Baixe o app para aproveitar ainda mais
Prévia do material em texto
PROVAS ESTÁCIO - CCT0181 - AUDITORIA DE SISTEMAS Data: 13/05/2015 1. Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: Está calçada em segurança e em controles internos Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Somente as sentenças II e III estão corretas Todas as sentenças estão corretas Somente as sentenças I e III estão corretas Somente as sentenças I e II estão corretas Somente a sentença III está correta ANSWER: B 2. Assinale a opção verdadeira: Respostas de risco são: ações a serem seguidas na eventualidade da ocorrência de uma ameaça ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado atividades que devem ser evitadas para não gerar riscos ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria ANSWER: A 3. A auditoria é uma atividade realizada em fases. Uma das fases é conhecida como FOLLOWUP. Esta fase trata efetivamente do acompanhamneto de falahas. Marque a afirmativa correta referente ao acompanhamento desta fase: o acompanhamento é opcional não tem nenhuma relevância para a próxima auditoria independente de ser ou não o mesmo sistema ou cpd todo o acompanhamento deve ser documentado e será aproveitado para auditorias futuras em outro novo sistema ou cpd uma auditoria realizada em um sistema não influência na próxima auditoria que o memso venha passar. Inclusive o cpd nunca é auditado. todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou cpd todo o acompanhamento não necessita ser documentado e não servirá de subsídio para auditorias futuras do mesmo sistema ou cpd ANSWER: C 4. O plano de contingência é formado por 3 compontes: a) Plano de emergência b) plano de backup c) plano de Recuperação. As descrições a seguir: 1).Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 2). Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. 3). São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. Correspondem, respectivamente a: 1c,2b,31 1c, 2a, 3b 1a, 2b, 3c 1b,2a,3c 1b,2c,3ª ANSWER: D 5. Uma técnica sempre presente nas auditorias se refere ao _______________________. Sendo que esta técnica está classificada em dois tipos diferentes chamados de teste de observância e teste substantivo. Com base na afirmativa marque a opção que a completa corretamente: teste do sistema auditado teste do sistema complexo teste do sistema observado teste do sistema operado teste do sistema desenvolvido ANSWER: A 6. Marque a alternativa que preencha corretamente as lacunas: A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação nela. Isto fica por conta dos ________________, que representam o como ela será implementada. política de segurança / procedimentos política de segurança / programas estrutura organizacional / grau de maturidade classificação da informação / programas política de segurança / acionistas majoritários ANSWER: A 7. Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos: _____________________________________________________. Marque a opção que complementa corretamente a citação Com base na afirmativa completea respondendo quais são esses pontos: riscos envolvidos e ao custo contratação de profissionais e infraestrutura risco e implementação de uma política de segurança riscos de perda de informação e custobenefício riscos envolvidos e ao custobenefício de ambas as alternativas. ANSWER: E 8. Ao escrever um relatório devemos tomar alguns cuidados quanto à escrita. Um deles é evitar escritas abrasivas. É exemplo de escrita abrasiva: Quando escrevemos que muitos registros foram recusados por inconsitencia indevida Quando dizemos o percentual de registros encontrados com erro de digitação Quando dizemos o numero de testes feitos para detectar exatidão no cálculo de saldos de contascorrentes Quando mencionamos que cinco colaboradores bateram o ponto por outros colegas Quando escrevemos que a chave do cofre foi encontrada sobre a mesa do refeitório ANSWER: A 9. Há dois grandes meios de se ter uma equipe de auditoria. Com base na afirmativa marque a opção que indica os dois tipos de equipe de auditoria: A. EQUIPE INTERNA E CONSULTORIA B. EQUIPE INTERNA E VIRTUAL C. EQUIPE INTERNA E EXTERNA D. EQUIPE PREESENCIAL E VIRTUAL E. EQUIPE EXTERNA E CONSULTORIA ANSWER: C 10. O objetivo de auditoria que se preocupa se o sistema funciona conforme expectativa dos usuários autorizados é: A. confiabilidade B. confidencialidade C. credibilidade D. integridade E. consistência ANSWER: E 11. Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: A. risco B. impacto C. ameaça D. vulnerabilidade E. ataque ANSWER: C 12. Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: A. funcionários e clientes da empresa B. as pessoas que tem seus nomes mencionados no plano C. todas as pessoas da empresa D. só para a diretoria da empresa E. os diretores e gerentes da empresa ANSWER: B 13. A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificarse de que ........ De acordo com a afirmativa assinale a alternativa coreta: A. o sistema de qualidade executa suas tarefas periodicamente B. a equipe de contingência está preparada para realizar um treinamento no momento de ocorrência de um desastre C. existe a possibilidade de se desenvolver planos que contemplem todas as necessidades de contingências D. o sistema de recuperação de backups é lento e não satisfaz plenamente ao desejado pela organização E. esses planos são testados periodicamente. ANSWER: E 14. Ao fazermos a analise de risco de um sistema para determinar seu escore de risco e, desta forma, prioriza-lo para ser auditado, devemos considerar: A. O número de arquivos do sistema, o nivel tecnico dos operadores do sistema e seu volume médio diário de transações B. a linguagem de desenvolvimento, o custo de treinamento dos desenvolvedores e o número de interface com outros sistemas C. O número de periféricos necessários, a linguagem de desenvolvimento e o local físico do CPD D. seu volume médio diário de transações, seu custo de desenvolvimento e o impacto em outros sistemas E. O custo do sistema, o local físico do CPD e o número de arquivos do sistema ANSWER: D 15. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: ( ) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & Analysis). ( ) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem característicaspouco comuns, como, por exemplo, sistemas de leasing e sistemas de câmbio. ( ) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. ( ) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle de forma remota, através de um programa instalado no seu computador. ( ) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam formulários especiais para coleta de dados. • Agora assinale a alternativa correta: A. F,F,F,V,V B. V,V,V,V,F C. V,V,V,F,F D. V,V,V,V,V E. F,F,F,F,F ANSWER: C 16. A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica: A. mapping B. simulação paralela C. análise lógica de programação D. análise do log accounting E. lógica de auditoria embutida nos sistemas ANSWER: A 17. A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se: A. mapping B. análise do log accounting C. análise lógica de programação D. facilidade de teste integrado E. rastreamento ANSWER: E 18. Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: A. abordagem interna ao computador B. abordagem através do computador a C. bordagem ao redor do computador D. abordagem externa ao computador E. abordagem com o computador ANSWER: E 19. Um plano de contingência, também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de recuperação de desastres tem como objetivo: A. Aumentar a continuidade de rotinas B. Assegurar a documentação do schedule da produção. C. Gerenciar os sistemas do Departamento de Sistemas. D. Aumentar os custos de recuperação de dados. E. Avaliar os impactos no negócio, ou seja, para cada processo identificado, avaliar o impacto que a sua falha representa para a organização, levando em consideração também as interdependências entre processos. ANSWER: E 20. Sabemos que um ponto de controle é a avaliação e validação do planejamento, da execução e do controle do projeto de auditoria. Desta forma, a cada falha encontrada no trabalho de campo devemos: I) Emitir um relatório sobre o ocorrido e dar a nota no mesmo II) Informar verbalmente ao auditado sobre o caso e emitir um memorando sobre a falha encontrada III) Corrigir a falha e solicitar teste da correção Estão corretas, de acordo com o enunciado, as seguintes sentenças: A. I e III B. somente a III C. somente a II D. somente a I E. I e II ANSWER: C 21. Em relação aos softwares para auxilio aos auditores, verifique as sentenças abaixo: I Os generalistas calculam juros de mora para sistemas que administram cartões de crédito II Os especialistas podem ser desenvolvidos na empresa ou encomendados pelos auditores III Os generalistas executam apenas funções simples como somar campos ou classificar registros IV Normalmente os sistemas operacionais ou os banco de dados possuem softwares utilitários. Identifique as sentenças verdadeiras e as falsas A. (V,F,V,F) B. (F,V,F,V) C. (F,V,V,F) D. (V,V,F,F) E. (V,F,F,V) ANSWER: B 22. A técnica de auditoria que implica em análise visual do código fonte, buscando a verificação da lógica dos programas chamase: A. lógica de auditoria embutida nos sistemas B. simulação paralela C. análise do log accounting D. análise lógica de programação E. mapping ANSWER: D 23. Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa referese a que tipo de auditoria direcionada? Marque a opção correta: A. Auditoria de redes B. Auditoria de controle C. Auditoria online D. Auditoria de informações E. Auditoria de dados ANSWER: A 24. Analise as sentenças abaixo e marque a opção correta. Afetam a "nota" do relatório final de auditoria: I o número de pontos de controle da auditoria realizada II o número e grau de risco das falhas detectadas e não corrigidas III a complexidade das falhas detectadas no trabalho de campo A. V, V, V B. V, F, F C. V, F, V D. F, F, V E. F, V, F Answer: e 25. Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: definidos pelo usuário como sendo os mais complexos sujeitos a aprovação da crítica do cliente que não devem ser descontinuados por terem caducado essenciais para manter a continuidade do serviço prioritários para serem refeitos answer: d 26. Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa correta: I. Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que normalmente é feito pelo escore de risco II. Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho III. Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e também após a emissão do relatório Todas as sentenças estão corretas Somente as sentenças I e II estão corretas Somente a sentença I está correta Somente as sentenças II e III estão corretas Somente a sentença II está correta Answer: e 27. As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica? Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos) Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Answer: a 28. As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve .................................... Marque a opção abaixo que completa a afirmativa: o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verificar se os resultados são idênticos a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes. a verificação da lógica de programação para certificar que asinstruções dadas ao computador são as mesmas já identificadas nas documentações do sistema answer: c 29. A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno: Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Controle de back-up e off-site Controle de acesso físico ao ambiente de informática Controle de aquisição e disposição do equipamento Controle sobre os recursos instalados Answer: c 30. Um programa de auditoria gerou dois valores distintos para um mesmo cálculo de taxas. Este programa estaria infringindo o atributo: Congruência Completude Consistência Coerência Compatibilidade Answer: c 31. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: Diretoria Executiva Diretoria de Informática Presidência Executiva Diretoria Financeira Diretoria Administrativa Answer: c 32. Após a reunião inicial quando a Auditoria informa aos auditados que o sistema foi selecionado para auditoria, inicia-se o trabalho de campo. Nele estão contidas atividades tais como: testes de controles de negócio cálculo do escore de risco do sistema seleção dos controles internos conhecimento do negócio para o qual o sistema auditado dará suporte operacional escolha da ferramenta de auditoria a ser utilizada answer: a 33. Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando: rastreamento programa de computador simulação paralela questionário entrevista answer: e 34. Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: I. E essa técnica pode ser utilizada por auditores iniciantes II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de transações no dia para não gerar desconfiança no pessoal da produção III. A base de dados real fica integra em relação aos dados inseridos. Marque a opção correta: opções I e II só a opção II só a opção III opções I e III só a opção I answer: c 35. O profissional de segurança de informação tem a responsabilidade de supervisionar a área de segurança das informações e implementar todas as políticas de controle de acessos. Analise as seguintes afirmações: I. Todo trabalho do auditor deve ser documentado para se criar evidências do que será escrito nos relatórios. II. Ao encontrar uma não conformidade o auditor deve emitir sua opinião mostrando a solução que deverá ser dada para essa não conformidade. III. O número de caracteres exigidos para formação de senha não é significativo para a segurança da informação. As afirmações verdadeiras são: As afirmações (II) e (III). As afirmações (I), (II) e (III). Apenas a afirmação (I). Apenas a afirmação (II). As afirmações (I) e (II). Answer: c 36. Para obter um bom resultado na confecção de um relatório de auditoria devemos Escrever do jeito que falamos, preferir verbos passivos e palavras curtas. Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas. Evitar palavras de efeito visual, usar palavras e parágrafos curtos. Colocar a conclusão no final, preferir as frases e palavras curtas. Variar a estrutura das frases, ter tato e preferir parágrafos longos. Answer: b 37. A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: os salários dos auditores são compatíveis com os dos diretores ela diz para os gerentes como consertar as falhas encontradas ela necessita de autonomia para executar suas atividades os auditores não tem horário fixo para exercer suas atividades esta posição demonstra o status e o poder que a Auditoria possui ANSWER: C 38. Analise as sentenças abaixo sobre Auditoria de Sistemas e, em seguida, assinale a alternativa correta: Tem como objetivo garantir a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas e padrões. Os recursos envolvidos podem ser humanos, tecnológicos e materiais III - Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa. Somente a sentença I está correta Todas as sentenças estão corretas Somente a sentença III está correta Somente as sentenças II e II estão corretas Somente as sentenças I e II estão corretas ANSWER: B 39. Um plano de contingência pode ser definido como: Uma sequencia de ações para geração de arquivos cópia (back-ups) dos principais sistemas da empresa A manutenção de ambiente preparado para funcionar como back-up na eventualidade de uma parada do CPD da empresa A identificação de uma serie de ameaças e suas ponderações de probabilidade de ocorrência e provavel impacto gerado Uma sequencia de ações pre-definidas, a serem executadas na eventualidae da ocorrência de uma ameaça A solução de emergência para eventos não identificados previamente ANSWER: D 40. Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco. Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é: Plano de Provisões Plano de Recuperação Plano de Risco Plano de Backup Plano de Emergência ANSWER: E 41. Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: processo de desenvolvimento guarda de ativos conformidade segurança do sistema integridade de dados ANSWER: E 42. No processo de auditoria de sistemas as ferramentas são instrumentos que o auditor possui para ajudá-lo a realizar o trabalho que foi planejado. Apesar de existir no mercado uma oferta significativa dessas ferramentas, a pouca propaganda faz com que muitos desses profissionais tenham dificuldade para fazer uma boa escolha. Associe a cada tipo de software a vantagem ou desvantagem a ele associada: Generalista. Especialista. Utilitário. [ ] Pode processar vários arquivos ao mesmo tempo. [ ] Não provê cálculos específicos para sistemas específicos. [ ] Inclusão de testes de controle internos específicos, tais como dígito verificador. [ ] Existe custo de desenvolvimento de programa. [ ] São fáceis de serem utilizados. Agora assinale a alternativa correta: 2,2,1,1,3. 1,1,2,3,2. 1,1,2,2,3. 1,2,2,1,3. 1,1,3,3,2. ANSWER: C 43. Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas utilitários: podemos incluir testes específicos do sistema auditado podemos usar cálculos específicos para os sistemas auditados os auditores não necessitam de muita experiência em programação a desvantagem é o extenso tempo em aprender sua utilizaçãoa vantagem é a execução de apenas funções padrões ANSWER: C 44. A técnica, conhecida também por Integrated Test Facility (ITF), somente pode ser processada com maior eficiência em ambiente online e real time. Com base na afirmativa marque a opção que responde como os dados de teste são integrados: Os dados de teste são integrados aos ambientes virtuais de processamento, utilizando-se de versões de backup da produção. Os dados de teste são integrados aos ambientes desenvolvidos, utilizando-se de versões atuais da produção. Os dados de teste são integrados aos ambientes de processamento, utilizando-se de versões futuras da produção. Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões atuais da produção. Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões passadas, atuais e futuras da produção. ANSWER: D 45. Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: a metodologia utilizada é da empresa de auditoria externa a equipe será treinada conforme objetivos de segurança da empresa o custo é distribuído pelos auditados o controle sobre trabalhos realizados é mais seguro o treinamento dos auditores é responsabilidade da área de recursos humanos answer: a 46. Com relação à segurança da informação, os itens abaixo são Verdadeiros ou Falsos?. ( ) Confiabilidade é tornar uma informação disponível no momento em que ela se torna necessária. ( ) Uma informação será considerada íntegra quando seu conteúdo não tiver sido lido por entidade não-autorizada, seja esta um sistema ou uma pessoa. ( ) Um elemento fundamental a ser considerado no ambiente empresarial atual é a disponibilidade da informação, ou seja, informação para as pessoas autorizadas na hora que dela precisarem. ( ) O desenvolvimento de software seguro é uma funcionalidade presente em todas as ferramentas e padrões existentes no mercado. Assim, o programador precisa focar apenas na criatividade e no atendimento aos requisitos do cliente, pois segurança, hoje, é uma questão secundária. Assinale alternativa com a sequência correta: V,F,V,V F,F,V,V F,F.V,F F,V,V,F V,F,F,V Answer: c 47. Após um brainstorming com a equipe de segurança e auditoria,foi definido que para falta de luz temos um impacto alto uma media probabilidade de ocorrência, para incêndio um alto impacto e baixa probabilidade de ocorrência, para ataque de hackers tanto impacto como probabilidade de ocorrência altos, para quebra de servidor a probabilidade de ocorrência é baixa com um médio impacto e para queda de raio uma baixa probabilidade de ocorrência com médio impacto. Qual das ameaças deverá ser prioritária em relação às contingências? Ataque de hackers Falta de luz Queda de raio Quebra de servidor Incêndio Answer: a 48. As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema: custo do sistema, número de requisitos funcionais e visibilidade do cliente volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas custo do sistema, nível de documentação existente e complexidade dos cálculos capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais visibilidade do cliente, volume médio diário de transações processadas e idade do sistema answer: b 49. Você esta auditando um Sistema de Folha de Pagamento e fará uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas, da área de Recursos Humanos e da área de Contabilidade a fim de informar que o sistema foi selecionado para ser auditado. Esta reunião é feita na fase do trabalho de auditoria chamada de: priorização de sistemas a serem auditados controle planejamento levantamento execução answer: e 50. Ao realizar uma auditoria em sistemas, os auditores devem estar atentos aos objetivos gerais e específicos da auditoria de aplicativos. Um exemplo de objetivo geral é: Portabilidade Conformidade Idoneidade Apreensibilidade Privacidade Answer: e 51. Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares generalistas, entre outras, podemos citar: inclusão de trailler label saldo devedor do sistema de financiamento de casa própria testes do digito verificador do cliente extração de dados de amostra controle de lote answer: d 52. Analise as sentenças abaixo. I - verificar se a chave primária do arquivo possui digito de controle II - verificar se houve mais de uma proposta para compra de 50 micro- computadores, conforme exigido pela politica de compras da empresa III - Verificar se todas as folhas dos contratos de emprestimo estão rubricadas pelo cliente IV - Verificar se existe o relatório de clientes em atraso, por data de atraso. Quanto ao teste de observância de uma auditoria, identifique as sentenças verdadeiras e as falsas. (F,F,F,V) (F,V,V,F) (V,V,V,F) (F,V,F,F) (V,F,V,F) Answer: c 53. Identifique nas sentenças abaixo o que são erros (E) e o que são riscos (R). I - Falha no dispositivo de gravação de disco II - Falta de suprimento para impressão de contra-cheques III - Totalização no relatório de estoque incorreto IV - Queda de energia eletrica E,R,R,E E,R,E,R R,E,R,E R,R,E,E R,E,E,R Answer: e 54. O Senhor Alexandre possui uma Corretora de Seguros e resolveu investir em tecnologia da informação para aumentar o diferencial competitivo de sua empresa. Para viabilizar a sua estratégia ele contratou consultores com experiência em inovação na área de seguros. Os consultores incluíram no projeto a utilização de um "Data Center", deixando a própria Corretora como responsável pela execução do backup das operações diárias de serviço. Considerando o cenário apresentado, o tipo de software que melhor se aplica a demanda da Corretora para a realização dos backups é: Software ERP. Software Generalista. Software CRM. Software Utilitário. Software Especialista. Answer: d 55. Na aquisição de um software para sua empresa, voce deverá verificar alguns controles. Uma das perguntas a se fazer seria: Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? Suponha que voce obteve a resposta sim. Então voce deve preocupar-se com controles para assegurar que: Marque a única opção NÃO verdadeira Houve participação na concorrência de pelo menos 3 fornecedores. A seleção da melhor proposta foi feita com base em critérios previamente definidos e distribuidos para os candidatos a fornecedores (preço, prazo de entrega ,etc) As declarações de trabalho estão especificadas e aprovadas pelo usuário. Há documentação que garanta a manutenção do sistema fornecido por parte dos fornecedores É irrelevante o feedback de possiveis clientes do fornecedor vitorioso Answer: e 56. Pedro estava auditando o Sistema de Crediário das Lojas Vendem Bem quando descobriu que havia um percentual de 25% de clientes com atraso no pagamento das mensalidades. Como os correios estavam em greve, ele inferiu que esta era a causa dos atrasos e solicitou que o operacional da empresa executasse a contingência para a ameaça "greve dos correios". A atitude de Pedro não está correta porque: Não havia política de segurança na empresa sobre inadimplência Não foi feito teste no plano de contingência Não havia contingência para a ameaça greve dos correios Todo trabalho do auditor é baseado em fatose não em opiniões pessoais O percentual de inadimplência não refletia ameaças para a empresa Answer: d 57. Analise as sentenças sobre Auditoria de Hardware e, em seguida, assinale a alternativa correta: O controle de hardware objetiva implantar procedimentos de segurança lógica sobre equipamentos instalados na empresa, incluindo funções que possuem mecanismo para liberar acesso para toda e qualquer pessoa ao ambiente dos computadores da empresa, sem se preocupar inclusive com os controles referentes à proteção de vida de pessoas. Entre os recursos utilizados para amenizar os riscos de segurança lógica temos: extintores de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. Dentro desse contexto, existe a necessidade de controle de acionamento e desligamento de máquinas, que consiste na preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. Apenas a sentença I está correta Apenas as sentenças I e III estão corretas Todas as sentenças estão corretas Apenas as sentenças I e II estão corretas Apenas a sentença III está correta Answer: e 58. É política de segurança da empresa CEB que as senhas de seus funcionários sejam trocadas a cada 3 meses. Considerando que esta função é vital para o desempenho do sistema de auditoria, identificamos como critério de decisão de escolha de um software de auditoria a facilidade "pesquisa de string" classificado entre os aspectos: Relacionados à segurança De Gestão Funcionais Relacionados à tecnologia De fornecimento de suporte Answer: d 59. Protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada, os(as): senhas e identidades digitais contratos de não-repúdio e privacidade acordos de confidencialidade e de não-divulgação. direitos autorais e industriais normas e políticas de segurança answer: c 60. Analise as sentenças abaixo e em seguida assinale a alternativa correta. O software Audit Automation Facilities é um programa de gestão de auditoria interna. Dentre suas funções ele integra equipes, automatiza processos de cobrança, gera gráficos e relatórios. Também permite, no módulo de execução, recursos de follow-up e time-sheet. Partindo do que vimos, podemos afirmar que: I - O tempo trabalhado em cada atividade é documentado no sistema II - O sistema divide as tarefas equitativamente entre a equipe de auditoria III - O sistema permite controle de custos de horas diretas e indiretas, por auditoria. Está(ão) correta(s) a(s) sentença(s): II e III I e II I II I e III Answer: e 61. Falando em técnicas de auditoria, podemos afirmar que: A gravação de arquivos logs poderia ser incluida na técnica de teste integrado A técnica de simulação paralela usa dados preparados pelo auditor e pelo gerente do projeto A técnica de dados simulados de teste deve prever somente situações incorretas O mapeamento estatístico é uma técnica de verificação de transações incompletas A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real time Answer: e 62. Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos da segurança e este objetivo é conhecido por: credibilidade consistência integridade confidencialidade confiabilidade answer: c 63. Considere as seguintes descrições: I. Controle de acesso (físico e lógico) II. Gravação e atualização autorizadas III. Sistema disponível quando necessário IV. Sistema funciona conforme requisitos V. Sistema atuará conforme o esperado • A opção que melhor representa o significado de cada uma delas respectivamente é: A. Confidencialidade; Confiabilidade; Integridade; Disponibilidade; e, Consistência. B. Confidencialidade; Disponibilidade; Consistência; Integridade; e, Confiabilidade. C. Confiabilidade; Integridade; Confidencialidade; Disponibilidade; e, Consistência. D. Consistência; Confidencialidade; Integridade; Disponibilidade; e, Confiabilidade. E. Confidencialidade; Integridade; Disponibilidade; Consistência; e, Confiabilidade. Answer: e 64. Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de Processamento de Dados) e assinale se são verdadeiras (V) ou falsas (F). I - Fazemos planos de emergência apenas para os sistemas não críticos II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de emergência III - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma ameaça. A. F,F,V B. F,V,F C. V,F,F D. V,F,V E. F,F,F Answer: b 65. Uma das vantagens de uso de softwares generalista é que: provê cálculos específicos para sistemas específicos tais como Contas-Correntes podem processar header labels as aplicações podem ser feitas online e utilizadas em outros sistemas o softaware aceita inclusão de testes de controles internos específicos tais como digito verificador o software pode processar vários arquivos ao mesmo tempo answer: e 66. Programa De Computador Para Auditoria são programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (microcomputadores).Qual tem abaixo NÃO é considerado como uma função inclusa em programas de Auditoria? Correlação de arquivos Estatística dos campos dos arquivos Tabulação de campos Contagem de campos/registros Executa somente fuções padrão Answer: e 67. Sabemos que a segurança dos dados envolve tanto leitura como gravação, por pessoas autorizadas a tanto. O objetivo de auditoria que se preocupa com a leitura de dados é: confidencialidade consistência integridade confiabilidade credibilidade answer: a 68. As fases de uma Auditoria de Sistemas são: Projeto; Execução; Emissão e divulgação de releases; Acompanhamento Planejamento; Exemplificação; Transmissão de relatórios; Backup Planejamento; Exemplificação; Transferência de relatórios; Backup Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up Projeto; Execução; Emissão e divulgação de requisitos; Follow-up Answer: d 69. Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é chamado de ______________________________. Estes, são porgramas desenvolvidos pelos auditores ou sob encomenda. Sua finalidade é testar particularidades de sistemas auditados que possuem características comuns. Marque a opção que completa corretamente a afirmativa: SOFTWARE PRÓPRIO E GENERALISTA SOFTWARE ESPECIALISTA PARA CONTROLE E AUTOMAÇÃO SOFTWARE GENERALISTA SOFTWARE ESPECIALIZADO EM AUDITORIA SOFTWARE ESPECIALISTA PARA CONSUMO PÚBLICO Answer: d 70. Uma técnica sempre presente nas auditoiras se refere ao teste do sistema auditado. Esse teste faz a distinção de quais outros teste? Marque a opção que responde corretamente ao questionamento. Esse teste faz a distinção entre os teste de inteface e o teste de unidade. Esse teste faz a distinção entre os teste de software e o teste substantivo. Esse teste faz a distinção entre os teste de observância e o teste substantivo. Esse teste faz a distinção entre os teste de unidade e o teste modular. Esse teste faz a distinção entre os teste de sistemas Answer: c 71. Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta: teste integrado mapeamento questionário para auditoria simulação paralela programa de computador para auditoria ANSWER: e 72. Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuarverificações durante o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; - Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. Marque a opção que se refere a técnica citada: Teste do Sistema Auditado Facilidade De Teste Integrado Dados De Teste Mapeamento Estatístico Dos Programas De Computador (Mapping) Simulação Paralela ANSWER: D 73. Correlacione as colunas abaixo e depois marque a alternativa correta: 1) Testes de observância 2) Testes substantivos 3) Simulação paralela ( ) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção. ( ) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. ( ) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos. ( ) Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi elaborado ou encomendado pelo auditor. ( ) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc. • Agora assinale a alternativa correta: 3,1,2,3,1 3,2,1,1,3 1,1,3,2,2 3,2,1,3,1 3,1,2,1,3 ANSWER: A 74. Os testes substantivos são utilizados quando o auditor deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para sua opinião sobre determinados fatos. Quando em auditoria a um sistema de cobrança motivada por não pagamento de parcelas de um empréstimo, esperamos achar evidencias de testes substantivos tais como: I - A documentação do empréstimo feita ao cliente. II - Relatório contendo os clientes em atraso, por data de inadimplência e valor devido. III - Relatório contendo as baixas da cobrança (porque os clientes pagaram as prestações em atraso). Marque a opção correta: [ F ] opções I e III [ F ] só opção I [ V ] opções II e III [ F ] só opção II [ V ]só opção III 75. Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo estão corretas, exceto uma. Identifique-a A. Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser desenvolvida pela empresa B. Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já que estão posicionados em um alto nível no organograma da empresa C. O auditor de Sistemas deve conhecer os negócios da empresa D. Os auditores de sistema possuem autoridade para verificarem dados extremamente confidenciais da empresa, desde que façam parte dos sistemas auditados E. Os auditores de sistema devem evitar relacionamento pessoal com os auditados Answer: a 76. Assim que uma falha é identificada em uma auditoria, ela deve: Ser comunicada ao gerente da Auditoria para inserção no relatório final Ser reportada em relatório apropriado para acerto imediato Ser reportada à diretoria da empresa através de relatório de auditoria Ser acertada pelo auditor e reportada a seguir para a gerencia auditada Ser comunicada verbalmente ao gerente da área auditada Answer: e 77. Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é conhecido como: ponto de controle ponto de integração ponto de partida ponto de auditoria documentação answer: a 78. Dos itens abaixo, assinale aquele que NÃO faz referência ao acesso lógico. O controle de acesso pela biometria O controle de acesso pelo reconhecimento de voz O controle de acesso através de um token. Processamento por pessoas não autorizadas utilizando a senha de outra pessoa. Guarda de arquivos de um sistema por pessoas não autorizadas Answer: e 79. Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa correta: Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade econômica, operacional e técnica. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. Apenas as sentenças I e II estão corretas Todas as sentenças estão corretas Apenas as sentenças I e III estão corretas Apenas a sentença I está correta Apenas as sentenças II e III estão corretas Answer: c O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: Acuidade Confidencialidade Auditabilidade Integridade Privacidade Answer: b 81. Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados. Referente a esta afirmativa quais recursos estão sendo tratados: hardware e aplicativos dados e recursos materiais software e relatórios software e aplicativos hardware e relatórios answer: b Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TC P e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos. Apenas as sentenças II e III estão corretas Todas as sentenças estão corretas Apenas a sentença III está correta Apenas as sentenças I e II estão corretas Apenas a sentença II está correta Answer: e A Auditoria de Sistemas é uma atividade orientada para a avaliação dos procedimentos de controle e segurança da informação, recursos, serviços e acessos, bem como, a conformidade com objetivos da empresa, políticas, orçamentos, normas ou padrões. Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação. Para executar o seu trabalho, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação, que são: Softwares generalistas, Softwares especializados e Softwares utilitários. Softwares de instalação, Softwares de backup e Softwares de restore. Softwares de instalação, Softwares de observação e Softwares de correção. Softwares de instalação, Softwares de especialização e Softwares de proposição. Softwares de instalação, Softwares de correção e Softwares de observação. Answer: a Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar: A. Valor da licença de uso B. Log de alteraçõesC. Integração com e-mail D. Disponibilização de código de fonte aberto E. Facilidade para pesquisa por palavra ou string Answer: d Segundo Claudia Dias, as ameças podem ser classificadas como: ____________ e _______________. Marque a opção que completa corretamente a afirmativa: DELIBERADAS E PASSIVAS DELIBERADAS E ATIVAS ACIDENTAIS E PASSIVAS ACIDENTAIS E DELIBERADAS ACIDENTAIS E ATIVAS Answer: d O Senhor Albino é um auditor com experiência em realizar trabalhos em grandes empresas. Em uma das últimas auditorias que participou, ele encontrou um determinado sistema com particularidades que impossibilitavam a realização de testes com as ferramentas disponíveis para o trabalho. Logo ele percebeu que seria necessário o desenvolvimento de um software para atender esta demanda. • Pelas características do trabalho, o Senhor Albino providenciou: Um software generalista. Um software ERP. Um software especialista. Um software B2B. Um software utilitário. Answer: c A segurança da empresa é responsabilidade da área de auditoria da diretoria operacional da gerencia administrativa da área de TI de todos os envolvidos answer: e Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Apenas as sentenças I e III estão corretas Todas as sentenças estão corretas Apenas as sentenças II e III estão corretas Apenas a sentença III está correta Apenas a sentença I está correta Answer: b Os testes realizados no sistema X foram altamente significativos para determinar que a rotina de cálculo de valor líquido está errada". Esta afirmativa não está apropriada para inclusão em um relatório de auditoria porque: Não menciona o desvio padrão de erros encontrados Não favorece a crítica construtiva ao sistema Não permite a visualização do número e valor dos testes realizados Não explicita o nome do programa de cálculo Não fornece o total médio dos cálculos efetuados em teste Answer: c Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista __________ independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation) Nmap Nessus Cobit Pentana Snort ANSWER: C A rede empresarial é onde se encontram as informações que alimentam as transações e os processos do negócio. É o local onde trafegam informações importantes para a execução de transações estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais que se relacionam com esse ambiente. Considere as seguintes proposições: Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição. As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos. Customização de recursos de software, desempenho, acompanhamento e rendimento operacional. Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo em situação adversa. Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança: Física, Biométrica, Enlace e Aplicação. Física, Lógica, Enlace e Aplicação. Física, Enlace, Lógica e Aplicação. Física, Aplicação, Enlace e Lógica. Física, Biométrica, Lógica e Aplicação. ANSWER: C Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança da emissão e distribuição de relatórios Segurança de atualização de senhas Segurança de programas de atualização Segurança quanto à disponibilidade da rede Segurança da criação de arquivos log ANSWER: C Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças: I - desligar a força da sala do CPD II - instalar sprinklers e sensores de calor na sala do CPD III - telefonar para o Corpo de Bombeiros A. I e II B. Somente a II C. somente a III D. I, II e III E. I e III ANSWER: E Ao escrevermos um relatório de auditoria devemos incluir tamanho dos testes ou métodos de seleção de itens para teste porque A nota do relatório necessita de detalhes técnicos A alta cúpula poderá decidir mais firmemente sobre o desempenho dos auditores O auditado terá mais chances de reclamar com convicção A informação poderá sugerir acertos mais eficazes das falhas O relatório ficará menos aberto à disputas e discussões ANSWER: E Durante a realização de uma auditoria no sistema de administração de cartão de crédito, o auditor solicitou ao gerente do projeto o manual de operação do sistema. O gerente disse que o mesmo estava em fase final de elaboração e que estaria pronto em 3 dias. O auditor: Espera uma semana e emite uma referência em relação à falha encontrada Emite um parecer desfavorável ao sistema Prepara uma referência (notificação de falha) e espera 3 dias para enviá-la ao auditado Anota a falha para ser revista na próxima auditoria Espera 3 dias para pedir o manual e se o mesmo não for entregue então emite uma referência (notificação de falha no sistema) ANSWER: E A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa Colocar cartazes sobre segurança nas dependências da empresa Solicitar ao setor de RH listagem de funcionários para uso na portaria Fornecer treinamento de segurança ao pessoal de portaria Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Answer: e Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico Relatórios de clientes jogados no lixo Guarda de arquivos back-ups vencidos na biblioteca externa Destino dos relatórios gerados Processamento de um sistema por pessoas não autorizadas Entrada de visitantes no CPD Answer: d O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc. Escolha a alternativa que preencha corretamente a lacuna: Software de controle de rede. Software de controle de trilha de auditoria. Software de controle de perfil. Software de controle de inventário. Software de controle de acesso. Answer: e A Senhora Josefina necessita ter acesso a informações privilegiadas de uma determinada organização. Para isso, ela se emprega na empresa de limpeza que trabalha para essa organização. Assim que foi designada para a tal organização, ela começou a vasculhar as lixeiras, as salas dos executivos e todos os possíveis locais que podiam potencializar alguma evidência do que estava procurando. Tecnicamente falando, a Senhora Josefina estava praticando: Pesquisa técnica. Trash information. Engenharia social. Pesquisa encomendada. Escaneamento batch. Answer: c Durante a auditoria do CPD, o auditor constatou que não havia uma biblioteca externa para guarda das cópias de arquivos e demais documentos necessáriospara a restauração das informações da empresa, em caso de emergência. A atitude do auditor foi: Ouvir as razões pelas quais não havia uma biblioteca externa e aguardar que a mesma fosse construída. Enviar um relatório ao gerente do CPD solicitando a imediata construção de uma biblioteca externa. Alertar para o risco de não se ter uma biblioteca externa e a seguir emitir uma referência sobre a falha encontrada. Alertar que tal fato poderia gerar insegurança nos clientes. Sugerir a construção de uma biblioteca externa na sala ao lado ao CPD e emitir uma referencia sobre a falha encontrada. Answer: c 101. Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um ____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, incluindo a gerência da Auditoria). Marque a opção que completa corretamente a afirmativa: relatório online relatório DRAFT (rascunho) relatório sequencial relatório expositivo relatório parcial ANSWER: B 102. Vários testes foram elaborados e encontramos muitos erros durante a fase de teste da auditoria". Esta sentença não é recomendada para inclusão em um relatório de auditoria porque: Não diz qual rotina foi testada Não menciona o nome do sistema Usa a voz passiva e ativa na mesma frase Possui muitas palavras generalistas Não menciona o método de teste utilizado ANSWER: D 103. Analise as sentenças abaixo e identifique as verdadeiras (V) e as falsas (F). I - A primeira audiencia do relatorio final de Auditoria é quem vai atuar na recomendações do relatório. II - O primeiro nível de audiência é composto pelas pessoas de nivel mais alto na hierarquia da empresa, que lerão os relatórios de Auditoria. III - A segunda audiência do relatório de Auditoria interessa-se pelo resumo de falhas e recomendações. V, F, V F, F, V F, V, V V, V, F F, V, F ANSWER: A 104. Analise as proposições a seguir e depois marque a alternativa correta: I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis. II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente. III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente. IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI. Agora assinale a resposta correta: Somente I é proposição verdadeira Somente I, II e III são proposições verdadeiras Somente II e III são proposições verdadeiras I, II, III e IV são proposições verdadeiras Somente I e II são proposições verdadeiras ANSWER: B 105. Marque a opção correta: Solicitar que cada falha/recomendação seja confirmada ou não, a correção da mesma e em que prazo a correção estará pronta são informações que devem estar contidas no relatório rascunho (draft) no relatório final da Auditoria no relatório parcial da Auditoria no memorando capa, encaminhando o relatório da Auditoria no relatório resposta ANSWER: D 106. Verificar se há relatórios de ocorrência com totais de controle para a operação, mesmo que com valor zerado (para identificar que não houve ocorrência) é controle de operação de computadores que, nos questionários, enquadramos em: Controles sobre monitoramento Controles sobre o processo operacional Controles sobre entradas batch Controles de restart/recovery Controles sobre entradas online ANSWER: A 107. O Sistema de Contabilidade estava na fase final de teste quando o cliente solicitou a inclusão de alguns cálculos provenientes de interface com o Sistema de Contas a Pagar. O auditor, ao verificar que a solicitação estava completa, solicitou que fossem feitos os testes de: Unidade Acuidade Regressão Completude Sistema ANSWER: C 108. Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: legibilidade operacional conformidade segurança do sistema integridade de dados processo de desenvolvimento ANSWER: C 109. Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada: teste de unidade unidade de controle ponto de auditoria ponto de controle comunicação de falha encontrada ANSWER: C 110. Sobre o trabalho de auditoria, podemos afirmar que: I) O auditor deve guardar as evidências relacionadas com as não conformidades encontradas durante o trabalho de campo; II) Existem determinados tipos de não conformidades que o auditor deve ajudar, orientando sobre a melhor solução que deve ser dada para o cenário encontrado; III) O auditado pode discordar de uma não conformidade, informando ao auditor por escrito e justificando a sua discordância. Agora assinale a alternativa correta: Somente I e II são proposições verdadeiras. Somente II e III são proposições verdadeiras. Somente I e III são proposições verdadeiras. Somente I é proposição verdadeira. I, II e III são proposições verdadeiras. Answer: c
Compartilhar