Baixe o app para aproveitar ainda mais
Prévia do material em texto
1. Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: I. Eessa técnica pode ser utilizada por auditores iniciantes II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de transações no dia para não gerar desconfiança no pessoal da produção III. A base de dados real fica integra em relação aos dados inseridos. Marque a opção correta: só a opção II só a opção I opções I e III opções I e II só a opção III 2. Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, uma política de segurança deve conter de informação mas para que seja entendida, sem dúvidas. um mínimo, o bastante o máximo, alguns detalhes um grande número, sem palavras difíceis um número razoável, muitos detalhes um grande número, sem repetí-los 3. A segurança da empresa é responsabilidade da diretoria operacional da gerencia administrativa da área de TI da área de auditoria de todos os envolvidos 4. Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados. Referente a esta afirmativa quais recursos estão sendo tratados: dados e recursos materiais hardware e aplicativos software e aplicativos software e relatórios hardware e relatórios 5. Dos itens abaixo, assinale aquele que NÃO faz referência ao acesso lógico. O controle de acesso pelo reconhecimento de voz Processamento por pessoas não autorizadas utilizando a senha de outra pessoa. O controle de acesso através de um token. O controle de acesso pela biometria Guarda de arquivos de um sistema por pessoas não autorizadas 6. Marque a alternativa que preencha corretamente as lacunas: A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação nela. Isto fica por conta dos ________________, que representam o como ela será implementada. estrutura organizacional / grau de maturidade classificação da informação / programas política de segurança / programas política de segurança / procedimentos política de segurança / acionistas majoritários 1. A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Solicitar ao setor de RH listagem de funcionários para uso na portaria Fornecer treinamento de segurança ao pessoal de portaria Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Colocar cartazes sobre segurança nas dependências da empresa 2. Analise as sentenças sobre Auditoria de Hardware e, em seguida, assinale a alternativa correta: I. O controle de hardware objetiva implantar procedimentos de segurança lógica sobre equipamentos instalados na empresa, incluindo funções que possuem mecanismo para liberar acesso para toda e qualquer pessoa ao ambiente dos computadores da empresa, sem se preocupar inclusive com os controles referentes à proteção de vida de pessoas. II. Entre os recursos utilizados para amenizar os riscos de segurança lógica temos: extintores de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. III. Dentro desse contexto, existe a necessidade de controle de acionamento e desligamento de máquinas, que consiste na preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. Todas as sentenças estão corretas Apenas a sentença III está correta Apenas a sentença I está correta Apenas as sentenças I e III estão corretas Apenas as sentenças I e II estão corretas 3. Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento. II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos. Apenas as sentenças II e III estão corretas Apenas as sentenças I e II estão corretas Apenas a sentença III está correta Apenas a sentença II está correta Todas as sentenças estão corretas 4. Falando em técnicas de auditoria, podemos afirmar que: O mapeamento estatístico é uma técnica de verificação de transações incompletas A técnica de dados simulados de teste deve prever somente situações incorretas A técnica de simulação paralela usa dados preparados pelo auditor e pelo gerente do projeto A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real time A gravação de arquivos logs poderia ser incluida na técnica de teste integrado 5. Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Todas as sentenças estão corretas Apenas as sentenças II e III estão corretas Apenas a sentença I está correta Apenas as sentenças I e III estão corretas Apenas a sentença III está correta 6. A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno: Controle de aquisição e disposição do equipamento Controle de acesso físico ao ambiente de informática Controle de acesso físico a equipamentos dehardware, periféricos e de transporte Controle de back-up e off-site Controle sobre os recursos instalados 1. Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa correta: I. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. II. Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade econômica, operacional e técnica. III. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. Apenas as sentenças II e III estão corretas Apenas a sentença I está correta Apenas as sentenças I e III estão corretas Todas as sentenças estão corretas Apenas as sentenças I e II estão corretas 2. As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários?; O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes? Há procedimentos de formalização da real necessidade para um novo sistema?; Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno? Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem?; As manutenções são feitas sem interrupção das operações normais da empresa? O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias? As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo- benefício, entre outras, são esclarecidas quando da decisão de compra externa?; A documentação é consistente e disponível para orientar os usuários? 3. Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos: _____________________________________________________. Marque a opção que complementa corretamente a citação Com base na afirmativa complete-a respondendo quais são esses pontos: risco e implementação de uma política de segurança riscos de perda de informação e custo-benefício riscos envolvidos e ao custo-benefício de ambas as alternativas. riscos envolvidos e ao custo contratação de profissionais e infra-estrutura 4. A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: Funções Integradas e Funções Superficiais Funções Superficiais e Funções Esporádicas Funções Rotineiras e Funções Esporádicas Funções Rotineiras e Funções Integradas Funções Rotineiras e Funções Superficiais 5. Na aquisição de um software para sua empresa, voce deverá verificar alguns controles. Uma das perguntas a se fazer seria: Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? Suponha que voce obteve a resposta sim. Então voce deve preocupar-se com controles para assegurar que: Marque a única opção NÃO verdadeira É irrelevante o feedback de possiveis clientes do fornecedor vitorioso As declarações de trabalho estão especificadas e aprovadas pelo usuário. Houve participação na concorrência de pelo menos 3 fornecedores. A seleção da melhor proposta foi feita com base em critérios previamente definidos e distribuidos para os candidatos a fornecedores (preço, prazo de entrega ,etc) Há documentação que garanta a manutenção do sistema fornecido por parte dos fornecedores 6. Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes. Esta afirmativa refere-se a que conceito? Marque a opção correta. Especificação do suporte Especificação do escopo Especificação do requisito Especificação do sistema Especificação do controle 1. Verificar se há relatórios de ocorrência com totais de controle para a operação, mesmo que com valor zerado (para identificar que não houve ocorrência) é controle de operação de computadores que, nos questionários, enquadramos em: Controles de restart/recovery Controles sobre entradas online Controles sobre monitoramento Controles sobre o processo operacional Controles sobre entradas batch 2. Para obter um bom resultado na confecção de um relatório de auditoria devemos Escrever do jeito que falamos, preferir verbos passivos e palavras curtas. Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas. Colocar a conclusão no final, preferir as frases e palavras curtas. Evitar palavras de efeito visual, usar palavras e parágrafos curtos. Variar a estrutura das frases, ter tato e preferir parágrafos longos. 3. Assim que uma falha é identificada em uma auditoria, ela deve: Ser comunicada ao gerente da Auditoria para inserção no relatório final Ser comunicada verbalmente ao gerente da área auditada Ser reportada à diretoria da empresa através de relatório de auditoria Ser reportada em relatório apropriado para acerto imediato Ser acertada pelo auditor e reportada a seguir para a gerencia auditada 4. Ao escrever um relatório devemos tomar alguns cuidados quanto à escrita. Um deles é evitar escritas abrasivas. É exemplo de escrita abrasiva: Quando dizemos o percentual de registros encontrados com erro de digitação Quando escrevemos que a chave do cofre foi encontrada sobre a mesa do refeitório Quando mencionamos que cinco colaboradores bateram o ponto por outros colegas Quando dizemos o numero de testes feitos para detectar exatidão no cálculo de saldos de contas-correntes Quando escrevemos que muitos registros foram recusados por inconsitencia indevida 5. Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um ____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, incluindo a gerência da Auditoria). Marque a opção que completa corretamente a afirmativa: relatório DRAFT (rascunho) relatório sequencial relatório expositivorelatório online relatório parcial 6. O Sistema de Contabilidade estava na fase final de teste quando o cliente solicitou a inclusão de alguns cálculos provenientes de interface com o Sistema de Contas a Pagar. O auditor, ao verificar que a solicitação estava completa, solicitou que fossem feitos os testes de: Acuidade Sistema Regressão Unidade Completude Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar: Log de alterações Disponibilização de código de fonte aberto Facilidade para pesquisa por palavra ou string Valor da licença de uso Integração com e-mail 2. Não devemos utilizar informações pessoais para a criação de uma senha pois a engenharia social está presente na internet ou nos falsos telefonemas. É exemplo de engenharia social: Abordagem via telefone para saber produto de preferencia Abordagem via telefone para saber se a pessoa possui internet Abordagem na internet para descobrir clube mais comum na cidade Abordagem em chats para descobrir idade da pessoa Abordagem em chats para saber telefone da pessoa 3. O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: Privacidade Integridade Acuidade Auditabilidade Confidencialidade 4. O auditor deseja criar um relatório que demonstre o numero de vezes que conversou com o gerente de projetos do sistema auditado. Usando um software generalista para auditoria de sistemas, isto seria possível se a Auditoria estivesse utilizando o sistema SAP, através da ferramenta: AIC (Audit Information Control) AIS (Audit Information System) ACL (Audit Command Language) ACC (Audit Command Control) AIL (Audit Information Language) 5. ¿Permitir trabalho off line independentemente dos processos normais¿ é um requisito a ser considerado na escolha de um software generalista enquadrado em aspectos Relacionados a custos Funcionais De fornecimento de suporte Relacionados à tecnologia De gestão 6. Dentre os aspectos funcionais a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar que o software permita: Replicação do banco de dados Log de alterações Comentários do auditor Integração com e-mail Criptografia de dados
Compartilhar