
 
O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria 
de sistemas. 
 Entre as alternativas abaixo, qual delas descreve três desses critérios? 
 
Confidencialidade,integridade e disponibilidade 
Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um 
____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua 
gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que 
tenham relação com o objeto da auditoria, incluindo a gerência da Auditoria). Marque a opção que 
9 Auditoria de Software 
 
 
completa corretamente a afirmativa: 
 
 
relatório DRAFT (rascunho) 
2. 
 
 
Não emitimos o relatório final sem uma prévia discussão com o auditado. Para 
tanto, emitimos um ____________________ sem a parte de conclusões e 
enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, 
Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham 
relação com o objeto da auditoria, incluindo a gerência da Auditoria). Marque a 
opção que completa corretamente a afirmativa: 
 
 
relatório DRAFT (rascunho) 
3. 
 
 
Assim que uma falha é identificada em uma auditoria, ela deve: 
 
 
Ser comunicada verbalmente ao gerente da área auditada 
4. 
 
 
Na comunicação de resultados, alumas questões deve ser ponderadas. Dentre 
as alternativas abaixo aponte a única ponderação que não é verdadeira. 
 
 
Quantas paginas de relatório gerar para os executivos? 
5. 
 
 
Um relatório deve apresentar: Um relatório deve apresentar uma descrição 
correta e clara das falhas de modo a evitar má interpretação e mau 
entendimento. Devem ser incluídas informações de tamanho dos testes ou 
métodos de seleção de itens para teste, de modo que o leitor possa relacionar 
tal informação ao total da atividade e às falhas. Considerando a objetividade da 
escrita, qual das opções abaixo esta incorreta , em relação aos conceitos 
abordados. da escrita 
 
 
Poder ser facilmente mal interpretado. 
6. 
 
 
Durante a auditoria do CPD, o auditor constatou que não havia uma biblioteca 
externa para guarda das cópias de arquivos e demais documentos necessários 
para a restauração das informações da empresa, em caso de emergência. A 
atitude do auditor foi: 
 
 
Alertar para o risco de não se ter uma biblioteca externa e a seguir emitir uma referência 
sobre a falha encontrada. 
7. 
 
 
Ao preparar um relatório devemos ter cuidado com nossa escrita. Devemos 
evitar a escrever em círculos porque escrever em círculos pode aparentar ao 
leitor que o escritor tem:.........Marque a única opção FALSA 
 
 
Insegurança quanto ao término de um parágrafo 
 
 
8. 
 
 
 
Verificar se há relatórios de ocorrência com totais de controle para a operação, mesmo que com 
valor zerado (para identificar que não houve ocorrência) é controle de operação de computadores 
que, nos questionários, enquadramos em: 
10 Auditoria de Software 
 
 
Controles sobre monitoramento