Auditoria de Sistemas

Prévia do material em texto

AUDITORIA DE SISTEMAS 
1) Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho 
realizado e apontar distorções encontradas no que tange à segurança de informações, seu 
posicionamento no organograma da empresa deve ser: logo abaixo da direção executiva da 
empresa. 
2) Verificar se o sistema auditado suporta adequadamente os usuários do mesmo faz parte do 
perfil do auditor de sistemas. Isso significa dizer que: (V) O auditor de sistemas deve conhecer 
a rotina operacional para o qual o sistema auditado dará suporte. 
(F) O auditor de sistemas deve necessariamente conhecer o negócio da empresa. 
(F) O auditor de sistemas deve conhecer as funções dos colaboradores que trabalham na 
área para a qual o sistema dará suporte. 
3) A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da 
direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: ela 
necessita de autonomia para executar suas atividades. 
4) Aponte qual das opções abaixo não corresponde ao perfil do auditor: Deve ser profundo 
conhecedor de linguagens orientada a objetos. 
5) A Auditoria de Sistemas tem como objetivo: garantir a segurança de informações, recursos, 
serviços e acesso. 
6) Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos 
da segurança e este objetivo é conhecido por: INTEGRIDADE. 
7) As opções abaixo citam recursos passíveis de serem auditados pela Auditoria de Sistemas. 
Uma delas NÃO ESTÁ CORRETA. Identifique-a: Equipamentos eletrônicos da empresa, 
celulares e móveis. 
8) Identifique qual das afirmativas é FALSA em relação ao que se é discutido nessa reunião: os 
custos dos salários/hora das pessoas envolvidas na reunião. 
9) Para um call Center, identifique qual das ameaças elencadas é FALSA: Sistema com erro de 
identificação de clientes. 
10) Um plano de contingência pode ser definido como: Uma sequencia de ações pré-
definidas, a serem executadas na eventualidade da ocorrência de uma ameaça. 
11) Para um CPD, seriam consideradas atividades do plano de emergência as atividades das 
sentenças: I - desligar a força da sala do CPD / III - telefonar para o Corpo de Bombeiros 
12) Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que 
potencialmente remove, desabilita ou destrói um recurso é chamado de: AMEAÇA. 
13) Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, 
mas apenas para os sistemas críticos que são aqueles: essenciais para manter a continuidade 
do serviço. 
14) Analise as seguintes afirmações relacionadas a Auditoria de Sistemas: I. A gerência da 
empresa deve estabelecer critérios para a criação, processamento e disseminação de 
informações de dados, por meio de autorização e registro de responsabilidade. / II. A 
gerência deve implementar um plano adequado, bem como procedimentos de implantação 
para prevenir-se contra falhas de controle que podem surgir durante especificações de 
sistemas, desenho, programação, testes e documentação de sistemas. 
15) Considerando que um plano de contingência deve conter as ações para que possamos 
sobreviver em situações de emergência na empresa, devemos divulgá-lo para: as pessoas que 
tem seus nomes mencionados no plano. 
16) As fases de uma auditoria são: Planejamento ,Execução, Emissão e divulgação de 
relatórios e Follow-up. 
17) Esta reunião é feita na fase do trabalho de auditoria chamada de: EXECUÇÃO. 
18) Marque a afirmativa correta referente ao acompanhamento da fase FOLLOW UP: Todo o 
acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do 
mesmo sistema ou CPD. 
19) Qual item abaixo NÃO corresponde a técnica de auditoria? Rotinas para gravação de 
arquivos logs (arquivo log: arquivo com dados históricos). 
20) Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da 
categoria: SEGURANÇA NO SISTEMA. 
21) Para o cálculo do risco de um sistema em desenvolvimento podemos considerar os 
seguintes itens, EXCETO: A linguagem em que o sistema está sendo desenvolvido. 
22) Identifique os itens abaixo se são considerados controles internos de um sistema. Use V 
para verdadeiro e F para falso. (V) Assinatura digital / (F) Suporte de rede. / (F) Comparação 
de dados no sistema. 
23) O cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho 
efetuado em cada: PONTO DE CONTROLE. 
24) Logo ele percebeu que seria necessário o desenvolvimento de um software para atender 
esta demanda. Pelas características do trabalho, o SENHOR ALBINO providenciou: UM 
SOFTWARE ESPECIALISTA. 
25) Quando a auditorias de sistemas ocorre em sistemas em desenvolvimento, a atenção dos 
auditores é focada em qual etapa do desenvolvimento? Naquilo que foi planejado em termos 
de controles internos, processos e controles de negócios a serem implementados nos 
sistemas. 
26) Como funções de softwares generalistas, entre outras, podemos citar: EXTRAÇÃO DE 
DADOS DE AMOSTRA. 
27) A técnica chamada ENTREVISTA visa obter evidências do trabalho do auditor para que ele 
possa opinar sobre o sistema que está auditando: 
28) Qual tem abaixo NÃO é considerado como uma função inclusa em programas de 
Auditoria? EXECUTA SOMENTE FUNÇÕES PADRÃO. 
29) Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a 
seguir: (F) Nos softwares utilitários as aplicações não podem ser feitas online já que eles 
gravam diversos arquivos para serem analisados em separado. / (V) Uma vantagem dos 
softwares utilitários é que são fáceis de serem aprendidos. / (F) Os softwares utilitários são 
desenvolvidos para a Auditoria conforme sua específica utilização. 
30) Podemos realizar uma auditoria de sistemas naqueles que estiverem em: 
DESENVOLVIMENTO OU EM OPERAÇÃO. 
31) Somar data da última movimentação de cada item em estoque e verificar se o total 
coincide com o total informado no header label é um exemplo de análise que pode ser feita 
quando usamos a ferramenta: PROGRAMA DE COMPUTADOR PARA AUDITORIA. 
32) Correlacione as colunas abaixo e depois marque a alternativa correta: 1) Testes de 
observância / 2) Testes substantivos / 3) Simulação paralela: 3, 1, 2, 3, 1. 
33) A técnica de simulação paralela é: (V) Um programa preparado pelo auditor para simular 
funções de rotina do sistema sob auditoria. É processado com a massa real de produção. (F) 
É uma técnica que utiliza dados preparados pelo auditor para serem processados por 
programas em produção. (F) Utiliza-se de dados preparados pelo auditor para serem 
processados por programas elaborados pelo auditor para teste de rotinas sob auditoria. 
34) Confrontamos os dados no processamento de transações reais com esses dados inseridos 
pela auditoria. Partindo desse pressuposto, podemos dizer que: III. A base de dados real fica 
integra em relação aos dados inseridos. 
35) A técnica de auditoria que possibilita seguir o caminho de uma transação durante o 
processamento do programa chama-se: RASTREAMENTO. 
36) Como objetivos fundamentais dos testes substantivos, a constatação de que que as 
transações comunicadas/registradas realmente tenham ocorrido refere-se a que tipo de 
constatação: EXISTÊNCIA REAL. 
37) A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou 
seja, por senhas não autorizadas é a técnica: Análise do log/accounting. 
38) A técnica de auditoria que implica em análise visual do código fonte, buscando a 
verificação da lógica dos programas chama-se: ANÁLISE LÓGICA DE PROGRAMAÇÃO. 
39) Com base na afirmativa marque a opção que responde como os dados de teste são 
integrados: Os dados de teste são integrados aos ambientesreais de processamento, 
utilizando-se de versões atuais da produção. 
40) Assinale aquela que corresponde ao processo de Identificação dos recursos críticos: Definir 
o que precisa ser protegido. 
41) Assinale dentre as opções abaixo como o dono da informação classifica as mesmas: 
Pública, interna, confidencial, secreta. 
42) A politica organizacional deve tratar de princípios éticos, sendo ela compulsória. Aponte 
dentre as opções colocadas abaixo aquela que está correta em caso do seu descumprimento: 
Justifica demissão por justa causa. 
43) O objetivo de uma política de segurança é: Homogeneizar o comportamento das pessoas. 
44) Assinale dentre as opções abaixo aquela que está correta, caso o dono da informação a 
classifique como internas ou uso interno: Não devem sair do âmbito interno da organização. 
45) Referente a esta afirmativa quais recursos estão sendo tratados: DADOS E RECURSOS 
MATERIAIS. 
46) Assinale dentre as opções abaixo aquela atende ao objetivo de identificar as piores 
ameaças: MATRIZ DE RISCOS. 
47) A segurança da empresa é responsabilidade: DE TODOS OS ENVOLVIDOS. 
48) Em relação a controle de acesso: Em um banco, o cartão com tarja magnética do 
correntista pode ser usado tanto para acesso físico como lógico. 
49) Avaliar se o acesso ao local de instalação do CPD é restrito é preocupação do controle 
interno chamado: Controle de acesso físico a equipamentos de hardware, periféricos e de 
transporte. 
50) Considere as seguintes proposições: 1. Equipamentos e periféricos... / 2. As linhas e canais 
de transmissão... / 3. Customização de recursos de software... / 4. Disponibilidade da rede... 
Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança: 
FÍSICA, ENLACE, LÓGICA E APLICAÇÃO. 
51) Analise as sentenças sobre AUDITORIA DE REDES: II. A gestão efetiva das redes 
concentra-se nos controles relacionados com comunicação de dados e informações nas 
camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de 
camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre 
outros. 
52) Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA: Os 
auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os 
mesmos são adequados para manter a continuidade das operações de cada área. 
53) Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no 
tocante a: Segurança quanto à disponibilidade da rede. 
54) Analise as sentenças sobre Auditoria de Hardware: III. Dentro desse contexto, existe a 
necessidade de controle de acionamento e desligamento de máquinas, que consiste na 
preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado 
para tanto. 
55) O SOFTWARE DE CONTROLE DE ACESSO avalia procedimentos de segurança com relação 
a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de 
senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc. 
56) Para avaliarmos os sistemas aplicativos geralmente usamos as seguintes ferramentas 
EXCETO: QUESTIONÁRIOS. 
57) Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e 
Documentação de sistemas e, em seguida, assinale a alternativa correta: I. Uma das dúvidas 
atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um 
determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação 
aos riscos envolvidos e ao custo-benefício de ambas as alternativas. / III. A aquisição de 
software pode abranger um sistema/programa novo (com ou sem modificações de 
customização) ou alterações em algum software já existente na empresa. 
58) As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de 
aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser 
respondidas, COM EXCEÇÃO DE: O hardware e software são considerados como custo ou 
investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas 
relacionadas a auditoria ou verbas próprias? 
59) Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar 
que os serviços sejam programados (para execução) e processados adequadamente, sendo os 
relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de 
arquivos de dados devidamente protegidos ? AUDITORIA DE OPERAÇÕES DE SISTEMAS. 
60) Assinale a única opção que NÃO ESTÁ CORRETA em relação aos controles que deverão 
existir: Os testes dos programas para efeito de cronograma deverão ser realizados somente 
na implantação do sistema. 
61) Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação: Evidências de 
acompanhamento número de erros nos testes de lógica de programas. 
62) Se vamos desenvolver um sistema em casa ou se vamos comprar um sistema pronto, antes 
de qualquer coisa devemos fazer um estudo preliminar para o sistema em questão EXCETO 
sobre: CUSTO DE UPGRADE DE EQUIPAMENTOS. 
63) Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em 
casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em 
relação aos: RISCOS ENVOLVIDOS E AO CUSTO-BENEFÍCIO DE AMBAS AS ALTERNATIVAS. 
64) Para obter um bom resultado na confecção de um relatório de auditoria devemos: Evitar 
frases longas, eliminar excesso de detalhes e usar palavras curtas. 
65) Indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação à audiência do 
relatório de auditoria: (F) A primeira audiência de nosso relatório é quem vai solucionar a 
falha detectada. / (F) A segunda audiência de nosso relatório é quem vai atuar na 
recomendação, é a pessoa para quem devemos endereçar o relatório. / (V) A segunda 
audiência interessa-se mais pela parte das falhas e das recomendações do relatório. 
66) Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, 
emitimos um RELATÓRIO DRAFT (RASCUNHO) sem a parte de conclusões e enviamos para os 
envolvidos (auditado e sua gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer 
outras gerências da empresa que tenham relação com o objeto da auditoria, incluindo a 
gerência da Auditoria) 
67) Como os correios estavam em greve, ele inferiu que esta era a causa dos atrasos e solicitou 
que o operacional da empresa executasse a contingência para a ameaça "greve dos correios". 
A atitude de Pedro não está correta porque: Todo trabalho do auditor é baseado em fatos e 
não em opiniões pessoais 
68) O gerente disse que o mesmo estava em fase final de elaboração e que estaria pronto em 
3 dias. O auditor: Espera 3 dias para pedir o manual e se o mesmo não for entregue então 
emite uma referência (notificação de falha no sistema). 
69) Indique se inadequadas (I) ou adequadas (A) as afirmativas abaixo em relação à 
objetividade do que queremos transmitir: (I) Os testes apresentados não representam uma 
boa população. / (A) De 1000 situações testadas, 23 % apresentaram erro. / (I) Os testes 
concluíram que o acesso lógico ao sistema esta incorreto. 
70) Em relação à construção de um relatório devemos: (V) Usar voz ativa em vez de voz 
passiva. / (F) Escrever frases completas mesmo que sua extensão seja longa. / (F) Devemos 
usar percentuais de resultados de testes caso a amostra seja pequena. 
71) Aponte dentre as opções abaixo a única regra que está correta: Use linguagem concreta e 
específica. 
72) Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a 
alternativa correta: “FAZ PARTE...” V, V, F, V, F. 
73) São aspectos RELACIONADOS À TECNOLOGIA a seremconsiderados na escolha de 
aquisição de um software. Marque a única alternativa INCORRETA: TAXA DE MANUTENÇÃO. 
74) Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. 
I - O exame das características do software de auditoria analisado deve considerar pontos 
relevantes para o processo de planejamento e emissão de relatório de auditoria. PORQUE II 
- o objetivo da auditoria é a emissão do relatório final das falhas encontradas durante o 
trabalho de auditoria: As asserções I e II são proposições falsas. 
75) Isto seria possível se a Auditoria estivesse utilizando o sistema SAP, através da ferramenta: 
AIS (Audit Information System). 
76) São aspectos FORNECIMENTO DE SUPORTE a serem considerados na escolha de aquisição 
de um software. Marque a única alternativa INCORRETA: Pesquisa por palavra ou string. 
77) Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um 
software generalista de auditoria de sistemas, devemos considerar: Disponibilização de código 
de fonte aberto. 
78) Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. 
I - Podemos desenvolver um sistema de auditoria em casa ou comprar um sistema pronto no 
mercado. Para tanto devemos fazer uma avaliação de ambos os casos e escolher o que tiver 
menor custo PORQUE II - o custo de um software de auditoria será absorvido pela área de 
Auditoria e não pela área do sistema auditado: A asserção I é uma proposição falsa, e a II é 
uma proposição verdadeira. 
79) A metodologia de seleção utilizada para escolha não só de software generalista de 
auditoria de sistemas, mas como para qualquer outro software, envolve aspectos referentes a 
alguns aspectos. Aponte dentre as opções abaixo a ÚNICA QUE ESTÁ ERRADA: Volume do 
faturamento dos produtos vendidos nos últimos 5 anos.