Lista de Exercicios -Auditoria de Sistemas (AV1, AV2, AV3 , AV E AVR)

Prévia do material em texto

LISTA DE EXERCÍCIOS – AUDITORIA DE SISTEMAS
A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. Cite os dois grupos em que a função de suporte técnico se divide:
R: As funções de suporte técnico dividem-se em dois grandes grupos: funções rotineiras e funções esporádicas.
	Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica:
	
	
	
	
	
	
	
	
	
	
	
	
	abordagem interna ao computador
	
	abordagem com o computador
	
	abordagem ao redor do computador
	
	abordagem externa ao computador
	
	abordagem através do computador
	
	
	
Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada:
	
	
	
	
	
	
	
	
	
	
	
	
	unidade de controle
	
	ponto de auditoria
	
	comunicação de falha encontrada
	
	teste de unidade
	
	ponto de controle
	
	
	
A segurança da empresa é responsabilidade
	
	
	
	
	
	
	
	
	
	
	
	
	da área de auditoria
	
	da área de TI
	
	da diretoria operacional
	
	de todos os envolvidos
	
	da gerencia administrativa
	
	
	
Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à  segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa,  políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa  deve ser logo abaixo:
	
	
	
	
	
	
	
	
	
	
	
	
	Presidência Executiva
	
	Diretoria Financeira
	
	Diretoria Administrativa
	
	Diretoria de Informática
	
	Diretoria Executiva
	
	
	
"Vários testes foram elaborados e encontramos muitos erros durante a fase de teste da auditoria". Esta sentença não é recomendada para inclusão em um relatório de auditoria porque:
	
	
	
	
	
	
	
	
	
	
	
	
	Usa a voz passiva e ativa na mesma frase
	
	Não menciona o nome do sistema
	
	Não menciona o método de teste utilizado
	
	Possui muitas palavras generalistas
	
	Não diz qual rotina foi testada
	
	
	
A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Podemos citar como um software para uso de segurança de redes:
	
	
	
	
	
	
	
	
	
	
	
	
	Windows
	
	ACL
	
	AAF
	
	SAP
	
	Nessus
	
	
	
Referente a avaliação de software de auditoria de sistemas para aquisição podemos afirmar que: devem ser examinadas características ____________________, consideradas relevantes para o processo de planejamento, estruturação, execução, controle e emissão de relatório de auditoria,  assim como aspectos referentes a fornecedor, suporte e custos. Marque a opção que completa a afirmativa corretamente:
	
	
	
	
	
	
	
	
	
	
	
	
	tecnológicas e interativas
	
	funcionais e interativas
	
	tecnológicas e complexas
	
	funcionais e tecnológicas
	
	funcionais e auditáveis
Uma grande dúvida que sempre acompanha o gestor de TI é que diante de uma demanda de sistema, ele nunca sabe se irá comprar ou desenvolver. O tempo ensinou que existem técnicas para ajudá-lo a decidir. Os riscos envolvidos e o custo-benefício de cada uma das alternativas devem sempre ser considerados. Também deve ser feito um estudo preliminar para avaliar a demanda em relação à viabilidade econômica, viabilidade técnica e viabilidade operacional.
Considerando os objetivos da auditoria sobre os controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistemas, elabore três perguntas que devem ser utilizadas pelo auditor para fazer a sua verificação de ponto de controle sobre essa demanda.
R: Quais os objetivos-chave da organização? Quais os processos que dão suporte a esses objetivos? Quais os riscos-chave relacionados a esses processos?
Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar:
	
	
	
	
	
	
	
	
	
	
	
	
	
	Log de alterações
	
	Integração com e-mail
	
	Facilidade para pesquisa por palavra ou string
	
	Disponibilização de código de fonte aberto
	
	Valor da licença de uso
	
	
Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo estão corretas, exceto uma. Identifique-a
	
	
	
	
	
	
	
	
	
	
	
	
	O auditor de Sistemas deve conhecer os negócios da empresa
	
	Os auditores de sistema possuem autoridade para verificarem dados extremamente confidenciais da empresa, desde que façam parte dos sistemas auditados
	
	Os auditores de sistema devem evitar relacionamento pessoal com os auditados
	
	Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já que estão posicionados em um alto nível no organograma da empresa
	
	Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser desenvolvida pela empresa
	
	
Simulação Paralela Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Esta técnica utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Com base na afirmativa responda como a estrutura de aplicação desta técnica corresponde:
	R: levantamento e identificação via documentação dos sistemas, elaboração de programa de computador com a lógica da rotina auditada e Preparação do ambiente de computação para o processamento do programa de computador elaborado pelo auditor.
	
	
	
	
	
	
	
	
	
	
		
	
	
	
	
		
	
	Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. Em qualquer das opções (desenvolvimento em casa ou aquisição), há que se fazer um estudo preliminar para o sistema em questão. O que deve ser considerado para exsta tomada de decisão?
	
A Auditoria de Sistemas tem como objetivo:
	
	
	
	
	
	
	
	
	
	
	
	
	gerenciar todo hardware e software da empresa, garantindo sua manutenção
	
	permitir o compartilhamento de informações e serviços na rede
	
	permitir o acesso à documentação dos aplicativos e sistemas operacionais
	
	garantir a segurança de informações, recursos, serviços e acesso
	
	expandir as fronteiras de acesso aos sistemas e também à Internet
	
	
	
As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema:
	
	
	
	
	
	
	
	
	
	
	
	
	capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais
	
	custo do sistema, nível de documentação existente e complexidadedos cálculos
	
	visibilidade do cliente, volume médio diário de transações processadas e idade do sistema
	
	custo do sistema, número de requisitos funcionais e visibilidade do cliente
	
	volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas
	
	
	
Pedro estava auditando o Sistema de Crediário das Lojas Vendem Bem quando descobriu que havia um percentual de 25% de clientes com atraso no pagamento das mensalidades. Como os correios estavam em greve, ele inferiu que esta era a causa dos atrasos e solicitou que o operacional da empresa executasse a contingência para a ameaça "greve dos correios". A atitude de Pedro não está correta porque:
	
	
	
	
	
	
	
	
	
	
	
	
	Não foi feito teste no plano de contingência
	
	Não havia política de segurança na empresa sobre inadimplência
	
	Não havia contingência para a ameaça greve dos correios
	
	Todo trabalho do auditor é baseado em fatos e não em opiniões pessoais
	
	O percentual de inadimplência não refletia ameaças para a empresa
	
	
	
Programa De Computador Para Auditoria são programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (microcomputadores).Qual tem abaixo NÃO é considerado como uma função inclusa em programas de Auditoria?
	
	
	
	
	
	
	
	
	
	
	
	
	Executa somente fuções padrão
	
	Correlação de arquivos
	
	Estatística dos campos dos arquivos
	
	Contagem de campos/registros
	
	Tabulação de campos
	
	
	
Permitir trabalho off line independentemente dos processos normais¿ é um requisito a ser considerado na escolha de um software generalista enquadrado em aspectos
	
	
	
	
	
	
	
	
	
	
	
	
	De gestão
	
	Relacionados à tecnologia
	
	Relacionados a custos
	
	Funcionais
	
	De fornecimento de suporte
	
	
	
Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é chamado de ______________________________. Estes, são programas desenvolvidos pelos auditores ou sob encomenda. Sua finalidade é testar particularidades de sistemas auditados que possuem características comuns. Marque a opção que completa corretamente a afirmativa:
	
	
	
	
	
	
	
	
	
	
	
	
	SOFTWARE ESPECIALISTA PARA CONSUMO PÚBLICO
	
	SOFTWARE PRÓPRIO E GENERALISTA
	
	SOFTWARE ESPECIALISTA PARA CONTROLE E AUTOMAÇÃO
	
	SOFTWARE GENERALISTA
	
	SOFTWARE ESPECIALIZADO EM AUDITORIA
	
	
	
	
Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é conhecido como:
	
	
	
	
	
	
	
	
	
	
	
	
	documentação
	
	ponto de integração
	
	ponto de partida
	
	ponto de controle
	
	ponto de auditoria
	
	
	
	
Uma das funções clássicas de uma organização, segundo Antonio Gil, é o controle. Ao identificar que o cronograma deverá estourar, ou seja, não será cumprido, o responsável deverá executar:
	
	
	
	
	
	
	
	
	
	
	
	
	alterações de cronograma
	
	replanejamento
	
	respostas de risco
	
	retrabalho
	
	ações corretivas
	
	
	
Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada:
	
	
	
	
	
	
	
	
	
	
	
	
	unidade de controle
	
	ponto de auditoria
	
	comunicação de falha encontrada
	
	teste de unidade
	
	ponto de controle
	
	
	Leia com atenção a afirmativa e marque a opção que a completa corretamente: "... Este tipo de teste é de fundamental importância na complementação dos testes de observância, considerando que são através dos ______________________ que o auditor tem condições de constatar sobre a fidedignidade das transações e registros..."
	
	
	
	
	
	
	
	
	
	
	
	
	testes de integridade
	
	testes de observância
	
	testes de fidedignidade
	
	testes substantivos
	
	testes de auditoria
	
	
	
Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta:
I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação,  biometria.
II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas.
III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito.
	
	
	
	
	
	
	
	
	
	
	
	
	Apenas as sentenças II e III estão corretas
	
	Apenas a sentença III está correta
	
	Apenas as sentenças I e III estão corretas
	
	Apenas a sentença I está correta
	.
	Todas as sentenças estão corretas
	
	
	
Ao escrever um relatório devemos tomar alguns cuidados quanto à escrita. Um deles é evitar escritas abrasivas. É exemplo de escrita abrasiva:
	
	
	
	
	
	
	
	
	
	
	
	
	Quando dizemos o percentual de registros encontrados com erro de digitação
	
	Quando dizemos o numero de testes feitos para detectar exatidão no cálculo de saldos de contas-correntes
	
	Quando escrevemos que a chave do cofre foi encontrada sobre a mesa do refeitório
	
	Quando escrevemos que muitos registros foram recusados por inconsitencia indevida
	
	Quando mencionamos que cinco colaboradores bateram o ponto por outros colegas
	
	
	Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco.
 
Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é:
	
	
	
	
	
	
	
	
	
	
	
	
	Plano de Risco
	
	Plano de Recuperação
	
	Plano de Provisões
 
	
	Plano de Backup
	
	Plano de Emergência
	
	
	Dentre os aspectos funcionais a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar que o software permita:
	
	
	
	
	
	
	
	
	
	
	
	
	Replicação do banco de dados
	
	Integração com e-mail
	
	Log de alterações
	
	Comentários do auditor
	
	Criptografia de dados
	
	
	A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas.   As funções de suporte técnico dividem-se em dois grandes grupos:
	
	
	
	
	
	
	
	
	
	
	
	
	Funções Integradas e Funções Superficiais
	
	Funções Rotineiras e Funções Superficiais
	
	Funções Rotineiras e Funções Integradas
	
	Funções Superficiais e Funções Esporádicas
	
	Funções Rotineiras e Funções Esporádicas
	
	
	Quando consideramos as técnicas de auditorias, devemos levar em conta o conjunto de processos e ferramentas operacionais que são utilizados para se obter as evidências que irão subsidiar todo o trabalho realizado. Para isso, é necessárioter atenção para que se possa escolher as técnicas adequadas, evitando assim a execução de exames desnecessários que terão como consequência o desperdício de trabalho, tempo e dinheiro.  A escolha das técnicas corretas irá colaborar diretamente com o sucesso do trabalho de auditoria. 
Comente sobre os testes de observância.
R: Os testes de observância são empregados pelo auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelo seus colaboradores.
	
	
	
	
	
	
	
	
	
	
	
		
	
	
	
	
		
	
	
	Softwares Generalistas são constituídos de um conjunto de programas em ambiente BATCH. Cite pelo menos duas vantagens em utiliza-los em Auditoria.
R:O Software pode processar vários arquivos ao mesmo tempo. Pode processar vários tipos de arquivos com formatos distintos. Pode fazer integração sistêmica com vários tipos de softwares e Hardwares e o auditor não precisa ser especialista em informática para desenvolver aplicativos para testar.
	Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta:
I. Está calçada em segurança e em controles internos
II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos
III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa
	
	
	
	
	
	
	
	
	
	
	
	
	Somente as sentenças II e III estão corretas
	
	Somente as sentenças I e II estão corretas
	
	Somente a sentença III está correta
	
	Todas as sentenças estão corretas
	
	Somente as sentenças I e III estão corretas
	
	
	
Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa correta:
I. Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que normalmente é feito pelo escore de risco
II. Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho
III. Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e também após a emissão do relatório
	
	
	
	
	
	
	
	
	
	
	
	
	Somente as sentenças II e III estão corretas
	
	Somente a sentença I está correta
	
	Somente as sentenças I e II estão corretas
	
	Somente a sentença II está correta
	
	Todas as sentenças estão corretas
	
	
	Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; - Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. Marque a opção que se refere a técnica citada:
	
	
	
	
	
	
	
	
	
	
	
	
	Dados De Teste
	
	Simulação Paralela
	
	Facilidade De Teste Integrado
	’’
	Mapeamento Estatístico Dos Programas De Computador (Mapping)
	
	Teste do Sistema Auditado
	
	
	
Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere-se a que tipo de auditoria direcionada?
Marque a opção correta:
	
	
	
	
	
	
	
	
	
	
	
	
	Auditoria de controle
	
	Auditoria de informações
	
	Auditoria online
	
	Auditoria de dados
	
	Auditoria de redes
	
	
	
Para obter um bom resultado na confecção de um relatório de auditoria devemos
	
	
	
	
	
	
	
	
	
	
	
	
	Colocar a conclusão no final, preferir as frases e palavras curtas.
	
	Evitar palavras de efeito visual, usar palavras e parágrafos curtos.
	
	Escrever do jeito que falamos, preferir verbos passivos e palavras curtas.
	
	Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas.
	
	Variar a estrutura das frases, ter tato e preferir parágrafos longos.
	
	
	
A técnica, conhecida também por Integrated Test Facility (ITF), somente pode ser processada com maior eficiência em ambiente online e real time. Com base na afirmativa marque a opção que responde como os dados de teste são integrados:
	
	
	
	
	
	
	
	
	
	
	
	
	Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões passadas, atuais e futuras da produção.
	
	Os dados de teste são integrados aos ambientes desenvolvidos, utilizando-se de versões atuais da produção.
	
	Os dados de teste são integrados aos ambientes de processamento, utilizando-se de versões futuras da produção.
	
	Os dados de teste são integrados aos ambientes virtuais de processamento, utilizando-se de versões de backup da produção.
	
	Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões atuais da produção.
	
	
	
Segundo Claudia Dias, as ameaças podem ser classificadas como: _____________ e _______________. Marque a opção que completa corretamente a afirmativa:
	
	
	
	
	
	
	
	
	
	
	
	
	ACIDENTAIS E ATIVAS
	
	DELIBERADAS E PASSIVAS
	
	ACIDENTAIS E DELIBERADAS
	
	ACIDENTAIS E PASSIVAS
	
	DELIBERADAS E ATIVAS
	
	
	
Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco.
 
Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é:
	
	
	
	
	
	
	
	
	
	
	
	
	Plano de Risco
	
	Plano de Recuperação
	
	Plano de Provisões
 
	
	Plano de Backup
	
	Plano de Emergência
	
	
	
Sabemos que um sistema de auditoria consiste em programas que irão auxiliar o auditor no seu trabalho do dia a dia. Como qualquer outro sistema, ele pode ser adquirido no mercado ou desenvolvido internamente. A escolha de uma opção ou de outra irá requerer uma avaliação que estabelecerá a melhor tomada de decisão, levando em consideração um sistema que possa atender as necessidades da área de auditoria e que esteja dentro das possibilidades da empresa. 
Considere a metodologia de seleção para se  adquirir um sistema pronto e comente sobre dois aspectos importantes que devem estar presentes nessa metodologia.
	
	
	
	
	
	
	
	
	
	
	
		
	
	
	
	
		
	
	
	A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. Cite os dois grupos em que a função de suporte técnico se divide:
R: Funções Rotineiras e Funções Esporádicas.