Exercicios auditoria Sistema Aulas 6,7,8,9,10

Prévia do material em texto

1. 
 
 
Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na 
folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de 
transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: 
I. Eessa técnica pode ser utilizada por auditores iniciantes 
II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de transações no dia 
para não gerar desconfiança no pessoal da produção 
III. A base de dados real fica integra em relação aos dados inseridos. 
Marque a opção correta: 
 
 
só a opção II 
 
 
só a opção I 
 
 
opções I e III 
 
 
opções I e II 
 
 
só a opção III 
 
 
2. 
 
 
Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, uma política de 
segurança deve conter de informação mas para que seja entendida, sem dúvidas. 
 
 
um mínimo, o bastante 
 
 
o máximo, alguns detalhes 
 
 
um grande número, sem palavras difíceis 
 
 
um número razoável, muitos detalhes 
 
 
um grande número, sem repetí-los 
 
 
3. 
 
 
A segurança da empresa é responsabilidade 
 
 
da diretoria operacional 
 
 
da gerencia administrativa 
 
 
da área de TI 
 
 
da área de auditoria 
 
 
de todos os envolvidos 
 
 
4. 
 
 
Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados. 
Referente a esta afirmativa quais recursos estão sendo tratados: 
 
 
dados e recursos materiais 
 
 
hardware e aplicativos 
 
 
software e aplicativos 
 
 
software e relatórios 
 
 
hardware e relatórios 
 
 
5. 
 
 
Dos itens abaixo, assinale aquele que NÃO faz referência ao acesso lógico. 
 
 
O controle de acesso pelo reconhecimento de voz 
 
 
Processamento por pessoas não autorizadas utilizando a senha de outra pessoa. 
 
 
O controle de acesso através de um token. 
 
 
O controle de acesso pela biometria 
 
 
Guarda de arquivos de um sistema por pessoas não autorizadas 
 
 
6. 
 
 
Marque a alternativa que preencha corretamente as lacunas:
 
A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes 
de implementação nela. Isto fica por conta dos ________________, que representam o como ela 
será implementada.
 
 
 
 
 
estrutura organizacional / grau de maturidade 
 
 
classificação da informação / programas 
 
 
política de segurança / programas 
 
 
política de segurança / procedimentos 
 
 
política de segurança / acionistas majoritários 
 
 
1. 
 
 
A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a 
primeira coisa a fazer seria: 
 
 
Solicitar ao setor de RH listagem de funcionários para uso na portaria 
 
 
Fornecer treinamento de segurança ao pessoal de portaria 
 
 
Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa 
 
 
Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa 
 
 
Colocar cartazes sobre segurança nas dependências da empresa 
 
 
2. 
 
 
Analise as sentenças sobre Auditoria de Hardware e, em seguida, assinale a alternativa correta: 
I. O controle de hardware objetiva implantar procedimentos de segurança lógica sobre equipamentos instalados na 
empresa, incluindo funções que possuem mecanismo para liberar acesso para toda e qualquer pessoa ao ambiente dos 
computadores da empresa, sem se preocupar inclusive com os controles referentes à proteção de vida de pessoas. 
II. Entre os recursos utilizados para amenizar os riscos de segurança lógica temos: extintores de incêndio (gás carbônico, 
gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. 
III. Dentro desse contexto, existe a necessidade de controle de acionamento e desligamento de máquinas, que consiste 
na preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. 
 
 
Todas as sentenças estão corretas 
 
 
Apenas a sentença III está correta 
 
 
Apenas a sentença I está correta 
 
 
Apenas as sentenças I e III estão corretas 
 
 
Apenas as sentenças I e II estão corretas 
 
 
3. 
 
 
Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: 
I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna 
da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger 
estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento. 
II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas 
camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e 
UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. 
III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que 
possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em 
opiniões pessoais e não em fatos. 
 
 
Apenas as sentenças II e III estão corretas 
 
 
Apenas as sentenças I e II estão corretas 
 
 
Apenas a sentença III está correta 
 
 
Apenas a sentença II está correta 
 
 
Todas as sentenças estão corretas 
 
 
4. 
 
 
Falando em técnicas de auditoria, podemos afirmar que: 
 
 
O mapeamento estatístico é uma técnica de verificação de transações incompletas 
 
 
A técnica de dados simulados de teste deve prever somente situações incorretas 
 
 
A técnica de simulação paralela usa dados preparados pelo auditor e pelo gerente do projeto 
 
 
A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real 
time 
 
 
A gravação de arquivos logs poderia ser incluida na técnica de teste integrado 
 
 
5. 
 
 
Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: 
I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de 
várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. 
II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas 
a lerem e/ou gravarem informações é através de senhas. 
III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a 
carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e 
acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de 
banco e de crédito. 
 
 
Todas as sentenças estão corretas 
 
 
Apenas as sentenças II e III estão corretas 
 
 
Apenas a sentença I está correta 
 
 
Apenas as sentenças I e III estão corretas 
 
 
Apenas a sentença III está correta 
 
 
6. 
 
 
A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada 
na execução do seguinte controle interno: 
 
 
Controle de aquisição e disposição do equipamento 
 
 
Controle de acesso físico ao ambiente de informática 
 
 
Controle de acesso físico a equipamentos dehardware, periféricos e de transporte 
 
 
Controle de back-up e off-site 
 
 
Controle sobre os recursos instalados 
 
1. 
 
 
Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em 
seguida, assinale a alternativa correta: 
I. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado 
aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício 
de ambas as alternativas. 
II. Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz 
necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade 
econômica, operacional e técnica. 
III. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou 
alterações em algum software já existente na empresa. 
 
 
Apenas as sentenças II e III estão corretas 
 
 
Apenas a sentença I está correta 
 
 
Apenas as sentenças I e III estão corretas 
 
 
Todas as sentenças estão corretas 
 
 
Apenas as sentenças I e II estão corretas 
 
 
 
2. 
 
 
As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, 
manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: 
 
 
Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários?; O 
desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já 
existentes? 
 
 
Há procedimentos de formalização da real necessidade para um novo sistema?; Há informações apresentadas para 
que os usuários possam decidir entre aquisição e desenvolvimento interno? 
 
 
Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem?; As manutenções são 
feitas sem interrupção das operações normais da empresa? 
 
 
O hardware e software são considerados como custo ou investimento?; O marketing de produtos e 
serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias? 
 
 
As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-
benefício, entre outras, são esclarecidas quando da decisão de compra externa?; A documentação é consistente e 
disponível para orientar os usuários? 
 
 
3. 
 
 
Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. 
Vários pontos devem ser considerados, principalmente em relação aos: 
_____________________________________________________. Marque a opção que complementa corretamente a 
citação Com base na afirmativa complete-a respondendo quais são esses pontos: 
 
 
risco e implementação de uma política de segurança 
 
 
riscos de perda de informação e custo-benefício 
 
 
riscos envolvidos e ao custo-benefício de ambas as alternativas. 
 
 
riscos envolvidos e ao custo 
 
 
contratação de profissionais e infra-estrutura 
 
 
4. 
 
 
A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de 
implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As 
funções de suporte técnico dividem-se em dois grandes grupos: 
 
 
 
Funções Integradas e Funções Superficiais 
 
 
Funções Superficiais e Funções Esporádicas 
 
 
Funções Rotineiras e Funções Esporádicas 
 
 
Funções Rotineiras e Funções Integradas 
 
 
Funções Rotineiras e Funções Superficiais 
 
 
5. 
 
 
Na aquisição de um software para sua empresa, voce deverá verificar alguns controles. Uma das perguntas a se fazer 
seria: 
Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? 
Suponha que voce obteve a resposta sim. Então voce deve preocupar-se com controles para assegurar que: 
Marque a única opção NÃO verdadeira 
 
 
 
É irrelevante o feedback de possiveis clientes do fornecedor vitorioso 
 
 
As declarações de trabalho estão especificadas e aprovadas pelo usuário. 
 
 
Houve participação na concorrência de pelo menos 3 fornecedores. 
 
 
A seleção da melhor proposta foi feita com base em critérios previamente definidos e distribuidos para os candidatos 
a fornecedores (preço, prazo de entrega ,etc) 
 
 
Há documentação que garanta a manutenção do sistema fornecido por parte dos fornecedores 
 
 
6. 
 
 
Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, 
visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes. Esta afirmativa refere-se a que 
conceito? Marque a opção correta. 
 
 
Especificação do suporte 
 
 
Especificação do escopo 
 
 
Especificação do requisito 
 
 
Especificação do sistema 
 
 
Especificação do controle 
 
1. 
 
 
Verificar se há relatórios de ocorrência com totais de controle para a operação, mesmo que com valor zerado 
(para identificar que não houve ocorrência) é controle de operação de computadores que, nos questionários, 
enquadramos em: 
 
 
Controles de restart/recovery 
 
 
Controles sobre entradas online 
 
 
Controles sobre monitoramento 
 
 
Controles sobre o processo operacional 
 
 
Controles sobre entradas batch 
 
 
2. 
 
 
Para obter um bom resultado na confecção de um relatório de auditoria devemos 
 
 
Escrever do jeito que falamos, preferir verbos passivos e palavras curtas. 
 
 
Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas. 
 
 
Colocar a conclusão no final, preferir as frases e palavras curtas. 
 
 
Evitar palavras de efeito visual, usar palavras e parágrafos curtos. 
 
 
Variar a estrutura das frases, ter tato e preferir parágrafos longos. 
 
 
 
3. 
 
 
Assim que uma falha é identificada em uma auditoria, ela deve: 
 
 
Ser comunicada ao gerente da Auditoria para inserção no relatório final 
 
 
Ser comunicada verbalmente ao gerente da área auditada 
 
 
Ser reportada à diretoria da empresa através de relatório de auditoria 
 
 
Ser reportada em relatório apropriado para acerto imediato 
 
 
Ser acertada pelo auditor e reportada a seguir para a gerencia auditada 
 
 
4. 
 
 
Ao escrever um relatório devemos tomar alguns cuidados quanto à escrita. Um deles é evitar escritas abrasivas. É 
exemplo de escrita abrasiva: 
 
 
Quando dizemos o percentual de registros encontrados com erro de digitação 
 
 
Quando escrevemos que a chave do cofre foi encontrada sobre a mesa do refeitório 
 
 
Quando mencionamos que cinco colaboradores bateram o ponto por outros colegas 
 
 
Quando dizemos o numero de testes feitos para detectar exatidão no cálculo de saldos de contas-correntes 
 
 
Quando escrevemos que muitos registros foram recusados por inconsitencia indevida 
 
 
5. 
 
 
Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um 
____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência 
de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, 
incluindo a gerência da Auditoria). Marque a opção que completa corretamente a afirmativa: 
 
 
relatório DRAFT (rascunho) 
 
 
relatório sequencial 
 
 
relatório expositivorelatório online 
 
 
relatório parcial 
 
 
6. 
 
 
O Sistema de Contabilidade estava na fase final de teste quando o cliente solicitou a inclusão de alguns cálculos 
provenientes de interface com o Sistema de Contas a Pagar. O auditor, ao verificar que a solicitação estava completa, 
solicitou que fossem feitos os testes de: 
 
 
Acuidade 
 
 
Sistema 
 
 
Regressão 
 
 
Unidade 
 
 
Completude 
 
Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de auditoria de 
sistemas, devemos considerar: 
 
 
Log de alterações 
 
 
Disponibilização de código de fonte aberto 
 
 
Facilidade para pesquisa por palavra ou string 
 
 
Valor da licença de uso 
 
 
Integração com e-mail 
 
 
2. 
 
 
Não devemos utilizar informações pessoais para a criação de uma senha pois a engenharia social está presente na 
internet ou nos falsos telefonemas. É exemplo de engenharia social: 
 
 
Abordagem via telefone para saber produto de preferencia 
 
 
Abordagem via telefone para saber se a pessoa possui internet 
 
 
Abordagem na internet para descobrir clube mais comum na cidade 
 
 
Abordagem em chats para descobrir idade da pessoa 
 
 
Abordagem em chats para saber telefone da pessoa 
 
 
3. 
 
 
O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de 
Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: 
 
 
Privacidade 
 
 
Integridade 
 
 
Acuidade 
 
 
Auditabilidade 
 
 
Confidencialidade 
 
 
4. 
 
 
O auditor deseja criar um relatório que demonstre o numero de vezes que conversou com o gerente de projetos do 
sistema auditado. Usando um software generalista para auditoria de sistemas, isto seria possível se a Auditoria estivesse 
utilizando o sistema SAP, através da ferramenta: 
 
 
AIC (Audit Information Control) 
 
 
AIS (Audit Information System) 
 
 
ACL (Audit Command Language) 
 
 
ACC (Audit Command Control) 
 
 
AIL (Audit Information Language) 
 
 
5. 
 
 
¿Permitir trabalho off line independentemente dos processos normais¿ é um requisito a ser considerado na escolha de um 
software generalista enquadrado em aspectos 
 
 
Relacionados a custos 
 
 
Funcionais 
 
 
De fornecimento de suporte 
 
 
Relacionados à tecnologia 
 
 
De gestão 
 
 
6. 
 
 
Dentre os aspectos funcionais a serem considerados na escolha de um software generalista de auditoria de sistemas, 
devemos considerar que o software permita: 
 
 
Replicação do banco de dados 
 
 
Log de alterações 
 
 
Comentários do auditor 
 
 
Integração com e-mail 
 
 
Criptografia de dados