QUESTÕES PARA PROVA - CCT0181- AUDITORIA DE SISTEMAS

Prévia do material em texto

PROVAS ESTÁCIO - CCT0181 - AUDITORIA DE SISTEMAS
Data: 13/05/2015
1.	Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: 
Está calçada em segurança e em controles internos
Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos
Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa
Somente as sentenças II e III estão corretas
Todas as sentenças estão corretas
Somente as sentenças I e III estão corretas
Somente as sentenças I e II estão corretas
Somente a sentença III está correta
ANSWER: B
2. Assinale a opção verdadeira:
Respostas de risco são: 
ações a serem seguidas na eventualidade da ocorrência de uma ameaça 
ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores 	
relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado 	
atividades que devem ser evitadas para não gerar riscos
ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria
ANSWER: A
3. A auditoria é uma atividade realizada em fases. Uma das fases é conhecida como FOLLOW­UP. Esta fase trata efetivamente do acompanhamneto de falahas. Marque a afirmativa correta referente ao acompanhamento desta fase:
o acompanhamento é opcional não tem nenhuma relevância para a próxima auditoria independente de ser ou não o mesmo sistema ou cpd
todo o acompanhamento deve ser documentado e será aproveitado para auditorias futuras em outro novo sistema ou cpd
uma auditoria realizada em um sistema não influência na próxima auditoria que o memso venha passar. Inclusive o cpd nunca é auditado.
todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou cpd
todo o acompanhamento não necessita ser documentado e não servirá de subsídio para auditorias futuras do mesmo sistema ou cpd
ANSWER: C
4. O plano de contingência é formado por 3 compontes: a) Plano de emergência b) plano de backup c) plano de Recuperação. As descrições a seguir: 1).Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 2). Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. 3). São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. Correspondem, respectivamente a:
1c,2b,31
1c, 2a, 3b 
1a, 2b, 3c
1b,2a,3c
1b,2c,3ª
ANSWER: D
5. Uma técnica sempre presente nas auditorias se refere ao _______________________. Sendo que esta técnica está classificada em dois tipos diferentes chamados de teste de observância e teste substantivo. Com base na afirmativa marque a opção que a completa corretamente:
teste do sistema auditado
teste do sistema complexo 
teste do sistema observado 
teste do sistema operado
teste do sistema desenvolvido
ANSWER: A
6. Marque a alternativa que preencha corretamente as lacunas:
A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação nela. Isto fica por conta dos ________________, que representam o como ela será implementada.
 
política de segurança / procedimentos 
política de segurança / programas 
estrutura organizacional / grau de maturidade 
classificação da informação / programas 
política de segurança / acionistas majoritários
ANSWER: A
7. Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos:
_____________________________________________________. Marque a opção que complementa corretamente a citação Com base na afirmativa complete­a respondendo quais são esses pontos:
riscos envolvidos e ao custo
contratação de profissionais e infra­estrutura 
risco e implementação de uma política de segurança 
riscos de perda de informação e custo­benefício 
riscos envolvidos e ao custo­benefício de ambas as alternativas.
ANSWER: E
8. Ao escrever um relatório devemos tomar alguns cuidados quanto à escrita. Um deles é evitar escritas abrasivas. É exemplo de escrita abrasiva:
Quando escrevemos que muitos registros foram recusados por inconsitencia indevida
Quando dizemos o percentual de registros encontrados com erro de digitação
Quando dizemos o numero de testes feitos para detectar exatidão no cálculo de saldos de contascorrentes
Quando mencionamos que cinco colaboradores bateram o ponto por outros colegas
Quando escrevemos que a chave do cofre foi encontrada sobre a mesa do refeitório
ANSWER: A
9. Há dois grandes meios de se ter uma equipe de auditoria. Com base na afirmativa marque a opção que indica os dois tipos de equipe de auditoria: 
 
 
A.	 	EQUIPE INTERNA E CONSULTORIA 
B.	 	EQUIPE INTERNA E VIRTUAL 
C.	 EQUIPE INTERNA E EXTERNA 
D.	 	EQUIPE PREESENCIAL E VIRTUAL 
E.	 	EQUIPE EXTERNA E CONSULTORIA 
 
ANSWER: C
 
10. O objetivo de auditoria que se preocupa se o sistema funciona conforme expectativa dos usuários autorizados é: 
 
 
A.	confiabilidade 
B.	confidencialidade 
C.	credibilidade 
D.	integridade 
E.	 consistência 
 
ANSWER: E
 
11. Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: 
 
 
A.	risco 
B.	impacto 
C.	ameaça 
D.	vulnerabilidade 
E.	ataque 
 
ANSWER: C
 
12. Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: 
 
A.	funcionários e clientes da empresa 
B.	as pessoas que tem seus nomes mencionados no plano 
C.	todas as pessoas da empresa
D.	 só para a diretoria da empresa 	
E.	os diretores e gerentes da empresa 
ANSWER: B
 
 
13. A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificarse de que ........ De acordo com a afirmativa assinale a alternativa coreta: 
 
 
A.	o sistema de qualidade executa suas tarefas periodicamente 
B.	a equipe de contingência está preparada para realizar um treinamento no momento de ocorrência de um desastre 
C.	existe a possibilidade de se desenvolver planos que contemplem todas as necessidades de contingências
D.	o sistema de recuperação de backups é lento e não satisfaz plenamente ao desejado pela organização 
E.	esses planos são testados periodicamente. 
ANSWER: E
 
14. Ao fazermos a analise de risco de um sistema para determinar seu escore de risco e, desta forma, prioriza-lo para ser auditado, devemos considerar: 
 
 
A.	 	O número de arquivos do sistema, o nivel tecnico dos operadores do sistema e seu volume médio diário de transações 
B.	 	a linguagem de desenvolvimento, o custo de treinamento dos desenvolvedores e o número de interface com outros sistemas 
C.	 	O número de periféricos necessários, a linguagem de desenvolvimento e o local físico do CPD 
D.	seu volume médio diário de transações, seu custo de desenvolvimento e o impacto em outros sistemas 
E.	 	O custo do sistema, o local físico do CPD e o número de arquivos do sistema 
 
ANSWER: D
 
 
15. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: 
( ) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & Analysis). 
( ) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem característicaspouco comuns, como, por exemplo, sistemas de leasing e sistemas de câmbio. 
( ) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. 
( ) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle de forma remota, através de um programa instalado no seu computador. 
( ) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam formulários especiais para coleta de dados. 
	
• 	Agora assinale a alternativa correta: 
 
A.	F,F,F,V,V 
B.	V,V,V,V,F 
C.	V,V,V,F,F 	
D.	V,V,V,V,V 
E.	F,F,F,F,F 
 
ANSWER: C
 
 
 
16. A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica: 
 
 
A.	mapping
B.	simulação paralela 	
C.	análise lógica de programação 	
D.	análise do log accounting 	
E.	lógica de auditoria embutida nos sistemas 
 
ANSWER: A
 
 
17. A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se: 
 
 
A.	mapping 
B.	análise do log accounting
C.	análise lógica de programação 
D.	facilidade de teste integrado 
E.	rastreamento 
 
ANSWER: E
18. Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica:
A.	abordagem interna ao computador 
B.	abordagem através do computador a
C.	bordagem ao redor do computador 
D.	abordagem externa ao computador 
E.	abordagem com o computador
ANSWER: E
19. Um plano de contingência, também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de recuperação de desastres tem como objetivo:
A.	Aumentar a continuidade de rotinas
B.	Assegurar a documentação do schedule da produção.
C.	Gerenciar os sistemas do Departamento de Sistemas.
D.	Aumentar os custos de recuperação de dados.
E.	Avaliar os impactos no negócio, ou seja, para cada processo identificado, avaliar o impacto que a sua falha representa para a organização, levando em consideração também as interdependências entre processos.
ANSWER: E
20. Sabemos que um ponto de controle é a avaliação e validação do planejamento, da execução e do controle do projeto de auditoria. Desta forma, a cada falha encontrada no trabalho de campo devemos: 
I)	Emitir um relatório sobre o ocorrido e dar a nota no mesmo 
II)	Informar verbalmente ao auditado sobre o caso e emitir um memorando sobre a falha encontrada 
III)	Corrigir a falha e solicitar teste da correção 
Estão corretas, de acordo com o enunciado, as seguintes sentenças:
A.	I e III 
B.	somente a III 
C.	somente a II
D.	somente a I
E.	I e II
ANSWER: C
21. Em relação aos softwares para auxilio aos auditores, verifique as sentenças abaixo: 
I	­ Os generalistas calculam juros de mora para sistemas que administram cartões de crédito 
II	­ Os especialistas podem ser desenvolvidos na empresa ou encomendados pelos auditores 
III	­ Os generalistas executam apenas funções simples como somar campos ou classificar registros 
IV	­ Normalmente os sistemas operacionais ou os banco de dados possuem softwares utilitários. 
Identifique as sentenças verdadeiras e as falsas
A.	(V,F,V,F)
B.	(F,V,F,V)
C.	(F,V,V,F)
D.	(V,V,F,F)
E.	(V,F,F,V)
ANSWER: B
22. A técnica de auditoria que implica em análise visual do código fonte, buscando a verificação da lógica dos programas chama­se:
A.	lógica de auditoria embutida nos sistemas 
B.	simulação paralela 
C.	análise do log accounting 
D.	análise lógica de programação 
E.	mapping
ANSWER: D
23. Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere­se a que tipo de auditoria direcionada? Marque a opção correta:
A.	Auditoria de redes
B.	Auditoria de controle
C.	Auditoria online
D.	Auditoria de informações
E.	Auditoria de dados
ANSWER: A
24. Analise as sentenças abaixo e marque a opção correta.
Afetam a "nota" do relatório final de auditoria:
I	­ o número de pontos de controle da auditoria realizada
II	­ o número e grau de risco das falhas detectadas e não corrigidas
III	­ a complexidade das falhas detectadas no trabalho de campo
A.	V, V, V
B.	V, F, F
C.	V, F, V
D.	F, F, V
E.	F, V, F
Answer: e
25. Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles:
definidos pelo usuário como sendo os mais complexos
sujeitos a aprovação da crítica do cliente
que não devem ser descontinuados por terem caducado
essenciais para manter a continuidade do serviço
prioritários para serem refeitos
answer: d
26. Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa
correta:
I. Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que normalmente é feito pelo escore de risco
II. Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho
III. Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e também após a emissão do relatório
Todas as sentenças estão corretas
Somente as sentenças I e II estão corretas
Somente a sentença I está correta
Somente as sentenças II e III estão corretas
Somente a sentença II está correta
Answer: e
27. As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica?
Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos)
Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa
 de computador para auditoria, simulado e elaborado pelo auditor.
Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor
Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados.
Answer: a
28. As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade.
Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve ....................................
Marque a opção abaixo que completa a afirmativa:
o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente
executados numa rotina normal e operacional com o objetivo de verificar se os resultados são idênticos
a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações.
a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que
são inconsistentes.
a verificação da lógica de programação para certificar que asinstruções dadas ao computador são as
mesmas já identificadas nas documentações do sistema
answer: c
29. A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno:
Controle de acesso físico a equipamentos de hardware, periféricos e de transporte
Controle de back-up e off-site
Controle de acesso físico ao ambiente de informática
Controle de aquisição e disposição do equipamento
Controle sobre os recursos instalados
Answer: c
30. Um programa de auditoria gerou dois valores distintos para um mesmo cálculo de taxas. Este programa estaria infringindo o atributo:
Congruência
Completude
Consistência
Coerência
Compatibilidade
Answer: c
31. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: 
Diretoria Executiva 
Diretoria de Informática 
Presidência Executiva 
Diretoria Financeira 
Diretoria Administrativa 
Answer: c
32. Após a reunião inicial quando a Auditoria informa aos auditados que o sistema foi selecionado para auditoria, inicia-se o trabalho de campo. Nele estão contidas atividades tais como: 
testes de controles de negócio 
cálculo do escore de risco do sistema 
seleção dos controles internos 
conhecimento do negócio para o qual o sistema auditado dará suporte operacional 
escolha da ferramenta de auditoria a ser utilizada 
answer: a
33. Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando: 
rastreamento 
programa de computador 
simulação paralela 
questionário 
entrevista 
answer: e
34. Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que:
I. E essa técnica pode ser utilizada por auditores iniciantes
II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de
transações no dia para não gerar desconfiança no pessoal da produção
III. A base de dados real fica integra em relação aos dados inseridos.
Marque a opção correta:
opções I e II 
só a opção II 
só a opção III 
opções I e III 
só a opção I
answer: c
35. O profissional de segurança de informação tem a responsabilidade de supervisionar a área de segurança das informações e implementar todas as políticas de controle de acessos. 
Analise as seguintes afirmações: 
I. Todo trabalho do auditor deve ser documentado para se criar evidências do que será escrito nos relatórios. 
II. Ao encontrar uma não conformidade o auditor deve emitir sua opinião mostrando a solução que deverá ser dada para essa não conformidade. 
III. O número de caracteres exigidos para formação de senha não é significativo para a segurança da informação. 
As afirmações verdadeiras são: 
As afirmações (II) e (III). 
As afirmações (I), (II) e (III). 
Apenas a afirmação (I). 
Apenas a afirmação (II). 
As afirmações (I) e (II). 
Answer: c
36. Para obter um bom resultado na confecção de um relatório de auditoria devemos 
Escrever do jeito que falamos, preferir verbos passivos e palavras curtas. 
Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas. 
Evitar palavras de efeito visual, usar palavras e parágrafos curtos. 
Colocar a conclusão no final, preferir as frases e palavras curtas. 
Variar a estrutura das frases, ter tato e preferir parágrafos longos. 
Answer: b
37. A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: 
os salários dos auditores são compatíveis com os dos diretores 
ela diz para os gerentes como consertar as falhas encontradas 
ela necessita de autonomia para executar suas atividades 
os auditores não tem horário fixo para exercer suas atividades 
esta posição demonstra o status e o poder que a Auditoria possui 
ANSWER: C
 38. Analise as sentenças abaixo sobre Auditoria de Sistemas e, em seguida, assinale a alternativa correta: 
Tem como objetivo garantir a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas e padrões.
Os recursos envolvidos podem ser humanos, tecnológicos e materiais
III - Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa.
Somente a sentença I está correta 
Todas as sentenças estão corretas 
Somente a sentença III está correta 
Somente as sentenças II e II estão corretas 
Somente as sentenças I e II estão corretas 
ANSWER: B
39. Um plano de contingência pode ser definido como: 
Uma sequencia de ações para geração de arquivos cópia (back-ups) dos principais sistemas da empresa 
A manutenção de ambiente preparado para funcionar como back-up na eventualidade de uma parada do CPD da empresa 
A identificação de uma serie de ameaças e suas ponderações de probabilidade de ocorrência e provavel impacto gerado 
Uma sequencia de ações pre-definidas, a serem executadas na eventualidae da ocorrência de uma ameaça 
A solução de emergência para eventos não identificados previamente 
ANSWER: D
40. Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco. 
Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é: 
Plano de Provisões 
Plano de Recuperação 
Plano de Risco 
Plano de Backup 
Plano de Emergência 
ANSWER: E
41. Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: 
processo de desenvolvimento 
guarda de ativos 
conformidade 
segurança do sistema 
integridade de dados 
ANSWER: E
42. No processo de auditoria de sistemas as ferramentas são instrumentos que o auditor possui para ajudá-lo a realizar o trabalho que foi planejado. Apesar de existir no mercado uma oferta significativa dessas ferramentas, a pouca propaganda faz com que muitos desses profissionais tenham dificuldade para fazer uma boa escolha. 
Associe a cada tipo de software a vantagem ou desvantagem a ele associada: 
Generalista. 
Especialista. 
Utilitário. 
[ ] Pode processar vários arquivos ao mesmo tempo. 
[ ] Não provê cálculos específicos para sistemas específicos. 
[ ] Inclusão de testes de controle internos específicos, tais como dígito verificador. 
[ ] Existe custo de desenvolvimento de programa. 
[ ] São fáceis de serem utilizados. 
Agora assinale a alternativa correta: 
2,2,1,1,3. 
1,1,2,3,2. 
1,1,2,2,3. 
1,2,2,1,3. 
1,1,3,3,2. 
ANSWER: C
43. Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas utilitários:
podemos incluir testes específicos do sistema auditado 
podemos usar cálculos específicos para os sistemas auditados 
os auditores não necessitam de muita experiência em programação 
a desvantagem é o extenso tempo em aprender sua utilizaçãoa vantagem é a execução de apenas funções padrões
ANSWER: C
44. A técnica, conhecida também por Integrated Test Facility (ITF), somente pode ser processada com maior eficiência em ambiente online e real time. Com base na afirmativa marque a opção que responde como os dados de teste são integrados: 
Os dados de teste são integrados aos ambientes virtuais de processamento, utilizando-se de versões de backup da produção. 
Os dados de teste são integrados aos ambientes desenvolvidos, utilizando-se de versões atuais da produção. 
Os dados de teste são integrados aos ambientes de processamento, utilizando-se de versões futuras da produção. 
Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões atuais da produção. 
Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões passadas, atuais e futuras da produção. 
ANSWER: D
45. Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso:
a metodologia utilizada é da empresa de auditoria externa
a equipe será treinada conforme objetivos de segurança da empresa
o custo é distribuído pelos auditados
o controle sobre trabalhos realizados é mais seguro
o treinamento dos auditores é responsabilidade da área de recursos humanos
answer: a
46. Com relação à segurança da informação, os itens abaixo são Verdadeiros ou Falsos?.
( ) Confiabilidade é tornar uma informação disponível no momento em que ela se torna necessária.
( ) Uma informação será considerada íntegra quando seu conteúdo não tiver sido lido por entidade não-autorizada, seja esta um sistema ou uma pessoa.
( ) Um elemento fundamental a ser considerado no ambiente empresarial atual é a disponibilidade da informação, ou seja, informação para as pessoas autorizadas na hora que dela precisarem.
( ) O desenvolvimento de software seguro é uma funcionalidade presente em todas as ferramentas e padrões existentes no mercado. Assim, o programador precisa focar apenas na criatividade e no atendimento aos requisitos do cliente, pois segurança, hoje, é uma questão secundária.
Assinale alternativa com a sequência correta:
V,F,V,V
F,F,V,V
F,F.V,F
F,V,V,F
V,F,F,V
Answer: c
47. Após um brainstorming com a equipe de segurança e auditoria,foi definido que para falta de luz temos um impacto alto uma media probabilidade de ocorrência, para incêndio um alto impacto e baixa probabilidade de ocorrência, para ataque de hackers tanto impacto como probabilidade de ocorrência altos, para quebra de servidor a probabilidade de ocorrência é baixa com um médio impacto e para queda de raio uma baixa probabilidade de ocorrência com médio impacto. Qual das ameaças deverá ser prioritária em relação às contingências?
Ataque de hackers
Falta de luz
Queda de raio
Quebra de servidor
Incêndio
Answer: a
48. As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema:
custo do sistema, número de requisitos funcionais e visibilidade do cliente
volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas
custo do sistema, nível de documentação existente e complexidade dos cálculos
capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais
visibilidade do cliente, volume médio diário de transações processadas e idade do sistema
answer: b
49. Você esta auditando um Sistema de Folha de Pagamento e fará uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas, da área de Recursos Humanos e da área de Contabilidade a fim de informar que o sistema foi selecionado para ser auditado. Esta reunião é feita na fase do trabalho de auditoria chamada de:
priorização de sistemas a serem auditados
controle
planejamento
levantamento
execução
answer: e
50. Ao realizar uma auditoria em sistemas, os auditores devem estar atentos aos objetivos gerais e específicos da auditoria de aplicativos. Um exemplo de objetivo geral é:
Portabilidade
Conformidade
Idoneidade
Apreensibilidade
Privacidade
Answer: e
51. Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares generalistas, entre outras, podemos citar:
inclusão de trailler label
saldo devedor do sistema de financiamento de casa própria
testes do digito verificador do cliente
extração de dados de amostra
controle de lote
answer: d
52. Analise as sentenças abaixo. 
I - verificar se a chave primária do arquivo possui digito de controle 
II - verificar se houve mais de uma proposta para compra de 50 micro-
computadores, conforme exigido pela politica de compras da empresa 
III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente 
IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. 
Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas.
(F,F,F,V)
(F,V,V,F)
(V,V,V,F)
(F,V,F,F)
(V,F,V,F)
Answer: c
53. Identifique nas sentenças abaixo o que são erros (E) e o que são riscos (R). 
I - Falha no dispositivo de gravação de disco 
II - Falta de suprimento para impressão de contra-cheques 
III - Totalização no relatório de estoque incorreto 
IV - Queda de energia eletrica 
E,R,R,E 
E,R,E,R 
R,E,R,E 
R,R,E,E 
R,E,E,R 
Answer: e
54. O Senhor Alexandre possui uma Corretora de Seguros e resolveu investir em tecnologia da informação para aumentar o diferencial competitivo de sua empresa. Para viabilizar a sua estratégia ele contratou consultores com experiência em inovação na área de seguros. Os consultores incluíram no projeto a utilização de um "Data Center", deixando a própria Corretora como responsável pela execução do backup das operações diárias de serviço. 
Considerando o cenário apresentado, o tipo de software que melhor se aplica a demanda da Corretora para a realização dos backups é: 
Software ERP. 
Software Generalista. 
Software CRM. 
Software Utilitário. 
Software Especialista. 
Answer: d
55. Na aquisição de um software para sua empresa, voce deverá verificar alguns controles. Uma das perguntas a se fazer seria: 
Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? Suponha que voce obteve a resposta sim. Então voce deve preocupar-se com controles para assegurar que: 
Marque a única opção NÃO verdadeira 
Houve participação na concorrência de pelo menos 3 fornecedores. 
A seleção da melhor proposta foi feita com base em critérios previamente definidos e distribuidos para os candidatos a fornecedores (preço, prazo de entrega ,etc) 
As declarações de trabalho estão especificadas e aprovadas pelo usuário. 
Há documentação que garanta a manutenção do sistema fornecido por parte dos fornecedores 
É irrelevante o feedback de possiveis clientes do fornecedor vitorioso 
Answer: e
56. Pedro estava auditando o Sistema de Crediário das Lojas Vendem Bem quando descobriu que havia um percentual de 25% de clientes com atraso no pagamento das mensalidades. Como os correios estavam em greve, ele inferiu que esta era a causa dos atrasos e solicitou que o operacional da empresa executasse a contingência para a ameaça "greve dos correios". A atitude de Pedro não está correta porque: 
Não havia política de segurança na empresa sobre inadimplência 
Não foi feito teste no plano de contingência 
Não havia contingência para a ameaça greve dos correios 
Todo trabalho do auditor é baseado em fatose não em opiniões pessoais 
O percentual de inadimplência não refletia ameaças para a empresa 
Answer: d
57. Analise as sentenças sobre Auditoria de Hardware e, em seguida, assinale a alternativa correta: 
O controle de hardware objetiva implantar procedimentos de segurança lógica sobre equipamentos instalados na empresa, incluindo funções que possuem mecanismo para liberar acesso para toda e qualquer pessoa ao ambiente dos computadores da empresa, sem se preocupar inclusive com os controles referentes à proteção de vida de pessoas. 
Entre os recursos utilizados para amenizar os riscos de segurança lógica temos: extintores de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. 
Dentro desse contexto, existe a necessidade de controle de acionamento e desligamento de máquinas, que consiste na preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. 
Apenas a sentença I está correta 
Apenas as sentenças I e III estão corretas 
Todas as sentenças estão corretas 
Apenas as sentenças I e II estão corretas 
Apenas a sentença III está correta 
Answer: e
58. É política de segurança da empresa CEB que as senhas de seus funcionários sejam trocadas a cada 3 meses. Considerando que esta função é vital para o desempenho do sistema de auditoria, identificamos como critério de decisão de escolha de um software de auditoria a facilidade "pesquisa de string" classificado entre os aspectos: 
 
Relacionados à segurança 
De Gestão 
Funcionais 
Relacionados à tecnologia 
De fornecimento de suporte 
Answer: d
59. Protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada, os(as): 
 
senhas e identidades digitais 
contratos de não-repúdio e privacidade 
acordos de confidencialidade e de não-divulgação. 
direitos autorais e industriais 
normas e políticas de segurança 
answer: c
60. Analise as sentenças abaixo e em seguida assinale a alternativa correta. O software Audit Automation Facilities é um programa de gestão de auditoria interna. Dentre suas funções ele integra equipes, automatiza processos de cobrança, gera gráficos e relatórios. Também permite, no módulo de execução, recursos de follow-up e time-sheet. Partindo do que vimos, podemos afirmar que: 
I - O tempo trabalhado em cada atividade é documentado no sistema 
II - O sistema divide as tarefas equitativamente entre a equipe de auditoria 
III - O sistema permite controle de custos de horas diretas e indiretas, por auditoria. 
Está(ão) correta(s) a(s) sentença(s): 
 
II e III 
I e II 
I 
II 
I e III 
Answer: e
61. Falando em técnicas de auditoria, podemos afirmar que: 
A gravação de arquivos logs poderia ser incluida na técnica de teste integrado 
A técnica de simulação paralela usa dados preparados pelo auditor e pelo gerente do projeto 
A técnica de dados simulados de teste deve prever somente situações incorretas 
O mapeamento estatístico é uma técnica de verificação de transações incompletas 
A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real time 
Answer: e
62. Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos da segurança e este objetivo é conhecido por: 
 
credibilidade 
consistência 
integridade 
confidencialidade 
confiabilidade 
answer: c
63. Considere as seguintes descrições:
I.	Controle de acesso (físico e lógico) 
II.	Gravação e atualização autorizadas 
III.	Sistema disponível quando necessário 
IV.	Sistema funciona conforme requisitos 
V. 	Sistema atuará conforme o esperado
•	A opção que melhor representa o significado de cada uma delas respectivamente é:
A.	Confidencialidade; Confiabilidade; Integridade; Disponibilidade; e, Consistência.
B.	Confidencialidade; Disponibilidade; Consistência; Integridade; e, Confiabilidade.
C.	Confiabilidade; Integridade; Confidencialidade; Disponibilidade; e, Consistência.
D.	Consistência; Confidencialidade; Integridade; Disponibilidade; e, Confiabilidade.
E.	Confidencialidade; Integridade; Disponibilidade; Consistência; e, Confiabilidade.
Answer: e
64. Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de Processamento de Dados) e assinale se são verdadeiras (V) ou falsas (F). 
I - Fazemos planos de emergência apenas para os sistemas não críticos
II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de emergência
III - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma ameaça.
A.	F,F,V
B.	F,V,F
C.	V,F,F
D.	V,F,V
E.	F,F,F
Answer: b
65. Uma das vantagens de uso de softwares generalista é que:
provê cálculos específicos para sistemas específicos tais como Contas-Correntes
podem processar header labels
as aplicações podem ser feitas online e utilizadas em outros sistemas
o softaware aceita inclusão de testes de controles internos específicos tais como digito verificador
o software pode processar vários arquivos ao mesmo tempo
answer: e
66. Programa De Computador Para Auditoria são programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (microcomputadores).Qual tem abaixo NÃO é considerado como uma função inclusa em programas de Auditoria?
Correlação de arquivos
Estatística dos campos dos arquivos
Tabulação de campos
Contagem de campos/registros
Executa somente fuções padrão
Answer: e
67. Sabemos que a segurança dos dados envolve tanto leitura como gravação, por pessoas autorizadas a tanto. O objetivo de auditoria que se preocupa com a leitura de dados é:
confidencialidade 
consistência 
integridade 
confiabilidade 
credibilidade
answer: a
68. As fases de uma Auditoria de Sistemas são:
Projeto; Execução; Emissão e divulgação de releases; Acompanhamento
Planejamento; Exemplificação; Transmissão de relatórios; Backup
Planejamento; Exemplificação; Transferência de relatórios; Backup
Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up
Projeto; Execução; Emissão e divulgação de requisitos; Follow-up
Answer: d
69. Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é chamado de ______________________________. Estes, são porgramas desenvolvidos pelos auditores ou sob encomenda. Sua finalidade é testar particularidades de sistemas auditados que possuem características comuns. Marque a opção que completa corretamente a afirmativa:
SOFTWARE PRÓPRIO E GENERALISTA 
SOFTWARE ESPECIALISTA PARA CONTROLE E AUTOMAÇÃO 
SOFTWARE GENERALISTA 
SOFTWARE ESPECIALIZADO EM AUDITORIA 
SOFTWARE ESPECIALISTA PARA CONSUMO PÚBLICO
Answer: d
70. Uma técnica sempre presente nas auditoiras se refere ao teste do sistema auditado. Esse teste faz a distinção de quais outros teste? Marque a opção que responde corretamente ao questionamento.
Esse teste faz a distinção entre os teste de inteface e o teste de unidade. 
Esse teste faz a distinção entre os teste de software e o teste substantivo. 
Esse teste faz a distinção entre os teste de observância e o teste substantivo. 
Esse teste faz a distinção entre os teste de unidade e o teste modular. 
Esse teste faz a distinção entre os teste de sistemas
Answer: c
71. Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta:
teste integrado
mapeamento
questionário para auditoria
simulação paralela
programa de computador para auditoria
ANSWER: e
72. Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuarverificações durante o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; - Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. Marque a opção que se refere a técnica citada: 
Teste do Sistema Auditado
Facilidade De Teste Integrado 
Dados De Teste
Mapeamento Estatístico Dos Programas De Computador (Mapping)
Simulação Paralela
ANSWER: D
73. Correlacione as colunas abaixo e depois marque a alternativa correta:
1) Testes de observância
2) Testes substantivos
3) Simulação paralela
( ) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção.
( ) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores.
( ) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos.
( ) Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi elaborado ou encomendado pelo auditor.
( ) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc.
•	Agora assinale a alternativa correta:
	
3,1,2,3,1
3,2,1,1,3 
1,1,3,2,2 
3,2,1,3,1 
3,1,2,1,3
ANSWER: A
74. Os testes substantivos são utilizados quando o auditor deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para sua opinião sobre determinados fatos. Quando em auditoria a um sistema de cobrança motivada por não pagamento de parcelas de um empréstimo, esperamos achar evidencias de testes substantivos tais como: 
I - A documentação do empréstimo feita ao cliente. 
II - Relatório contendo os clientes em atraso, por data de inadimplência e valor devido. 
III - Relatório contendo as baixas da cobrança (porque os clientes pagaram as prestações em atraso). Marque a opção correta: 
 
[ F ] opções I e III 
[ F ] só opção I 
[ V ] opções II e III 
[ F ] só opção II 
[ V ]só opção III 
75. Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo estão corretas, exceto uma. Identifique-a
 	A.	Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser desenvolvida pela empresa
 	B.	Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já que estão posicionados em um alto nível no organograma da empresa
 	C.	O auditor de Sistemas deve conhecer os negócios da empresa
 	D.	Os auditores de sistema possuem autoridade para verificarem dados extremamente confidenciais da empresa, desde que façam parte dos sistemas auditados
 	E.	Os auditores de sistema devem evitar relacionamento pessoal com os auditados
Answer: a
76. Assim que uma falha é identificada em uma auditoria, ela deve:
Ser comunicada ao gerente da Auditoria para inserção no relatório final
Ser reportada em relatório apropriado para acerto imediato
Ser reportada à diretoria da empresa através de relatório de auditoria
Ser acertada pelo auditor e reportada a seguir para a gerencia auditada
Ser comunicada verbalmente ao gerente da área auditada
Answer: e
77. Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é conhecido como:
ponto de controle
ponto de integração
ponto de partida
ponto de auditoria
documentação
answer: a
78. Dos itens abaixo, assinale aquele que NÃO faz referência ao acesso lógico.
O controle de acesso pela biometria
O controle de acesso pelo reconhecimento de voz
O controle de acesso através de um token.
Processamento por pessoas não autorizadas utilizando a senha de outra pessoa.
Guarda de arquivos de um sistema por pessoas não autorizadas
Answer: e
79. Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e,
em seguida, assinale a alternativa correta:
Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas.
Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade econômica, operacional e técnica.
A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa.
Apenas as sentenças I e II estão corretas
Todas as sentenças estão corretas
Apenas as sentenças I e III estão corretas
Apenas a sentença I está correta
Apenas as sentenças II e III estão corretas
Answer: c
O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama:
Acuidade
Confidencialidade
Auditabilidade
Integridade
Privacidade
Answer: b
81. Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados. Referente a esta afirmativa quais recursos estão sendo tratados:
hardware e aplicativos
dados e recursos materiais
software e relatórios
software e aplicativos
hardware e relatórios
answer: b
Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta:
As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento.
A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TC P e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros.
Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos.
Apenas as sentenças II e III estão corretas
Todas as sentenças estão corretas
Apenas a sentença III está correta
Apenas as sentenças I e II estão corretas
Apenas a sentença II está correta
Answer: e
A Auditoria de Sistemas é uma atividade orientada para a avaliação dos procedimentos de controle e segurança da informação, recursos, serviços e acessos, bem como, a conformidade com objetivos da empresa, políticas, orçamentos, normas ou padrões. Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação.
Para executar o seu trabalho, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação, que são:
Softwares generalistas, Softwares especializados e Softwares utilitários.
Softwares de instalação, Softwares de backup e Softwares de restore.
Softwares de instalação, Softwares de observação e Softwares de correção.
Softwares de instalação, Softwares de especialização e Softwares de proposição.
Softwares de instalação, Softwares de correção e Softwares de observação.
Answer: a
Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar:
 	A.	Valor da licença de uso
 	B.	Log de alteraçõesC.	Integração com e-mail
 	D.	Disponibilização de código de fonte aberto
 	E.	Facilidade para pesquisa por palavra ou string
Answer: d
Segundo Claudia Dias, as ameças podem ser classificadas como: ____________ e _______________. Marque a opção que completa corretamente a afirmativa:
DELIBERADAS E PASSIVAS
DELIBERADAS E ATIVAS
ACIDENTAIS E PASSIVAS
ACIDENTAIS E DELIBERADAS
ACIDENTAIS E ATIVAS
Answer: d
O Senhor Albino é um auditor com experiência em realizar trabalhos em grandes empresas. Em uma das
últimas auditorias que participou, ele encontrou um determinado sistema com particularidades que impossibilitavam a realização de testes com as ferramentas disponíveis para o trabalho. Logo ele percebeu que seria necessário o desenvolvimento de um software para atender esta demanda.
• Pelas características do trabalho, o Senhor Albino providenciou:
Um software generalista.
Um software ERP.
Um software especialista.
Um software B2B.
Um software utilitário.
Answer: c
A segurança da empresa é responsabilidade
da área de auditoria
da diretoria operacional
da gerencia administrativa
da área de TI
de todos os envolvidos
answer: e
Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta:
I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria.
II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas.
III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua
conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito.
Apenas as sentenças I e III estão corretas
Todas as sentenças estão corretas
Apenas as sentenças II e III estão corretas
Apenas a sentença III está correta
Apenas a sentença I está correta
Answer: b
Os testes realizados no sistema X foram altamente significativos para determinar que a rotina de cálculo de valor líquido está errada". Esta afirmativa não está apropriada para inclusão em um relatório de auditoria porque:
Não menciona o desvio padrão de erros encontrados
Não favorece a crítica construtiva ao sistema
Não permite a visualização do número e valor dos testes realizados
Não explicita o nome do programa de cálculo
Não fornece o total médio dos cálculos efetuados em teste
Answer: c
Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista __________ independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation)
Nmap
Nessus 
Cobit 
Pentana 
Snort
ANSWER: C
A rede empresarial é onde se encontram as informações que alimentam as transações e os processos do negócio. É o local onde trafegam informações importantes para a execução de transações estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais que se relacionam com esse ambiente. 
Considere as seguintes proposições: 
Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição.
As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos. 
Customização de recursos de software, desempenho, acompanhamento e rendimento operacional. 
Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo em situação adversa. Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança:
Física, Biométrica, Enlace e Aplicação. 
Física, Lógica, Enlace e Aplicação. 
Física, Enlace, Lógica e Aplicação. 
Física, Aplicação, Enlace e Lógica. 
Física, Biométrica, Lógica e Aplicação.
ANSWER: C
Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
Segurança da emissão e distribuição de relatórios 
Segurança de atualização de senhas 
Segurança de programas de atualização 
Segurança quanto à disponibilidade da rede 
Segurança da criação de arquivos log
ANSWER: C
Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças:
I - desligar a força da sala do CPD
II - instalar sprinklers e sensores de calor na sala do CPD
III - telefonar para o Corpo de Bombeiros
 A.	I e II
 B.	Somente a II
 C.	somente a III
 D.	I, II e III
 E.	I e III
ANSWER: E
Ao escrevermos um relatório de auditoria devemos incluir tamanho dos testes ou métodos de seleção de itens para teste porque
A nota do relatório necessita de detalhes técnicos
A alta cúpula poderá decidir mais firmemente sobre o desempenho dos auditores
O auditado terá mais chances de reclamar com convicção
A informação poderá sugerir acertos mais eficazes das falhas
O relatório ficará menos aberto à disputas e discussões
ANSWER: E
Durante a realização de uma auditoria no sistema de administração de cartão de crédito, o auditor solicitou ao gerente do projeto o manual de operação do sistema. O gerente disse que o mesmo estava em fase final de elaboração e que estaria pronto em 3 dias. O auditor:
Espera uma semana e emite uma referência em relação à falha encontrada
Emite um parecer desfavorável ao sistema
Prepara uma referência (notificação de falha) e espera 3 dias para enviá-la ao auditado
Anota a falha para ser revista na próxima auditoria
Espera 3 dias para pedir o manual e se o mesmo não for entregue então emite uma referência (notificação de falha no sistema)
ANSWER: E
A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria:
Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa
Colocar cartazes sobre segurança nas dependências da empresa
Solicitar ao setor de RH listagem de funcionários para uso na portaria
Fornecer treinamento de segurança ao pessoal de portaria
Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa
Answer: e
Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico
Relatórios de clientes jogados no lixo
Guarda de arquivos back-ups vencidos na biblioteca externa
Destino dos relatórios gerados
Processamento de um sistema por pessoas não autorizadas
Entrada de visitantes no CPD
Answer: d
O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc.
Escolha a alternativa que preencha corretamente a lacuna:
Software de controle de rede.
Software de controle de trilha de auditoria.
Software de controle de perfil.
Software de controle de inventário.
Software de controle de acesso.
Answer: e
A Senhora Josefina necessita ter acesso a informações privilegiadas de uma determinada organização. Para isso, ela se emprega na empresa de limpeza que trabalha para essa organização. Assim que foi designada para a tal organização,
ela começou a vasculhar as lixeiras, as salas dos executivos e todos os possíveis locais que podiam potencializar alguma evidência do que estava procurando.
Tecnicamente falando, a Senhora Josefina estava praticando:
Pesquisa técnica.
Trash information.
Engenharia social.
Pesquisa encomendada.
Escaneamento batch.
Answer: c
Durante a auditoria do CPD, o auditor constatou que não havia uma biblioteca externa para guarda das cópias de arquivos e demais documentos necessáriospara a restauração das informações da empresa, em caso de emergência. A atitude do auditor foi:
Ouvir as razões pelas quais não havia uma biblioteca externa e aguardar que a mesma fosse construída.
Enviar um relatório ao gerente do CPD solicitando a imediata construção de uma biblioteca externa.
Alertar para o risco de não se ter uma biblioteca externa e a seguir emitir uma referência sobre a falha encontrada.
Alertar que tal fato poderia gerar insegurança nos clientes.
Sugerir a construção de uma biblioteca externa na sala ao lado ao CPD e emitir uma referencia sobre a falha encontrada.
Answer: c
101. Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um ____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da
auditoria, incluindo a gerência da Auditoria). Marque a opção que completa corretamente a afirmativa:
relatório online
relatório DRAFT (rascunho)
relatório sequencial
relatório expositivo
relatório parcial
ANSWER: B
102. Vários testes foram elaborados e encontramos muitos erros durante a fase de teste da auditoria". Esta sentença não é recomendada para inclusão em um relatório de auditoria porque:
Não diz qual rotina foi testada
Não menciona o nome do sistema
Usa a voz passiva e ativa na mesma frase
Possui muitas palavras generalistas
Não menciona o método de teste utilizado
ANSWER: D
103. Analise as sentenças abaixo e identifique as verdadeiras (V) e as falsas (F).
I - A primeira audiencia do relatorio final de Auditoria é quem vai atuar na recomendações do relatório.
II - O primeiro nível de audiência é composto pelas pessoas de nivel mais alto na hierarquia da empresa, que lerão os relatórios de Auditoria.
III - A segunda audiência do relatório de Auditoria interessa-se pelo resumo de falhas e recomendações.
V, F, V
F, F, V
F, V, V
V, V, F
F, V, F
ANSWER: A
104. Analise as proposições a seguir e depois marque a alternativa correta:
I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis.
II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente.
III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente.
IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI.
Agora assinale a resposta correta:
Somente I é proposição verdadeira
Somente I, II e III são proposições verdadeiras
Somente II e III são proposições verdadeiras
I, II, III e IV são proposições verdadeiras
Somente I e II são proposições verdadeiras
ANSWER: B
105. Marque a opção correta:
Solicitar que cada falha/recomendação seja confirmada ou não, a correção da mesma e em que prazo a correção estará pronta são informações que devem estar contidas
no relatório rascunho (draft)
no relatório final da Auditoria
no relatório parcial da Auditoria
no memorando capa, encaminhando o relatório da Auditoria
no relatório resposta
ANSWER: D
106. Verificar se há relatórios de ocorrência com totais de controle para a operação, mesmo que com valor zerado (para identificar que não houve ocorrência) é controle de operação de computadores que, nos questionários, enquadramos em:
Controles sobre monitoramento
Controles sobre o processo operacional
Controles sobre entradas batch
Controles de restart/recovery
Controles sobre entradas online
ANSWER: A
107. O Sistema de Contabilidade estava na fase final de teste quando o cliente solicitou a inclusão de alguns cálculos provenientes de interface com o Sistema de Contas a Pagar. O auditor, ao verificar que a solicitação estava completa, solicitou que fossem feitos os testes de:
Unidade
Acuidade
Regressão
Completude
Sistema
ANSWER: C
108. Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria:
legibilidade operacional
conformidade
segurança do sistema
integridade de dados
processo de desenvolvimento
ANSWER: C
109. Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o
auditor gastará no trabalho efetuado em cada:
teste de unidade
unidade de controle
ponto de auditoria
ponto de controle
comunicação de falha encontrada
ANSWER: C
110. Sobre o trabalho de auditoria, podemos afirmar que:
I) O auditor deve guardar as evidências relacionadas com as não conformidades encontradas durante o trabalho de campo;
II) Existem determinados tipos de não conformidades que o auditor deve ajudar, orientando sobre a melhor solução que deve ser dada para o cenário encontrado;
III) O auditado pode discordar de uma não conformidade, informando ao auditor por escrito e justificando a sua discordância.
Agora assinale a alternativa correta:
Somente I e II são proposições verdadeiras.
Somente II e III são proposições verdadeiras.
Somente I e III são proposições verdadeiras.
Somente I é proposição verdadeira.
I, II e III são proposições verdadeiras.
Answer: c