Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITORIA DE SISTEMAS 1) Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, seu posicionamento no organograma da empresa deve ser: logo abaixo da direção executiva da empresa. 2) Verificar se o sistema auditado suporta adequadamente os usuários do mesmo faz parte do perfil do auditor de sistemas. Isso significa dizer que: (V) O auditor de sistemas deve conhecer a rotina operacional para o qual o sistema auditado dará suporte. (F) O auditor de sistemas deve necessariamente conhecer o negócio da empresa. (F) O auditor de sistemas deve conhecer as funções dos colaboradores que trabalham na área para a qual o sistema dará suporte. 3) A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: ela necessita de autonomia para executar suas atividades. 4) Aponte qual das opções abaixo não corresponde ao perfil do auditor: Deve ser profundo conhecedor de linguagens orientada a objetos. 5) A Auditoria de Sistemas tem como objetivo: garantir a segurança de informações, recursos, serviços e acesso. 6) Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos da segurança e este objetivo é conhecido por: INTEGRIDADE. 7) As opções abaixo citam recursos passíveis de serem auditados pela Auditoria de Sistemas. Uma delas NÃO ESTÁ CORRETA. Identifique-a: Equipamentos eletrônicos da empresa, celulares e móveis. 8) Identifique qual das afirmativas é FALSA em relação ao que se é discutido nessa reunião: os custos dos salários/hora das pessoas envolvidas na reunião. 9) Para um call Center, identifique qual das ameaças elencadas é FALSA: Sistema com erro de identificação de clientes. 10) Um plano de contingência pode ser definido como: Uma sequencia de ações pré- definidas, a serem executadas na eventualidade da ocorrência de uma ameaça. 11) Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças: I - desligar a força da sala do CPD / III - telefonar para o Corpo de Bombeiros 12) Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: AMEAÇA. 13) Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: essenciais para manter a continuidade do serviço. 14) Analise as seguintes afirmações relacionadas a Auditoria de Sistemas: I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de dados, por meio de autorização e registro de responsabilidade. / II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho, programação, testes e documentação de sistemas. 15) Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: as pessoas que tem seus nomes mencionados no plano. 16) As fases de uma auditoria são: Planejamento ,Execução, Emissão e divulgação de relatórios e Follow-up. 17) Esta reunião é feita na fase do trabalho de auditoria chamada de: EXECUÇÃO. 18) Marque a afirmativa correta referente ao acompanhamento da fase FOLLOW UP: Todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou CPD. 19) Qual item abaixo NÃO corresponde a técnica de auditoria? Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos). 20) Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: SEGURANÇA NO SISTEMA. 21) Para o cálculo do risco de um sistema em desenvolvimento podemos considerar os seguintes itens, EXCETO: A linguagem em que o sistema está sendo desenvolvido. 22) Identifique os itens abaixo se são considerados controles internos de um sistema. Use V para verdadeiro e F para falso. (V) Assinatura digital / (F) Suporte de rede. / (F) Comparação de dados no sistema. 23) O cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada: PONTO DE CONTROLE. 24) Logo ele percebeu que seria necessário o desenvolvimento de um software para atender esta demanda. Pelas características do trabalho, o SENHOR ALBINO providenciou: UM SOFTWARE ESPECIALISTA. 25) Quando a auditorias de sistemas ocorre em sistemas em desenvolvimento, a atenção dos auditores é focada em qual etapa do desenvolvimento? Naquilo que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados nos sistemas. 26) Como funções de softwares generalistas, entre outras, podemos citar: EXTRAÇÃO DE DADOS DE AMOSTRA. 27) A técnica chamada ENTREVISTA visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando: 28) Qual tem abaixo NÃO é considerado como uma função inclusa em programas de Auditoria? EXECUTA SOMENTE FUNÇÕES PADRÃO. 29) Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a seguir: (F) Nos softwares utilitários as aplicações não podem ser feitas online já que eles gravam diversos arquivos para serem analisados em separado. / (V) Uma vantagem dos softwares utilitários é que são fáceis de serem aprendidos. / (F) Os softwares utilitários são desenvolvidos para a Auditoria conforme sua específica utilização. 30) Podemos realizar uma auditoria de sistemas naqueles que estiverem em: DESENVOLVIMENTO OU EM OPERAÇÃO. 31) Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta: PROGRAMA DE COMPUTADOR PARA AUDITORIA. 32) Correlacione as colunas abaixo e depois marque a alternativa correta: 1) Testes de observância / 2) Testes substantivos / 3) Simulação paralela: 3, 1, 2, 3, 1. 33) A técnica de simulação paralela é: (V) Um programa preparado pelo auditor para simular funções de rotina do sistema sob auditoria. É processado com a massa real de produção. (F) É uma técnica que utiliza dados preparados pelo auditor para serem processados por programas em produção. (F) Utiliza-se de dados preparados pelo auditor para serem processados por programas elaborados pelo auditor para teste de rotinas sob auditoria. 34) Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: III. A base de dados real fica integra em relação aos dados inseridos. 35) A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se: RASTREAMENTO. 36) Como objetivos fundamentais dos testes substantivos, a constatação de que que as transações comunicadas/registradas realmente tenham ocorrido refere-se a que tipo de constatação: EXISTÊNCIA REAL. 37) A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, por senhas não autorizadas é a técnica: Análise do log/accounting. 38) A técnica de auditoria que implica em análise visual do código fonte, buscando a verificação da lógica dos programas chama-se: ANÁLISE LÓGICA DE PROGRAMAÇÃO. 39) Com base na afirmativa marque a opção que responde como os dados de teste são integrados: Os dados de teste são integrados aos ambientesreais de processamento, utilizando-se de versões atuais da produção. 40) Assinale aquela que corresponde ao processo de Identificação dos recursos críticos: Definir o que precisa ser protegido. 41) Assinale dentre as opções abaixo como o dono da informação classifica as mesmas: Pública, interna, confidencial, secreta. 42) A politica organizacional deve tratar de princípios éticos, sendo ela compulsória. Aponte dentre as opções colocadas abaixo aquela que está correta em caso do seu descumprimento: Justifica demissão por justa causa. 43) O objetivo de uma política de segurança é: Homogeneizar o comportamento das pessoas. 44) Assinale dentre as opções abaixo aquela que está correta, caso o dono da informação a classifique como internas ou uso interno: Não devem sair do âmbito interno da organização. 45) Referente a esta afirmativa quais recursos estão sendo tratados: DADOS E RECURSOS MATERIAIS. 46) Assinale dentre as opções abaixo aquela atende ao objetivo de identificar as piores ameaças: MATRIZ DE RISCOS. 47) A segurança da empresa é responsabilidade: DE TODOS OS ENVOLVIDOS. 48) Em relação a controle de acesso: Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para acesso físico como lógico. 49) Avaliar se o acesso ao local de instalação do CPD é restrito é preocupação do controle interno chamado: Controle de acesso físico a equipamentos de hardware, periféricos e de transporte. 50) Considere as seguintes proposições: 1. Equipamentos e periféricos... / 2. As linhas e canais de transmissão... / 3. Customização de recursos de software... / 4. Disponibilidade da rede... Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança: FÍSICA, ENLACE, LÓGICA E APLICAÇÃO. 51) Analise as sentenças sobre AUDITORIA DE REDES: II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. 52) Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA: Os auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. 53) Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança quanto à disponibilidade da rede. 54) Analise as sentenças sobre Auditoria de Hardware: III. Dentro desse contexto, existe a necessidade de controle de acionamento e desligamento de máquinas, que consiste na preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. 55) O SOFTWARE DE CONTROLE DE ACESSO avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc. 56) Para avaliarmos os sistemas aplicativos geralmente usamos as seguintes ferramentas EXCETO: QUESTIONÁRIOS. 57) Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa correta: I. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. / III. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. 58) As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias? 59) Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ? AUDITORIA DE OPERAÇÕES DE SISTEMAS. 60) Assinale a única opção que NÃO ESTÁ CORRETA em relação aos controles que deverão existir: Os testes dos programas para efeito de cronograma deverão ser realizados somente na implantação do sistema. 61) Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação: Evidências de acompanhamento número de erros nos testes de lógica de programas. 62) Se vamos desenvolver um sistema em casa ou se vamos comprar um sistema pronto, antes de qualquer coisa devemos fazer um estudo preliminar para o sistema em questão EXCETO sobre: CUSTO DE UPGRADE DE EQUIPAMENTOS. 63) Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos: RISCOS ENVOLVIDOS E AO CUSTO-BENEFÍCIO DE AMBAS AS ALTERNATIVAS. 64) Para obter um bom resultado na confecção de um relatório de auditoria devemos: Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas. 65) Indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação à audiência do relatório de auditoria: (F) A primeira audiência de nosso relatório é quem vai solucionar a falha detectada. / (F) A segunda audiência de nosso relatório é quem vai atuar na recomendação, é a pessoa para quem devemos endereçar o relatório. / (V) A segunda audiência interessa-se mais pela parte das falhas e das recomendações do relatório. 66) Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um RELATÓRIO DRAFT (RASCUNHO) sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, incluindo a gerência da Auditoria) 67) Como os correios estavam em greve, ele inferiu que esta era a causa dos atrasos e solicitou que o operacional da empresa executasse a contingência para a ameaça "greve dos correios". A atitude de Pedro não está correta porque: Todo trabalho do auditor é baseado em fatos e não em opiniões pessoais 68) O gerente disse que o mesmo estava em fase final de elaboração e que estaria pronto em 3 dias. O auditor: Espera 3 dias para pedir o manual e se o mesmo não for entregue então emite uma referência (notificação de falha no sistema). 69) Indique se inadequadas (I) ou adequadas (A) as afirmativas abaixo em relação à objetividade do que queremos transmitir: (I) Os testes apresentados não representam uma boa população. / (A) De 1000 situações testadas, 23 % apresentaram erro. / (I) Os testes concluíram que o acesso lógico ao sistema esta incorreto. 70) Em relação à construção de um relatório devemos: (V) Usar voz ativa em vez de voz passiva. / (F) Escrever frases completas mesmo que sua extensão seja longa. / (F) Devemos usar percentuais de resultados de testes caso a amostra seja pequena. 71) Aponte dentre as opções abaixo a única regra que está correta: Use linguagem concreta e específica. 72) Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: “FAZ PARTE...” V, V, F, V, F. 73) São aspectos RELACIONADOS À TECNOLOGIA a seremconsiderados na escolha de aquisição de um software. Marque a única alternativa INCORRETA: TAXA DE MANUTENÇÃO. 74) Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - O exame das características do software de auditoria analisado deve considerar pontos relevantes para o processo de planejamento e emissão de relatório de auditoria. PORQUE II - o objetivo da auditoria é a emissão do relatório final das falhas encontradas durante o trabalho de auditoria: As asserções I e II são proposições falsas. 75) Isto seria possível se a Auditoria estivesse utilizando o sistema SAP, através da ferramenta: AIS (Audit Information System). 76) São aspectos FORNECIMENTO DE SUPORTE a serem considerados na escolha de aquisição de um software. Marque a única alternativa INCORRETA: Pesquisa por palavra ou string. 77) Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar: Disponibilização de código de fonte aberto. 78) Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Podemos desenvolver um sistema de auditoria em casa ou comprar um sistema pronto no mercado. Para tanto devemos fazer uma avaliação de ambos os casos e escolher o que tiver menor custo PORQUE II - o custo de um software de auditoria será absorvido pela área de Auditoria e não pela área do sistema auditado: A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 79) A metodologia de seleção utilizada para escolha não só de software generalista de auditoria de sistemas, mas como para qualquer outro software, envolve aspectos referentes a alguns aspectos. Aponte dentre as opções abaixo a ÚNICA QUE ESTÁ ERRADA: Volume do faturamento dos produtos vendidos nos últimos 5 anos.
Compartilhar