Baixe o app para aproveitar ainda mais
Prévia do material em texto
LISTA DE EXERCÍCIOS – AUDITORIA DE SISTEMAS A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. Cite os dois grupos em que a função de suporte técnico se divide: R: As funções de suporte técnico dividem-se em dois grandes grupos: funções rotineiras e funções esporádicas. Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: abordagem interna ao computador abordagem com o computador abordagem ao redor do computador abordagem externa ao computador abordagem através do computador Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada: unidade de controle ponto de auditoria comunicação de falha encontrada teste de unidade ponto de controle A segurança da empresa é responsabilidade da área de auditoria da área de TI da diretoria operacional de todos os envolvidos da gerencia administrativa Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: Presidência Executiva Diretoria Financeira Diretoria Administrativa Diretoria de Informática Diretoria Executiva "Vários testes foram elaborados e encontramos muitos erros durante a fase de teste da auditoria". Esta sentença não é recomendada para inclusão em um relatório de auditoria porque: Usa a voz passiva e ativa na mesma frase Não menciona o nome do sistema Não menciona o método de teste utilizado Possui muitas palavras generalistas Não diz qual rotina foi testada A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Podemos citar como um software para uso de segurança de redes: Windows ACL AAF SAP Nessus Referente a avaliação de software de auditoria de sistemas para aquisição podemos afirmar que: devem ser examinadas características ____________________, consideradas relevantes para o processo de planejamento, estruturação, execução, controle e emissão de relatório de auditoria, assim como aspectos referentes a fornecedor, suporte e custos. Marque a opção que completa a afirmativa corretamente: tecnológicas e interativas funcionais e interativas tecnológicas e complexas funcionais e tecnológicas funcionais e auditáveis Uma grande dúvida que sempre acompanha o gestor de TI é que diante de uma demanda de sistema, ele nunca sabe se irá comprar ou desenvolver. O tempo ensinou que existem técnicas para ajudá-lo a decidir. Os riscos envolvidos e o custo-benefício de cada uma das alternativas devem sempre ser considerados. Também deve ser feito um estudo preliminar para avaliar a demanda em relação à viabilidade econômica, viabilidade técnica e viabilidade operacional. Considerando os objetivos da auditoria sobre os controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistemas, elabore três perguntas que devem ser utilizadas pelo auditor para fazer a sua verificação de ponto de controle sobre essa demanda. R: Quais os objetivos-chave da organização? Quais os processos que dão suporte a esses objetivos? Quais os riscos-chave relacionados a esses processos? Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar: Log de alterações Integração com e-mail Facilidade para pesquisa por palavra ou string Disponibilização de código de fonte aberto Valor da licença de uso Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo estão corretas, exceto uma. Identifique-a O auditor de Sistemas deve conhecer os negócios da empresa Os auditores de sistema possuem autoridade para verificarem dados extremamente confidenciais da empresa, desde que façam parte dos sistemas auditados Os auditores de sistema devem evitar relacionamento pessoal com os auditados Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já que estão posicionados em um alto nível no organograma da empresa Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser desenvolvida pela empresa Simulação Paralela Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Esta técnica utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Com base na afirmativa responda como a estrutura de aplicação desta técnica corresponde: R: levantamento e identificação via documentação dos sistemas, elaboração de programa de computador com a lógica da rotina auditada e Preparação do ambiente de computação para o processamento do programa de computador elaborado pelo auditor. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. Em qualquer das opções (desenvolvimento em casa ou aquisição), há que se fazer um estudo preliminar para o sistema em questão. O que deve ser considerado para exsta tomada de decisão? A Auditoria de Sistemas tem como objetivo: gerenciar todo hardware e software da empresa, garantindo sua manutenção permitir o compartilhamento de informações e serviços na rede permitir o acesso à documentação dos aplicativos e sistemas operacionais garantir a segurança de informações, recursos, serviços e acesso expandir as fronteiras de acesso aos sistemas e também à Internet As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema: capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais custo do sistema, nível de documentação existente e complexidadedos cálculos visibilidade do cliente, volume médio diário de transações processadas e idade do sistema custo do sistema, número de requisitos funcionais e visibilidade do cliente volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas Pedro estava auditando o Sistema de Crediário das Lojas Vendem Bem quando descobriu que havia um percentual de 25% de clientes com atraso no pagamento das mensalidades. Como os correios estavam em greve, ele inferiu que esta era a causa dos atrasos e solicitou que o operacional da empresa executasse a contingência para a ameaça "greve dos correios". A atitude de Pedro não está correta porque: Não foi feito teste no plano de contingência Não havia política de segurança na empresa sobre inadimplência Não havia contingência para a ameaça greve dos correios Todo trabalho do auditor é baseado em fatos e não em opiniões pessoais O percentual de inadimplência não refletia ameaças para a empresa Programa De Computador Para Auditoria são programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (microcomputadores).Qual tem abaixo NÃO é considerado como uma função inclusa em programas de Auditoria? Executa somente fuções padrão Correlação de arquivos Estatística dos campos dos arquivos Contagem de campos/registros Tabulação de campos Permitir trabalho off line independentemente dos processos normais¿ é um requisito a ser considerado na escolha de um software generalista enquadrado em aspectos De gestão Relacionados à tecnologia Relacionados a custos Funcionais De fornecimento de suporte Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é chamado de ______________________________. Estes, são programas desenvolvidos pelos auditores ou sob encomenda. Sua finalidade é testar particularidades de sistemas auditados que possuem características comuns. Marque a opção que completa corretamente a afirmativa: SOFTWARE ESPECIALISTA PARA CONSUMO PÚBLICO SOFTWARE PRÓPRIO E GENERALISTA SOFTWARE ESPECIALISTA PARA CONTROLE E AUTOMAÇÃO SOFTWARE GENERALISTA SOFTWARE ESPECIALIZADO EM AUDITORIA Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é conhecido como: documentação ponto de integração ponto de partida ponto de controle ponto de auditoria Uma das funções clássicas de uma organização, segundo Antonio Gil, é o controle. Ao identificar que o cronograma deverá estourar, ou seja, não será cumprido, o responsável deverá executar: alterações de cronograma replanejamento respostas de risco retrabalho ações corretivas Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada: unidade de controle ponto de auditoria comunicação de falha encontrada teste de unidade ponto de controle Leia com atenção a afirmativa e marque a opção que a completa corretamente: "... Este tipo de teste é de fundamental importância na complementação dos testes de observância, considerando que são através dos ______________________ que o auditor tem condições de constatar sobre a fidedignidade das transações e registros..." testes de integridade testes de observância testes de fidedignidade testes substantivos testes de auditoria Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Apenas as sentenças II e III estão corretas Apenas a sentença III está correta Apenas as sentenças I e III estão corretas Apenas a sentença I está correta . Todas as sentenças estão corretas Ao escrever um relatório devemos tomar alguns cuidados quanto à escrita. Um deles é evitar escritas abrasivas. É exemplo de escrita abrasiva: Quando dizemos o percentual de registros encontrados com erro de digitação Quando dizemos o numero de testes feitos para detectar exatidão no cálculo de saldos de contas-correntes Quando escrevemos que a chave do cofre foi encontrada sobre a mesa do refeitório Quando escrevemos que muitos registros foram recusados por inconsitencia indevida Quando mencionamos que cinco colaboradores bateram o ponto por outros colegas Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco. Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é: Plano de Risco Plano de Recuperação Plano de Provisões Plano de Backup Plano de Emergência Dentre os aspectos funcionais a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar que o software permita: Replicação do banco de dados Integração com e-mail Log de alterações Comentários do auditor Criptografia de dados A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: Funções Integradas e Funções Superficiais Funções Rotineiras e Funções Superficiais Funções Rotineiras e Funções Integradas Funções Superficiais e Funções Esporádicas Funções Rotineiras e Funções Esporádicas Quando consideramos as técnicas de auditorias, devemos levar em conta o conjunto de processos e ferramentas operacionais que são utilizados para se obter as evidências que irão subsidiar todo o trabalho realizado. Para isso, é necessárioter atenção para que se possa escolher as técnicas adequadas, evitando assim a execução de exames desnecessários que terão como consequência o desperdício de trabalho, tempo e dinheiro. A escolha das técnicas corretas irá colaborar diretamente com o sucesso do trabalho de auditoria. Comente sobre os testes de observância. R: Os testes de observância são empregados pelo auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelo seus colaboradores. Softwares Generalistas são constituídos de um conjunto de programas em ambiente BATCH. Cite pelo menos duas vantagens em utiliza-los em Auditoria. R:O Software pode processar vários arquivos ao mesmo tempo. Pode processar vários tipos de arquivos com formatos distintos. Pode fazer integração sistêmica com vários tipos de softwares e Hardwares e o auditor não precisa ser especialista em informática para desenvolver aplicativos para testar. Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Somente as sentenças II e III estão corretas Somente as sentenças I e II estão corretas Somente a sentença III está correta Todas as sentenças estão corretas Somente as sentenças I e III estão corretas Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa correta: I. Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que normalmente é feito pelo escore de risco II. Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho III. Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e também após a emissão do relatório Somente as sentenças II e III estão corretas Somente a sentença I está correta Somente as sentenças I e II estão corretas Somente a sentença II está correta Todas as sentenças estão corretas Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; - Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. Marque a opção que se refere a técnica citada: Dados De Teste Simulação Paralela Facilidade De Teste Integrado ’’ Mapeamento Estatístico Dos Programas De Computador (Mapping) Teste do Sistema Auditado Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere-se a que tipo de auditoria direcionada? Marque a opção correta: Auditoria de controle Auditoria de informações Auditoria online Auditoria de dados Auditoria de redes Para obter um bom resultado na confecção de um relatório de auditoria devemos Colocar a conclusão no final, preferir as frases e palavras curtas. Evitar palavras de efeito visual, usar palavras e parágrafos curtos. Escrever do jeito que falamos, preferir verbos passivos e palavras curtas. Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas. Variar a estrutura das frases, ter tato e preferir parágrafos longos. A técnica, conhecida também por Integrated Test Facility (ITF), somente pode ser processada com maior eficiência em ambiente online e real time. Com base na afirmativa marque a opção que responde como os dados de teste são integrados: Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões passadas, atuais e futuras da produção. Os dados de teste são integrados aos ambientes desenvolvidos, utilizando-se de versões atuais da produção. Os dados de teste são integrados aos ambientes de processamento, utilizando-se de versões futuras da produção. Os dados de teste são integrados aos ambientes virtuais de processamento, utilizando-se de versões de backup da produção. Os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões atuais da produção. Segundo Claudia Dias, as ameaças podem ser classificadas como: _____________ e _______________. Marque a opção que completa corretamente a afirmativa: ACIDENTAIS E ATIVAS DELIBERADAS E PASSIVAS ACIDENTAIS E DELIBERADAS ACIDENTAIS E PASSIVAS DELIBERADAS E ATIVAS Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco. Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é: Plano de Risco Plano de Recuperação Plano de Provisões Plano de Backup Plano de Emergência Sabemos que um sistema de auditoria consiste em programas que irão auxiliar o auditor no seu trabalho do dia a dia. Como qualquer outro sistema, ele pode ser adquirido no mercado ou desenvolvido internamente. A escolha de uma opção ou de outra irá requerer uma avaliação que estabelecerá a melhor tomada de decisão, levando em consideração um sistema que possa atender as necessidades da área de auditoria e que esteja dentro das possibilidades da empresa. Considere a metodologia de seleção para se adquirir um sistema pronto e comente sobre dois aspectos importantes que devem estar presentes nessa metodologia. A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. Cite os dois grupos em que a função de suporte técnico se divide: R: Funções Rotineiras e Funções Esporádicas.
Compartilhar