Todas as Aulas e Exercicios - Auditoria de Sistema

Prévia do material em texto

09/05/2021 EPS
https://simulado.estacio.br/alunos/ 1/3
Teste de
Conhecimento
 
 
 avalie sua aprendizagem
 AUDITORIA DE SISTEMAS
5a aula
 Lupa 
Exercício: CCT0776_EX_A5_201707130515_V1 25/04/2021
Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD
Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515
 
Uma técnica sempre presente nas auditorias se refere ao _______________________. Sendo que esta técnica está
classificada em dois tipos diferentes chamados de teste de observância e teste substantivo. Com base na afirmativa marque a
opção que a completa corretamente:
teste do sistema operado
 teste do sistema auditado
teste do sistema observado
teste do sistema desenvolvido
teste do sistema complexo
Respondido em 08/05/2021 20:36:04
Gabarito
Comentado
 
Quando os auditores querem obter evidências, isto é, provas suficientes e convincentes sobre transações, que lhe
proporcionem fundamentação para suas opiniões eles utilizam que tipo de teste?
Testes de observância;
Testes de regressão;
 Testes substantivos
Testes da caixa branca;
Testes da caixa preta;
Respondido em 08/05/2021 20:36:12
 
Correlacione as colunas abaixo e depois marque a alternativa correta:
1) Testes de observância
2) Testes substantivos
3) Simulação paralela
( ) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção.
( ) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela
empresa estão sendo cumpridos pelos seus colaboradores.
( ) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre
as transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos.
( ) Esta técnica necessita da preparação do ambiente de computação para processamento do programa
que foi elaborado ou encomendado pelo auditor.
( ) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é
verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões,
metodologias, políticas, etc.
Agora assinale a alternativa correta:
3,1,2,1,3
 Questão1
 Questão2
 Questão3
https://simulado.estacio.br/alunos/inicio.asp
javascript:voltar();
javascript:diminui();
javascript:aumenta();
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 2/3
 3,1,2,3,1
 
1,1,3,2,2
3,2,1,3,1
3,2,1,1,3
 
Respondido em 08/05/2021 20:36:15
Gabarito
Comentado
 
Classifique os testes de auditoria abaixo quanto a serem testes de observância (O) ou testes substantivos (S).
I - Obter cópia da documentação dos clientes inadimplentes.
II - Observar o uso de crachá das pessoas que transitam pela empresa
III - Obter saldos diários dos clientes
S, O, S
S, S, O
O, S, O
 O, O, S
S, O, O
Respondido em 08/05/2021 20:36:23
 
 
Explicação:
I - Obter cópia da documentação dos clientes inadimplentes. - teste de observância. Verificação de documentos.
II - Observar o uso de crachá das pessoas que transitam pela empresa- teste de observância. Verificação do cumprimento de
politica de segurança.
III - Obter saldos diários dos clientes - teste substantivo. Processamento de uma massa de dados e obtenção de um relatório
que servirá como evidência do teste.
 
Classifique os testes de auditoria abaixo quanto a serem testes de observância (O) ou testes substantivos (S).
I - Verificar se há controle de lote de transações digitadas e se o total nele informado confere com o total constante no
relatório de movimento do dia.
II - Conferir documentos dos clientes com documentos registrados no cadastro de clientes.
III - Obter evidências de controle de acesso à base de dados por pessoas autorizadas.
O, O, S
 S, O, O
S, O, S
O, S, S
O, S, O
Respondido em 08/05/2021 20:36:28
 
 
Explicação:
I - Verificar se há controle de lote de transações digitadas e se o total nele informado confere com o total constante no
relatório de movimento do dia.=> teste substantivo. Processamento de grande massa de dados.
II - Conferir documentos dos clientes com documentos registrados no cadastro de clientes.=> Teste de observância com
intuito de verificar existencia e validade dos documentos dos clientes.
III - Obter evidências de controle de acesso à base de dados por pessoas autorizadas.=> Teste de observância com intuito de
verificar se politica de segurança de senhas esta sendo cumprida.
 
A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, por senhas não autorizadas é a
técnica:
 análise do log/accounting
mapping
análise dolog accounting
análise lógica de programação
lógica de auditoria embutida nos sistemas
Respondido em 08/05/2021 20:36:32
 
 Questão4
 Questão5
 Questão6
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 3/3
 
Explicação:
a justificativa encontra-se na opção correta
 
A técnica de computação que pode ser utilizada por auditores para verificar rotinas não utilizadas no sistema sob auditoria é
conhecida como
 
Simulação paralela
Test deck
Análise de log 
 Mapping
Rastreamento
Respondido em 08/05/2021 20:37:22
 
 
Explicação:
A técnica chama-se mapping. Serve para testar também a quantidade de vezes que cada rotina foi utilizada quando
submetida a processamento.
 
Os testes de observância são empregado pelo auditor para verificar se os procedimentos internos determinados pela empresa
estão sendo cumpridos pelos seus colaboradores. Estes testes são largamente aplicado em:
Auditoria de Software
 Auditorias operacionais;
Software Generalista
Auditorias de aquisição de hardware
Emissão de Relatoios
Respondido em 08/05/2021 20:37:28
 Questão7
 Questão8
javascript:abre_colabore('38403','223274173','4508176494');
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 1/3
Teste de
Conhecimento
 
 
 avalie sua aprendizagem
 AUDITORIA DE SISTEMAS
6a aula
 Lupa 
Exercício: CCT0776_EX_A6_201707130515_V1 08/05/2021
Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD
Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515
 
Sabemos que o cumprimento de uma politica de segurança é de carater compulsório, obrigatório.
Analise as situações abaixo e indique se são falsas (F) ou verdadeirs (V).
I - Uma violação de uma politica de segurança deve gerar uma demissão por justa causa já que o cumprimento da politica é
compulsório.
II - O descumprimento de uma politica de segurança deve ser analisado caso a caso.
III - Uma violação de uma politica de segurança por negligência deve ter igual punição que uma violação gerada por
desconhecimento da mesma, já que não podemos violar as politicas de segurança.
 F, V, F
V, F, F
V, F, V
F, V, V
V, V, F
Respondido em 08/05/2021 20:39:01
 
 
Explicação:
As violações das politicas de segurança devem ser vistas cso a caso, devm ser analisadas as razões pelas quais a politica foi
violada.
 
Informações cuja violação seja extremamente crítica são classificadas como:
internas
 secretas
de uso irrestrito
de uso restrito
confidenciais
Respondido em 08/05/2021 20:39:07
Gabarito
Comentado
 
Segurança é responsabilidade de todos.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - A empresa cria politicas de segurança para homogeneizar o comportamento das pessoas em relação ao objeto que deseja
preservar
PORQUE
II - o comportamento das pessoas deve refletir a sua hierarquia funcional.
A respeito dessas asserções, assinale a opção correta.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
 A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
 Questão1
 Questão2
 Questão3
https://simulado.estacio.br/alunos/inicio.asp
javascript:voltar();
javascript:diminui();
javascript:aumenta();
09/05/2021EPS
https://simulado.estacio.br/alunos/ 2/3
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
As asserções I e II são proposições falsas.
Respondido em 08/05/2021 20:39:14
 
 
Explicação:
É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades e não de sua hierarquia funcional.
Mesmo porque as politicas também abrangem clientes, fornecedores, terceirizados.
 
Toda informação tem um dono, que é caracteizado por aquele que a gera. Assinale dentre as opções abaixo como o dono da
informação classifica as mesmas.
Pública, interna , confidencial, criptografada;
Pública, interna , criptografada, secreta;
Pública, customizada , confidencial, secreta;
Pública, criptografada , confidencial, customizada;
 Pública, interna , confidencial, secreta;
Respondido em 08/05/2021 20:39:21
 
A segurança da empresa é responsabilidade
da diretoria operacional
da área de auditoria
 de todos os envolvidos
da gerencia administrativa
da área de TI
Respondido em 08/05/2021 20:39:28
Gabarito
Comentado
 
Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos
Definir o que precisa implantado;
Definir o que precisa ser orçado;
Definir o que precisa ser duplicado;
Definir o que precisa ser desenvolvido
 Definir o que precisa ser protegido;
Respondido em 08/05/2021 20:39:34
 
Quanto à classificação das informações, identifique as que são públicas ou irrestritas (PUB) e as que são de uso interno
(INT)
I - Data de aniversário dos colaboradores.
II - Endereço do CPD da empresa.
III - Organograma da empresa.
INT, PUB, INT
 INT, INT, PUB
PUB, INT, PUB
PUB, PUB, INT
INT, PUB, PUB
Respondido em 08/05/2021 20:39:41
 
 
Explicação:
Informações de uso interno => não devem sair do âmbito da empresa. Se sairem não são críticas.
Informações públicas ou de uso irrestrito => podem ser divulgadas publicamente (para fora da empresa)
 
 Questão4
 Questão5
 Questão6
 Questão7
 Questão8
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 3/3
Uma politica organizacional representa os valores e o credo da empresa não devendo, portanto, ser alterada.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - Após a revisão, a politica de segurança (texto e procedimentos) é implementada em definitivo.
PORQUE
II - as alterações que porventura venham a ocorrer devem ser alteradas nos seus procedimentos
A respeito dessas asserções, assinale a opção correta.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
As asserções I e II são proposições falsas.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
 As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
Respondido em 08/05/2021 20:39:49
 
 
Explicação:
A implantação da politica é em carater definitivo e não devemos trocar seu texto, apenas os procedimentos , quando
necessário.
javascript:abre_colabore('38403','225062993','4567029446');
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 1/3
Teste de
Conhecimento
 
 
 avalie sua aprendizagem
 AUDITORIA DE SISTEMAS
7a aula
 Lupa 
Exercício: CCT0776_EX_A7_201707130515_V1 08/05/2021
Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD
Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515
 
Analise as proposições a seguir e depois marque a alternativa correta:
I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados
sensíveis.
II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa
ser trocada periodicamente.
III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente.
IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os
funcionários, principalmente os da área de TI.
Agora assinale a resposta correta:
Somente I é proposição verdadeira
I, II, III e IV são proposições verdadeiras
Somente II e III são proposições verdadeiras
Somente I e II são proposições verdadeiras
 Somente I, II e III são proposições verdadeiras
Respondido em 08/05/2021 20:45:12
Gabarito
Comentado
 
Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
Segurança de programas de atualização
Segurança da emissão e distribuição de relatórios
 Segurança quanto à disponibilidade da rede
Segurança da criação de arquivos log
Segurança de atualização de senhas
Respondido em 08/05/2021 20:45:18
Gabarito
Comentado
 
Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser.
Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo
eficaz destas perguntas é:
Data de seu nascimento?
Número de seu RG?
 Data de vencimento da fatura do cartão?
Cidade onde nasceu?
Nome do pai?
Respondido em 08/05/2021 20:45:25
 Questão1
 Questão2
 Questão3
https://simulado.estacio.br/alunos/inicio.asp
javascript:voltar();
javascript:diminui();
javascript:aumenta();
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 2/3
Gabarito
Comentado
 
O ______________________________ avalia procedimentos de segurança com relação a: cadastramento,
bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de
usuários; log de tentativas de acessos frustradas; e, etc.
Escolha a alternativa que preencha corretamente a lacuna:
Software de controle de inventário.
Software de controle de trilha de auditoria.
Software de controle de rede.
Software de controle de perfil.
 Software de controle de acesso.
Respondido em 08/05/2021 20:48:53
Gabarito
Comentado
 
Servem para controle tanto de acesso lógico como para acesso físico os seguintes dispositivos: 
Marque verdadeiro (V) ou falso (F)
I - biometria
II - cartão com tarja magnética
III - cracha com foto
 
 V, V, F
F, V, F
V, F, V
F, V, V
V, F, F
Respondido em 08/05/2021 20:49:02
 
 
Explicação:
A biometria serve tanto para acesso lógico como para acesso físico
Cartões com tarja magnética podem ser utilizados para acesso físico como para acesso lógico, quando em saques de caixa
eletronico, por exemplo.
Cracha com foto é utilizado somente para controle de acesso físico
 
Indique os exemplos de engenharia social usando a legenda verdadeiro (V) e falso (F).
I - Conversa em sala de bate papo na internet.
II - Telefonema de falsos sequestros.
III - Levar uma pessoa a visitar sites erroneos.
V, V, F
V, F, V
F, V, F
 V, F, F
F, F, V
Respondido em 08/05/2021 20:49:11
 
 
Explicação:
A engenharia social caracteriza-se por técnicas que usem de persuasão para abusar da ingenuidade de pessoas a fim delas 
obter dados pessoais que podem ser usados para acesso não autorizado a computadores, sistemas, etc.
Levar uma pessoa a visitar sites erroneos.=> é phishing (envio de e-mails falsos ou direcionando você a websites falsos.)
 
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança
 Questão4
 Questão5
 Questão6
 Questão7
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 3/3
de desempenho, de configuração e física
lógica, de desempenho e de protocolos
fisica, de protocolos e de reposição
lógica, de enlace e de monitoramento
 fisica, de enlace e de aplicação
Respondido em 08/05/2021 20:49:19
 
A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a
primeira coisa a fazer seria:
Colocar cartazes sobre segurança nas dependências da empresa
 Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa
Fornecer treinamento de segurançaao pessoal de portaria
Solicitar ao setor de RH listagem de funcionários para uso na portaria
Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa
Respondido em 08/05/2021 20:49:27
Gabarito
Comentado
 Questão8
javascript:abre_colabore('38403','225058140','4567037303');
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 1/3
Teste de
Conhecimento
 
 
 avalie sua aprendizagem
 AUDITORIA DE SISTEMAS
8a aula
 Lupa 
Exercício: CCT0776_EX_A8_201707130515_V1 09/05/2021
Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD
Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515
 
Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI
(Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos
alguns grandes grupos de processos dentre os quais:
Indique se falsas (F) ou verdadeiras (V) as afirmativas
I - Planejamento das solicitações, onde obtemos as cotações.
II - Planejamento das aquisições - onde definimos as declarações de trabalho
III - Solicitação - onde escolhemos a melhor proposta
 F, V, F
V, F, V
F, F, V
V, V, F
V, F, F
Respondido em 09/05/2021 14:26:20
 
 
Explicação:
São processos da Gerencia de Aquisições:
1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho
2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais.
3. Solicitação - Obtém a cotação, ofertas, propostas.
4. Seleção da fonte - Escolhe a melhor proposta.
5. Administração do contrato - Gerencia e relaciona-se com o fornecedor.
6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos.
 
O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de
sistemas.
Entre as alternativas abaixo, qual delas descreve três desses critérios?
Eficiência, responsabilidade e atitude
Integridade, confidencialidade e responsabilidade
Responsabilidade, habilidade e atitude
 Confidencialidade, integridade e disponibilidade
Conformidade, efetividade e responsabilidade
Respondido em 09/05/2021 14:26:28
Gabarito
Comentado
 
 Questão1
 Questão2
 Questão3
https://simulado.estacio.br/alunos/inicio.asp
javascript:voltar();
javascript:diminui();
javascript:aumenta();
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 2/3
Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados
(para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma
controlada e tendo os meios de arquivos de dados devidamente protegidos ?
 Auditoria de operações de sistemas
Auditoria de manutenção de sistemas
Auditoria de redes
Auditoria de suporte técnico
Auditoria de desenvolvimnto de sistemas
Respondido em 09/05/2021 14:26:53
 
Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), dedicado à
gerência de aquisições, os grandes grupos de processos a serem seguidos para que uma uma empresa faça uma aquisição de
bem ou serviço que não esteja disponível dentro da empresa deverá ser verificado pelo auditor se todos os passos foram
seguidos e estão documentados. Assinale dentro das opções abaixo aquelas que estão em conformidade com o enunciado .
 Solicitação ;
 Planejamento das solicitações
 Financiamento do contrato
 Planejamento das aquisições;
 Administração do Contrato;
Respondido em 09/05/2021 14:27:15
 
Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar
se há controles para assegurar que:
Marque a alternativa INCORRETA
 
ambientes de software e hardware apropriados sejam especificados.
dados de entrada e o meio de entrada desses dados no sistema sejam identificados.
os usuários dos sistemas estejam envolvidos.
 tenha sido fornecido treinamento para operar o sistema e então realiza-lo.
requisitos de segurança de informação sejam adequadamente considerados.
Respondido em 09/05/2021 14:27:20
 
 
Explicação:
O treinamento para operar o sistema deve ser feito após o sistema ter sido desenvolvido ou alterado.
 
Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI
(Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos
alguns grandes grupos de processos dentre os quais:
Indique se falsas (F) ou verdadeiras (V) as afirmativas
I - Planejamento das solicitações, onde identificamos fontes potenciais..
II - Fechamento do contrato - onde obtemos as cotações.
III - Seleção da fonte - onde procedemos à administração do contrato
 
 
V, V, V
F, F, V
 V, F, F
V, V, F
F, V, V
Respondido em 09/05/2021 14:27:31
 
 
Explicação:
São seguintes os processos da Gerencia de Aquisições:
1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho
2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais.
3. Solicitação - Obtém a cotação, ofertas, propostas.
4. Seleção da fonte - Escolhe a melhor proposta.
 Questão4
 Questão5
 Questão6
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 3/3
5. Administração do contrato - Gerencia e relaciona-se com o fornecedor.
6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos.
 
Dentre as opções abaixo assinale aquela não se aplica, aos grandes grupos de processos a serem seguidos para que uma
empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa.
Solicitação ;
Administração do contrato ;
 Pagamento de Fatura;
Planejamento das aquisições ;
Planejamento das solicitações ;
Respondido em 09/05/2021 14:27:40
 
A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de
implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções
de suporte técnico dividem-se em dois grandes grupos:
Funções Superficiais e Funções Esporádicas
 Funções Rotineiras e Funções Esporádicas
Funções Rotineiras e Funções Integradas
Funções Integradas e Funções Superficiais
Funções Rotineiras e Funções Superficiais
Respondido em 09/05/2021 14:33:12
Gabarito
Comentado
 Questão7
 Questão8
javascript:abre_colabore('38403','225082967','4567868546');
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 1/3
Teste de
Conhecimento
 
 
 avalie sua aprendizagem
 AUDITORIA DE SISTEMAS
9a aula
 Lupa 
Exercício: CCT0776_EX_A9_201707130515_V1 09/05/2021
Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD
Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515
 
Escrever em círculos - aparenta ao leitor que o escritor tem:
- Insegurança no objetivo da matéria escrita.
- Insegurança quanto ao ponto que o escritor quer atingir.
- Inabilidade em selecionar as palavras corretas.
- Inabilidade em estruturar adequadamente sua escrita.
Indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação evitar a escrita em circulos
I - Sabendo para quem o relatório será endereçado.
II - Escrever conforme os pensamentos surgem em sua mente a fim de manter uma escrita natural.
III - Usar palavras da moda a fim de tornar o relato atual
 V, F, F
F, V, F
F, F, V
V, F, V
F, V, V
Respondido em 09/05/2021 14:35:07
 
 
Explicação:
I - Sabendo para quem o relatório será endereçado.=> verdadeira
II - Escrever conforme os pensamentos surgem em sua mente a fim de manter uma escrita natural. =. falsa. Devemos
clarear o pensamento antes de escrever
III - Usar palavras da moda a fim de tornar o relato atual => falsa. Devemos escolher cada palavra cuidadosamente:Palavras
precisas geram pensamentos acurados, imediatos e eficientes.
 
 
 
Assinale qual a opção correta no que se refere a composição de um relatório de auditoria, no que diz respeito ao relatório
final.
Deve ser escrito de forma ampla citando todos os responsáveis pelas falhas;
Deve ser escrito exclusivamente para a equipe de auditoria e diretores;
Deve ser escrito claramente os objetivos não alcançados neste sistema;.
 Deve ser escrito sucintamente, os objetivos da auditoria neste sistema;.
Deve abordar claramente os custos da auditoria neste sistema;.
Respondido em 09/05/2021 14:35:16
 
Diferentes níveis de gerência requerem diferentes partes da informação. Quanto mais perto você chega do alto escalão, mais
resumido você deve ser!
Indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação à audiência do relatório de auditoria
 Questão1
 Questão2
 Questão3
https://simulado.estacio.br/alunos/inicio.asp
javascript:voltar();
javascript:diminui();
javascript:aumenta();
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 2/3
I - A primeira audiência de nosso relatório é quem vai solucionar a falha detectada
II - A segunda audiência de nosso relatório é quem vai atuar na recomendação, é a pessoa para quem devemos endereçar o
relatório
III - A segunda audiência interessa-se mais pela parte das falhas e das recomendações do relatório
 F, F, V
V, F, F
V, V, F
V, F, V
F, V, F
Respondido em 09/05/2021 14:35:24
 
 
Explicação:
I - A primeira audiência de nosso relatório é quem vai solucionar a falha detectada => FALSA.QUEM SOLUCIONA OS
PROBLEMAS É A SEGUNDA AUDIÊNCIA
II - A segunda audiência de nosso relatório é quem vai atuar na recomendação, é a pessoa para quem devemos endereçar o
relatório =>FALSA.A DESCRIÇÃO É DA PRIMEIRA AUDIÊNCIA.
III - A segunda audiência interessa-se mais pela parte das falhas e das recomendações do relatório => VERDADEIRA
 
Tão logo uma falha seja detectada, ela deve ser comunicada, verbalmente, à gerência auditada..
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - Desta forma podemos ter uma solução mais rápida do problema encontrado ou a viabilidade de sua solução
PORQUE
II - discutir a falha com os auditores permite que os auditores a solucionem mais facilmente.
A respeito dessas asserções, assinale a opção correta.
As asserções I e II são proposições falsas.
 A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
Respondido em 09/05/2021 14:35:37
 
 
Explicação:
 Os auditores não solucionam falhas. Elers a indicam e solicitam solução por parte dos auditados.
 
Em relação à emissão do relatório final da auditoria realizada, identifique a única opção correta.
A segunda audiência de seu relatório é a pessoa que vai atuar na recomendação que voce fez no relatório
A parte do relatório que mais interessa a sua segunda audiência é a parte das falhas detalhadas detalhados e dos
prazos para seu acerto
 A parte do relatório que mais interessa a sua primeira audiência é a parte dos comentários detalhados e da
recomendação
A segunda audiência de seu relatório é a pessoa para quem voce endereçará o relatório
A primeira audiência de seu relatório são aquelas pessoas de nivel mais alto na empresa que leem seu relatório
Respondido em 09/05/2021 14:35:43
 
Para garantia de um bom relatório de auditoria , algumas regras devem ser observadas. Aponte dentre as opções abaixo a
única que está correta;
Use linguagem pomposa e dura;. 
 Use linguagem concreta e específica:
Evite o fornecimento de detalhes suficientes, pois misto pode cair nas mãos de pessoas não autorizadas;
Evite o uso de linguagem concreta e específica:
Não se preocupe om o uso excessivo de generalidades:
Respondido em 09/05/2021 14:35:52
 
Em relação à construção de um relatório devemos 
 Questão4
 Questão5
 Questão6
 Questão7
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 3/3
I - Usar voz ativa em vez de voz passiva.
II - Escrever frases completas mesmo que sua extensão seja longa.
III - Devemos usar percentuais de resultados de testes caso a amostra seja pequena.
Indique se as sentenças acima são falsas (F) ou verdadeiras (V).
 
 
V, V, F
F, V, F
F, F, V
F, V, V
 V, F, F
Respondido em 09/05/2021 14:36:02
 
 
Explicação:
A fim de tornar nossa escrita mais compreensível, sempre que escrevermos um documento devemos observar os seguintes
itens:
- Usar voz ativa.
- Frases curtas.
- Não misturar fatos com opinião.
- Não usar nomes próprios (exemplo: incompetência de fulano).
- Sempre que possível, quantificar (se a amostra for pequena, não mencionar percentual).
- Siglas devem ser explicitadas na primeira vez que aparecem.
 
 
Assim que uma falha é identificada em uma auditoria, ela deve:
Ser acertada pelo auditor e reportada a seguir para a gerencia auditada
Ser comunicada ao gerente da Auditoria para inserção no relatório final
 Ser comunicada verbalmente ao gerente da área auditada
Ser reportada em relatório apropriado para acerto imediato
Ser reportada à diretoria da empresa através de relatório de auditoria
Respondido em 09/05/2021 14:36:07
Gabarito
Comentado
 Questão8
javascript:abre_colabore('38403','225092080','4567889080');
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 1/3
Teste de
Conhecimento
 
 
 avalie sua aprendizagem
 AUDITORIA DE SISTEMAS
10a aula
 Lupa 
Exercício: CCT0776_EX_A10_201707130515_V1 09/05/2021
Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD
Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515
 
O auditor deseja criar um relatório que demonstre o numero de vezes que conversou com o gerente de projetos do sistema
auditado. Usando um software generalista para auditoria de sistemas, isto seria possível se a Auditoria estivesse utilizando o
sistema SAP, através da ferramenta:
 AIS (Audit Information System)
ACC (Audit Command Control)
AIC (Audit Information Control)
ACL (Audit Command Language)
AIL (Audit Information Language)
Respondido em 09/05/2021 14:36:32
Gabarito
Comentado
 
A metodologia de seleção utilizada para escolha não só de software generalista de auditoria de sistemas, mas como para
qualquer outro software, envolve aspectos referentes a alguns aspectos. Aponte dentre as opções abaixo a unica que está
errada.
Analise organizacional, capacidade intelectual, tecnológica e computacional das empresa, seus produtos e serviços;
Troca de informações com empresas semelhantes;
Contato com fabricantes vde pacotes;
 Volume do faturamento dos produtos vendidos nos últimos 5 anos;
Analise de documentos que registram experiências semelhantes;
Respondido em 09/05/2021 14:37:03
 
Alguns aspectos devem ser considerados ao serem considerados na escolha de um software. Os aspectos relacionados a custo
é um deles. Aponte dentre as opções colocadas aquela que não está correta.
Viagens e diárias;
 Permitir a supervisão on line
Valor de uso da licença;
Serviços de treinamento;
Taxa de manutenção;
Respondido em 09/05/2021 14:37:08
 
São aspectos de FORNECIMENTO DE SUPORTE a serem considerados na escolha de aquisição de um software ....marque a
única alternativa INCORRETA
Implementação de solicitações da empresa feitas pelo fornecedor (customização)
 Pesquisa por palavra ou string
Disponibilização do código fonte aberto
Relação de clientes usuários do sistema
 Questão1
 Questão2
 Questão3
 Questão4
https://simulado.estacio.br/alunos/inicio.asp
javascript:voltar();
javascript:diminui();
javascript:aumenta();
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 2/3
Upgrade de versão
Respondido em 09/05/2021 14:37:20
 
O software de auditoria consisteem programas aplicativos cujo objetivo é auxiliar o auditor em suas tarefas rotineiras,
melhorando seu desempenho. Desenvolver um sistema de auditoria em casa, ou comprar um sistema pronto no mercado,
requer uma avaliação, cuja tomada de decisão, por parte da administração, tem por fim um sistema que ______________
______________________ Assinale dentre as opções abaixo assinale aquela que completa o conceito de forma adequada.
apresente o menor custo;
seja desenvolvido na linguagem Java
 melhor atenda suas necessidades.
tenha uma versão em inglês;
seja totalmente online/realtime
Respondido em 09/05/2021 14:37:30
 
Quando em fase de aquisição de softwares para a Auditoria, a coleta de dados para identificação dos produtos disponíveis no
mercado pode ser feita de várias formas EXCETO
através de demonstração dos produtos pelos representantes
perguntas técnicas e específicas encaminhadas às empresas vendedoras.
reuniões internas de discussão
visitas a fornecedores e concorrentes
 reuniões com gerentes da área de Tecnologia da Informação
Respondido em 09/05/2021 14:37:38
 
 
Explicação:
reuniões com gerentes da área de Tecnologia da Informação => Não é ético perguntar ao auditado indicações sobre softwares
para auditar as suas áreas. Pode haver alguma influência em não indicar um bom produto.
 
Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta:
( ) Faz parte das boas práticas de seleção de software de auditoria a análise de catálogos, prospectos,
folders e documentação sobre esse software disponíveis no mercado.
( ) Faz parte das boas práticas de seleção de software de auditoria realizar visita nas empresas que já
possuem o software e entrevistar alguns de seus usuários.
( ) Faz parte das boas práticas de seleção de software de auditoria desconsiderar as funcionalidades desse
software, caso a empresa fornecedora seja reconhecidamente idônea.
( ) Faz parte das boas práticas de seleção de software de auditoria avaliar a tecnologia empregada no
software, o seu custo, assim como, a capacidade e a disponibilidade de suporte técnico.
( ) Faz parte das boas práticas de seleção de software de auditoria avaliar o seu desempenho, versatilidade
e consistência. A rastreabilidade, assim como, a compatibilidade e a capacidade de automação de processos
têm um peso menor na escolha e podem ser desconsideradas. 
Agora assinale a alternativa correta:
F,F,F,V,V
F,F,V,F,V
V,V,F,F,V
V,V,V,V,V
 V,V,F,V,F
Respondido em 09/05/2021 14:37:49
Gabarito
Comentado
 
São aspectos RELACIONADOS À TECNOLOGIA a serem considerados na escolha de aquisição de um software ....marque a
única alternativa INCORRETA
 Taxa de manutenção
Criptografia de dados
Proteção de documento aberto por vários usuários
 Questão5
 Questão6
 Questão7
 Questão8
09/05/2021 EPS
https://simulado.estacio.br/alunos/ 3/3
Replicação de banco de dados
Proteção de documento para edição apenas pelo autor
Respondido em 09/05/2021 14:37:57
javascript:abre_colabore('38403','225088108','4567885238');
Auditoria de 
Sistemas
João Paulo Brognoni 
Casati
Aula 1
Plano de Ensino
• Ementa:
–Fundamentos de auditoria de sistemas de 
informação. Metodologia de auditoria. 
Ferramentas e técnicas de auditoria. Tipos 
de auditoria. Avaliação de software de 
auditoria.
2
Plano de Ensino
• Conteúdos:
–Conceitos básicos de auditoria de sistemas 
de informação;
–Fases para Realização de uma Auditoria;
–Ferramentas de auditoria;
–Técnicas de auditoria;
–Tipos de auditoria;
–Emissão de relatórios de auditoria;
–Avaliação de software de auditoria de 
sistemas.
3
Plano de Ensino
• Objetivo Geral:
– Realizar auditoria de sistemas de informação;
– Diferenciar as etapas da auditoria, bem como 
gerenciar os recursos necessários nesse 
processo;
– Identificar ferramentas e técnicas que podem vir 
a serem utilizadas em um processo de 
auditoria;
– Preparar o relatório final da auditoria;
– Definir itens que devem ser avaliados na 
escolha de um software de auditoria de 
sistemas;
4
Plano de Ensino
• Objetivos Específicos:
– Conhecer as principais definições e conceitos 
relacionados à auditoria de sistemas de 
informação;
– Estabelecer as fases necessárias para 
realização da auditoria, bem como acompanhar 
a sua execução;
– Empregar ferramentas e técnicas diferenciadas 
na execução dos trabalhos de auditoria de 
sistemas de informação;
– Analisar o tipo adequado de auditoria que será 
mais aderente aos negócios da organização;
– Escrever o relatório da auditoria
– Relacionar os itens que devem ser avaliados na 
escolha de um software de auditoria de 
sistemas; 5
Plano de Ensino
• Bibliografia Básica:
– IMONIANA, Joshua Onome. Auditoria de 
sistemas de informação. São Paulo: Atlas. 
2008. 207p. ISBN: 978-85224-5002-2. 
– FONTES, Edison Luiz Gonçalves. Praticando a 
segurança da informação. Rio de Janeiro: 
Brasport, 2008. 283 p. ISBN: ISBN: 978-85-
7452-382-8. 
– LYRA, Maurício Rocha. Segurança e Auditoria 
em Sistemas de Informação. Rio de Janeiro: 
Editora Ciência Moderna, 2008. ISBN: 978-85-
7393-747-3. 
6
Plano de Ensino
• Bibliografia Complementar:
– NAKAMURA, Emilio Tissato; Geus, Paulo Lício 
de. Segurança de redes em ambientes 
cooperativos. São Paulo: Novatec Editora Ltda, 
2007. ISBN: 978-85-7522-136-5. 
– DIAS, Cláudia. Segurança e auditoria da 
tecnologia da informação. Rio de Janeiro: Axcel 
Books, 2000. 218p. ISBN: 85-7323-131-9. 
– SANTOS, Alfredo. Quem mexeu no meu 
sistema? Segurança em Sistemas de 
informação. Rio de Janeiro: Brasport, 2008. 
ISBN: 978-85-7452-385-9. 
– TCU - Tribunal de Contas da União. Disponível 
em: http://tcu.gov.br. 
– Manual de Auditoria de Sistemas. Disponível em: 
http://www.tcu.gov.br/SAUDI/Download/AuditSist
emas.doc 7
Conteúdo da Aula
• Fundamentos de auditoria de sistemas
• O papel e o perfil do auditor
• A carreira do auditor
• A auditoria de sistemas nas organizações
8
Fundamentos de Auditoria de 
Sistemas
• O que é auditoria de sistemas?
–Verificação de conformidade:
• Verifica se padrões, normas e políticas estão 
sendo devidamente seguidos
–Segurança da Informação
• Controles de acesso, serviços e recursos
9
Fundamentos de Auditoria de 
Sistemas
• Por que auditoria em sistemas?
–Aumento do uso de sistemas de informação
–Dependência das organizações nos dados 
gerados por sistemas
–Garantir a qualidade do serviço oferecido
–Evitar fraudes e desvios
–Outros...
10
Fundamentos de Auditoria de 
Sistemas
• Funções administrativas:
11
O papel do auditor
• O auditor é:
–Um verificador do trabalho realizado
• O auditor faz:
–Validação
• Executa testes para validar o processo
–Avaliação
• Julga a medida adquirida nos testes
12
O perfil do auditor de sistemas
• Possuir conhecimento técnico e prático em 
Sistemas de Informação
• Possuir uma visão abrangente da empresa
• Vestir-se e comunicar-se formalmente
• Comportamento de liderança
• Não aceitar presentes
13
A carreira do auditor de sistemas
• Deve possuir conhecimentos em auditoria 
além de conhecimentos em sistemas!
• Existem dois tipos de auditoria:
– Interna: auditor é funcionário da empresa 
auditada
–Externa: auditor é funcionário de empresa 
especializada em auditoria
14
A carreira do auditor de sistemas
• Certificações:
– ISACA: Certified Information System Auditor 
(CISA)
–British Computer Society: Exame da 
Sociedade Britânica de Informática
– Institute of Internal Auditors (IIA): 
Qualificação em Auditoria Computacional
15
A carreira do auditor de sistemas
O auditor deve manter-se atualizado 
quanto às inovações tecnológicas!
• O desenvolvimento da carreira pode ser 
dividido em duas partes:
–O auditor possui conhecimento em TI
–O auditor não possui conhecimento em TI
16
A carreira do auditor de sistemas
• O auditor que não possui conhecimento em 
TI deve especializar-se em:
–Conceitos deTI
–Linguagens de Programação
–Redes de Computadores
–Modelagem de Sistemas
–Entre outros tópicos...
17
A carreira do auditor de sistemas
• O auditor que possui conhecimento em TI 
deve especializar-se em:
–Emissão de Relatórios
–Gerenciamento de Riscos
–Propriedade Intelectual
–Planos de Contingência
–Entre outros tópicos
18
A auditoria de sistemas nas 
organizações
• A equipe de auditoria:
–Deve ter autonomia
–Deve ter permissão de acesso aos sistemas 
e às informações necessárias
É preciso que a auditoria seja ligada 
diretamente à presidência!
19
A auditoria de sistemas nas 
organizações
• Organograma:
20
A auditoria de sistemas nas 
organizações
• Principais problemas encontrados:
–Defasagem tecnológica
–Falta de bons profissionais
–Falta de cultura da empresa
–Tecnologia variada e abrangente
21
A auditoria de sistemas nas 
organizações
• Organização da auditoria:
–Não há regra fixa, porém, pode-se adotar:
• Segurança da Informação
• TI
• Aplicativos
22
A auditoria de sistemas nas 
organizações
• Segurança da Informação:
–Confidencialidade
– Integridade
–Disponibilidade
–Consistência
–Confiabilidade
23
A auditoria de sistemas nas 
organizações
• TI:
–Mudanças Organizacionais
–Operações de Sistemas
–Hardware
–Computação em Nuvem
–Sistemas ERP
–Data Warehousing
24
A auditoria de sistemas nas 
organizações
• Aplicativos:
–Desenvolvimento de software
–Entrada, Processamento e Saída de Dados
–Conteúdo de Aplicativos
–Funcionamento de Aplicativos
25
Auditoria de 
Sistemas
João Paulo Brognoni 
Casati
Atividade 1
27
Atividade 1
Como podemos definir o que é um auditor?
Como um verificador do 
trabalho realizado.
28
Atividade 2
No organograma de uma organização, onde 
deve ser incluída a auditoria?
Diretamente ligada à 
presidência.
29
Atividade 3
Qual é uma importante tarefa do auditor que 
quer ser bem sucedido em sua carreira?
Manter-se atualizado 
quanto às novas 
tecnologias.
30
Atividade 4
O que é a verificação de conformidade?
Verificar se normas, 
padrões e políticas 
preestabelecidas estão 
sendo devidamente 
cumpridas.
Auditoria de 
Sistemas
João Paulo Brognoni 
Casati
Aula 2
Conteúdo da Aula
• Abordagens de auditoria de sistemas
• Padrões e código de ética
• Planos de contingência
32
Abordagens de Auditoria de Sistemas
• As diferentes abordagens consideram o uso 
do computador.
• Existem 3 tipos de abordagens:
–Ao redor do computador
–Através do computador
–Com o computador
33
Abordagens de Auditoria de Sistemas
• Abordagem ao redor do computador:
–Considerada mais antiga
–Uso de rotinas manuais
–Não exige muito conhecimento de TI
–Aplicável a sistemas de menor complexidade 
e tamanho
34
Abordagens de Auditoria de Sistemas
• Abordagem ao redor do computador:
–Vantagens:
• Baixo custo
• Não exige muito conhecimento em TI
–Desvantagens:
• Falta de padronização
• Dificuldade de avaliação de resultados
35
Abordagens de Auditoria de Sistemas
• Abordagem através do computador:
–O computador é utilizado como ferramenta
–Melhoria da abordagem anterior
–Pode-se verificar constantemente áreas que 
necessitam de monitoria constante
–Requisição de documentos-fonte de diversas 
maneiras diferentes
36
Abordagens de Auditoria de Sistemas
• Abordagem através do computador:
–Vantagens
• Maior confiabilidade nas medidas
• Realização de testes mais completos
–Desvantagens
• Aumento de custo
• Perdas se a programação for incorreta
37
Abordagens de Auditoria de Sistemas
• Abordagem com o computador:
–Busca a maior perfeição possível no 
processo de auditoria
–Completamente assistida por computador
–Busca resolver os problemas das 
abordagens anteriores
38
Abordagens de Auditoria de Sistemas
• Abordagem com o computador:
–Objetivos:
• Uso do computador para efetuar cálculos
• Fazer compilação dos resultados 
automatizados e manuais
• Ordenação e seleção de registros
• Desenvolvimento de programas específicos
39
Padrões e código de ética
Visam apresentar regras para o exercício 
da profissão, reduzindo a falta de 
padronização dos termos.
40
Padrões e código de ética
• Padrões definidos (EUA):
–Responsabilidade, autoridade e prestação 
de contas
– Independência profissional
–Ética profissional e padrões
–Competência
–Planejamento
–Emissão de relatório
–Atividades de follow-up
41
Padrões e código de ética
• Código de ética (ISACA):
1. Apoiar a implementação de padrões sugeridos 
para procedimentos e controles dos sistemas 
de informação e encorajar seu cumprimento
2. exercer suas funções com objetividade e zelo 
profissional, seguindo padrões profissionais e 
melhores práticas
42
Padrões e código de ética
• Código de ética (ISACA):
3. servir aos interesses dos stakeholders de 
forma legal e honesta, com alto padrão de 
conduta e caráter profissional e desencorajar 
atos de descrédito à profissão
4. manter a privacidade e a confidencialidade 
das informações obtidas, exceto quando 
exigido legalmente. Estas informações não 
devem ser utilizadas em benefício próprio ou 
compartilhadas com pessoas não autorizadas
43
Padrões e código de ética
• Código de ética (ISACA):
5. manter competência na sua especialidade e 
assegurar que somente atua nas atividades 
em que tem habilidade suficiente
6. informar os stakeholders sobre os resultados 
de seus trabalhos, expondo os fatos 
significativos desde que em seu alcance
44
Padrões e código de ética
• Código de ética (ISACA):
7. manter competência na sua especialidade e 
assegurar que somente atua nas atividades 
em que tem habilidade suficiente
45
Planos de Contingência
• Contingência
–Evento que pode ou não acontecer
• Exemplos:
– Incêndio
–Queima de equipamento
–Queda de energia elétrica
–Funcionário doente
46
Planos de Contingência
• Plano de Contingência
–Sequência de ações a serem seguidas na 
ocorrência de uma emergência
–Não contempla apenas serviços de 
informática:
• Segurança de pessoas, danos ambientais, 
danos à imagem da organização, etc.
47
Planos de Contingência
• Objetivos do Plano de Contingência
–Reduzir os danos causados por uma 
contingência
–Manter o negócio em funcionamento
–Agilizar a recuperação dos serviços
–Reduzir custos de recuperação
48
Planos de Contingência
• Ameaça
–Evento ou atitude indesejável que traz danos 
à organização
• Roubo
• Incêndio
• Vírus
• Queda de energia
49
Planos de Contingência
• Recursos que podem ser danificados
–Físico: sala de computadores
–Software: vírus de computador
–Hardware: queima de equipamento
– Informação: roubo de dados
–Pessoas: vírus biológico
50
Planos de Contingência
Ameaça Concretizada = Ataque
Ataques causam Impactos
Plano de contingência reduz Impacto
51
Planos de Contingência
• Processo de 
recuperação 
de desastres
52
Planos de Contingência
• Algumas possíveis perdas:
–Perda de Confidencialidade
• Roubo de Informações
–Perda de Integridade
• Alteração na Informação
–Perda de Disponibilidade
• Negação de Serviço
53
Planos de Contingência
Planos de Contingência são caros!
• Identificação das Áreas Críticas
–Escore de risco
54
Planos de Contingência
• Escore de Risco:
55
Escala Classificação do Impacto
0 Impacto irrelevante.
1 Efeito pouco significativo, sem afetar a maioria dos
processos da empresa.
2 Sistemas indisponíveis por um determinado período de
tempo, podendo causar perda de credibilidade e também
perdas financeiras.
3 Perdas financeiras mais significativas e perda de clientes
para concorrentes.
4 Efeitos desastrosos, mas que não comprometam a
sobrevivência da organização.
5 Efeitos desastrosos que comprometam a sobrevivência da
organização.
Planos de Contingência
• Escore de Risco:
56
Escala Classificação de Probabilidade
0 Ameaça completamente improvável de
acontecer.
1 Probabilidade da ameaça ocorrer menos de umavez por ano.
2 Probabilidade da ameaça ocorrer pelo menos
uma vez por ano.
3 Probabilidade da ameaça ocorrer pelo menos
uma vez por mês.
4 Probabilidade da ameaça ocorrer pelo menos
uma vez por semana.
5 Probabilidade da ameaça ocorrer diariamente.
Planos de Contingência
• Escore de Risco:
57
Matriz de Risco
Ameaças Impacto Probabilidade Escore de Risco
Incêndio 5 1 5
Falta de energia elétrica 4 3 12
Indisponibilidade de servidor 3 3 9
Greve de funcionários do
transporte
2 1 2
Funcionário que adoece 1 1 1
Falha de switch de rede 2 4 8
Ataque de vírus 3 5 15
Planos de Contingência
• Tipos de plano de contingência:
–Plano de Emergência
–Plano de Backup
–Plano de Recuperação
58
Planos de Contingência
• Plano de Emergência
–Prevê possibilidade de desastres
–Provê meios de detecção antecipada
–Provê segurança física
–Contém as respostas de risco
• Ações a serem tomadas
59
Planos de Contingência
• Plano de Backup
–Backup de arquivos e dados
–Continuidade dos serviços
–Biblioteca externa de dados disponível
–Acordo com terceiros
• Reciprocidade
60
Planos de Contingência
• Plano de Recuperação
–Atividades executadas para:
• SAIR do estado de emergência
61
Auditoria de 
Sistemas
João Paulo Brognoni 
Casati
Atividade 2
63
Atividade 1
O que é uma contingência?
Algo que pode ou não 
acontecer.
64
Atividade 2
O que é usado para definir as áreas críticas 
da organização?
Cálculo do Escore de Risco
Ou
Matriz de Risco
65
Atividade 3
Quais são os tipos de planos de 
contingência?
Plano de Emergência
Plano de Backup
Plano de Recuperação
66
Atividade 4
Cite três vantagens do uso da abordagem 
com o computador.
1 - Executa cálculos 
utilizando o computador;
2 - Ordenação e seleção de 
registros;
3 - Possibilita a criação de 
programas específicos.
Auditoria de 
Sistemas
João Paulo Brognoni 
Casati
Aula 3
Conteúdo da Aula
• O funcionamento da auditoria de sistemas
• Controles internos
68
O Funcionamento da Auditoria de 
Sistemas
• As funções da 
auditoria de 
sistemas:
69
O Funcionamento da Auditoria de 
Sistemas
• Áreas de atuação
–Auditoria de campo
• Objetivo
• Período
–Âmbito da auditoria
• Abrangência/Detalhamento
• Áreas auditadas
70
O Funcionamento da Auditoria de 
Sistemas
• O dia-a-dia da auditoria:
–17 ações básicas
• 1 - Preparar a análise de risco
–Definir quais as áreas ou objetos são 
passíveis de auditoria
71
O Funcionamento da Auditoria de 
Sistemas
• 2 - Fazer revisões dos projetos e produtos
–Verificar o escore de risco e estabelecer 
quais áreas devem ser priorizadas
• 3 - Familiarizar-se com a área de sistemas
–Compreender os produtos, serviços e 
processos da área de TI, etc.
72
O Funcionamento da Auditoria de 
Sistemas
• 4 - Estabelecer a estratégia
–Definição das ferramentas
• 5 - Estabelecer os objetivos
–Definir os controles internos e os processos
• 6 - Definir preocupações
–Definir quais os itens que mais preocupam a 
equipe de auditoria
73
O Funcionamento da Auditoria de 
Sistemas
• 7 - fazer a avaliação preliminar dos controles 
internos
–Verificar os controles implantados e definir 
quais serão utilizados
• 8 - Finalizar o planejamento
–Determinar o tempo, a equipe, os recursos, 
a data de emissão do relatório final, etc.
74
O Funcionamento da Auditoria de 
Sistemas
• 9 - Preparar um documento de aviso
–Objetivos, cronograma e intenções
• 10 - Reunião inicial
– Informar sobre as intenções da auditoria
• 11 - Elaboração de testes
–Geração de dados de teste e determinação 
dos resultados
75
O Funcionamento da Auditoria de 
Sistemas
• 12 - Aplicação dos testes
–Aplica-se a massa de testes e colhe-se os 
resultados
• 13 - Análise das simulações
–São analisadas para detectar discrepâncias
76
O Funcionamento da Auditoria de 
Sistemas
• 14 - Emissão de relatório provisório
–Ao término do trabalho de campo, deve-se 
emitir um relatório provisório com todas as 
falhas encontradas (RASCUNHO)
• 15 - Discussão de relatório provisório
–Os auditados devem concordar ou discordar 
do relatório provisório
77
O Funcionamento da Auditoria de 
Sistemas
• 16 - Emissão e distribuição do relatório final
–Deve conter a “nota” do relatório (falhas 
encontradas que não foram solucionadas)
• 17 - Follow-up (acompanhamento)
–Acompanhamento das datas de acerto das 
falhas indicadas na auditoria e que constam 
no relatório final
78
Controles Internos
• O que são?
– “Planejamento organizacional e todos os 
métodos e procedimentos adotados dentro de 
uma empresa, a fim de salvaguardar seus 
ativos, verificar a adequação e o suporte dos 
dados contábeis, promover a eficiência 
operacional e encorajar a aderência às políticas 
definidas pela direção, com o objetivo de evitar 
FRAUDES, ERROS, INEFICIÊNCIAS e 
CRISES nas empresas.”
Portal da Auditoria
79
Controles Internos
• Controles internos são a principal medida de 
segurança de uma organização
–Os controles a serem implantados 
dependem do ambiente
–Geralmente, problemas de ordem legal 
ocorrem por má implantação de controles
80
Controles Internos
• Princípios e Objetivos:
• 1. Supervisão
–Manter controle que permita supervisão do 
ambiente de TI
• 2. Registro e Comunicação
–Registros de responsabilidades e 
autorização em acesso a dados
81
Controles Internos
• 3. Segregação das funções
–Funções incompatíveis segregadas
• 4. Classificação de informação
–Plano de classificação da informação
• 5. Tempestividade
–A gerência monitora os registros/transações
82
Controles Internos
• 6. Auditoriabilidade
–Procedimentos operacionais devem permitir 
a programação e a verificação periódica
• 7. Controle independente
–Os sistemas em operação devem permitir 
correções de erro no fluxo de 
processamento
83
Controles Internos
• 8. Monitoramento
–A gerência deve ter acesso ao controle de 
uso para acompanhar as transações
• 9. Implantação
–Planejamento da aquisição, manutenção, 
desenvolvimento e documentação dos 
sistemas
84
Controles Internos
• 10. Contingência
–Elaborar plano de controle de prevenção de 
falhas em todas as fases do sistema
• 11. Custo efetivo
–Planejamento dos investimentos em 
tecnologia da informação
85
Controles Internos
• São 12 os principais tipos de controles 
internos.
• 1. Integridade de dados e processos
–Acesso aos dados, confidencialidade, 
controles de mudanças no sistema...
86
Controles Internos
• 2. Segurança de sistemas
–Acesso físico e lógico ao sistema e ao banco 
de dados, uso de criptografia...
• 3. Legibilidade operacional
–Plano de contingência, treinamento de 
pessoal, documentação...
87
Controles Internos
• 4. Conformidade
–Aspecto legais, políticas da organização, se 
cumpre normas regulatórias, se possui 
seguro...
• 5. Guarda de registros
–Logs do sistema, registro de tudo que ocorre 
no ambiente de TI...
88
Controles Internos
• 6. Guarda de ativos
–Trata do inventário da organização...
• 7. Programas e sistemas
–Manter o monitoramento dos programas...
• 8. Organização e administração
–Segregação de funções, organização de 
projetos (PMO)...
89
Controles Internos
• 9. Processo de desenvolvimento
–Se utiliza padrões e procedimentos corretos, 
se está sendo documentado e testado...
• 10. Ambiente de TI
–Segurança física e lógica do ambiente, Se 
utiliza o ITIL...
90
Controles Internos
• 11. Contrato de serviços
–Se os contratos são auditados...
• 12. Procedimentos e padrões
–Se as definições feitas pela organização são 
cumpridas no âmbito da TI, se são alvo de 
auditoria...
91
Auditoria de 
Sistemas
João Paulo Brognoni 
Casati
Atividades
93
Atividade 1
Quais são as áreas de atuação da auditoria?
Auditoria de campo e 
Âmbito da auditoria.
94
Atividade 2
Sobre o processo de desenvolvimento de 
software, dê 2 exemplos de controles internos 
que podem ser adotados.
- A verificaçãose o software 
está sendo documentado;
- A verificação se normas e 
padrões estão sendo 
devidamente adotados.
95
Atividade 3
Cite uma medida que pode ser adotada para 
o cumprimento do objetivo da contingência.
- Elaboração de plano de 
contingência e 
recuperação de desastres.
96
Atividade 4
O que a etapa de familiarização com a área 
de sistemas contempla?
- Compreensão dos 
produtos, dos serviços e 
dos processos da área de 
TI.
Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Aula 4
Conteúdo da Aula
• As fases da auditoria de sistemas
• Ferramentas de auditoria de sistemas
98
Fases da Auditoria
• Auditoria dividida em 4 fases:
99
Fases da Auditoria
• Fase de Planejamento:
100
Fases da Auditoria
• Na fase de planejamento, o auditor
–Define áreas de risco (ponderação)
–Define abrangência
–Define cronograma
–Define prioridades (ponderação)
–Define controles a serem auditados
101
Fases da Auditoria
• Método de ponderação
102
Item Peso Nota Total
Custo do sistema 15 6 90
Valor diário das transações 15 9 135
Volume diário das transações 10 8 80
Visibilidade do cliente 10 10 100
Impacto 15 9 135
Extensão do sistema 10 6 60
Capacitação da equipe 10 8 80
Total geral 680
Fases da Auditoria
• Método de ponderação
103
Escore de risco Prioridade
até 200 Baixa
de 201 a 300 Média
de 301 a 500 Alta
acima de 500 Muito alta
Fases da Auditoria
• Fase de Execução:
104
Fases da Auditoria
Processo de auditoria iniciado!
• Fase de execução:
–Auditoria propriamente dita
–Solicitações são feitas ao auditado
• Por escrito
105
Fases da Auditoria
• Ocorre a verificação dos controles internos
–Execução de testes
–Medidas de testes
–Avaliação de conformidade
– Identificação de vulnerabilidades, fraquezas, 
inconsistências e irregularidades
106
Fases da Auditoria
• Fase de Emissão de Relatórios:
107
Fases da Auditoria
• Fase de Emissão de Relatórios:
–O auditor não corrige falhas
• O auditor faz recomendações
–O relatório possui “nota”
• Falhas e recomendações
• As correções possuem datas para serem 
implementadas
108
Fases da Auditoria
• Fase de Follow-up (acompanhamento):
109
Fases da Auditoria
• Fase de follow-up (acompanhamento)
–As falhas apontadas no relatório são um 
compromisso entre auditor e auditado
–A resposta do auditado ao relatório final
• O auditor deve acompanhar a correção das 
falhas apontadas
110
Ferramentas de auditoria
• As ferramentas podem ser:
–Softwares generalistas
–Softwares especializados
–Softwares utilitários
111
Ferramentas de auditoria
• Softwares generalistas
–Chamados: software de prateleira
–Rodam em ambiente batch (off-line)
–Carecem de personalização
–Buscam resolver problemas comuns
112
Ferramentas de auditoria
• Vantagens (softwares generalistas):
–Processar vários arquivos ao mesmo tempo
– Integração com softwares e hardwares
–Requer menos conhecimento de informática 
do auditor
113
Ferramentas de auditoria
• Desvantagens (softwares generalistas):
– Impossibilita aplicações on-line
– Impossibilita a execução de cálculos 
complexos e específicos
114
Ferramentas de auditoria
• Exemplos (softwares generalistas):
–ACL (Audit Command Language)
– IDEA (Interactive Data Extraction & Analysis)
–Galileo
–Pentana
115
Ferramentas de auditoria
• Softwares especialistas:
–Atende melhor para a especialidade que foi 
desenvolvido
–Resolvem menor número de problemas
–Geralmente desenvolvidos por auditores
116
Ferramentas de auditoria
• Vantagens (softwares especialistas):
– Inclusão de testes e verificações de 
controles internos específicos
–Soluções para auditar áreas mais complexas
–Vantagem competitiva
117
Ferramentas de auditoria
• Desvantagens (softwares especialistas):
–O auditor deve estar familiarizado com 
desenvolvimento de software
–Alto custo para desenvolvimento destas 
soluções
118
Ferramentas de auditoria
• Softwares utilitários:
–São utilizados para funções básicas de 
auditoria
–Podem ser utilizados para diversas 
finalidades
–SOs e SGBDs possuem softwares deste tipo
119
Ferramentas de auditoria
• Softwares utilitários
–Apoiam a auditoria em funções auxiliares
–Pode-se atingir bons resultados
–Possuem baixo custo
120
Auditoria de 
Sistemas
João Paulo 
Brognoni Casati
Atividade 4
122
Atividade 1
Em que fase da auditoria são definidos os 
controles que serão auditados?
Fase de planejamento
123
Atividade 2
Em que fase da auditoria são executados os 
testes e medidas?
Fase de execução
124
Atividade 3
Cite duas vantagens da utilização de software 
especialista.
1. Auditoria de áreas mais 
complexas
2. Vantagem competitiva
125
Atividade 4
Cite duas vantagens da utilização de software 
generalista.
1. Integração com outros 
softwares
2. Requer menos 
conhecimento em 
informática
Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Aula 5
Conteúdo da Aula
• Técnicas de Auditoria
–14 técnicas
127
Técnicas de Auditoria
• Nem sempre são utilizadas as mesmas 
técnicas:
–Dependem do tipo e objetivo da auditoria
• Cada auditoria demanda a utilização de 
diferentes técnicas
• Nem todas precisam ser utilizadas
128
Técnicas de Auditoria
• Software para auditoria
–Agilidade
–Automação
–Padronização
–Cálculos complexos
–Estatísticas
129
Técnicas de Auditoria
• Software para auditoria
–Utilização de logs
–Listagem de código-fonte
• Locais específicos
–Execução de testes
• Dados reais e programa desenvolvido
• Dados artificiais e programa em produção
130
Técnicas de Auditoria
• Questionário
–Comum em auditorias
–Direcionados a:
• Segurança da informação
• Eficiência no uso dos recursos de TI
–Normalmente é acompanhada por outras 
técnicas (visita, entrevista)
131
Técnicas de Auditoria
• Visita in loco
–O auditor se desloca ao local e faz 
verificações
–Deve ser agendada formalmente
–Costuma clarear pontos nebulosos
–Utilizado com outras técnicas
132
Técnicas de Auditoria
• Visita in loco
–Ações:
• Obtenção de dados por observação
• Obtenção de dados por teste
• Obtenção de dados por documentação
• Anotação de informações para uso posterior
133
Técnicas de Auditoria
• Entrevista
–Pode ser feita:
• Pessoalmente
• Por telefone
• Por videoconferência
–Deve seguir a sequência do processo a ser 
auditado
134
Técnicas de Auditoria
• Tipos de entrevista
–Estruturada
• Formulários definidos no planejamento
–Não estruturada
• As perguntas são feitas conforme o rumo
–Semiestruturada
• Segue formulários mas pode ter alterações
135
Técnicas de Auditoria
• Teste de observância (aderência)
–Verifica a credibilidade dos controles
–Determina se controles estão sendo 
cumpridos por observação
–O auditado não sabe que está sendo 
observado
136
Técnicas de Auditoria
• Teste substantivo
–Utilizado para obtenção de provas 
convincentes sobre operações
–Objetivos
• Verificar: existência real de transações, 
integridade das informações, se itens foram 
avaliados corretamente, etc...
137
Técnicas de Auditoria
• Dados de teste (test data ou test deck)
–O auditor prepara conjunto de dados para 
testar os controles do sistema
–Possuem dados de entrada e dados de 
saída esperados
–Dados de saída são comparados aos 
desejados
138
Técnicas de Auditoria
• Teste integrado
–Utilizada com sistema em produção
– Insere-se entidades fictícias
–Verifica funcionamento do sistema sem 
alteração dos dados de entidades reais
139
Técnicas de Auditoria
• Simulação paralela
–O auditor desenvolve um programa que 
simula as funções do sistema
–O programa é executado com a massa de 
dados real
–Faz o oposto do teste integrado
140
Técnicas de Auditoria
• Lógica de auditoria embutida nos sistemas
–O sistema pode emitir relatório de auditoria 
com base em sua utilização
–Deve ser implementada no sistema em 
desenvolvimento
141
Técnicas deAuditoria
• Lógica de auditoria embutida nos sistemas
–Vantagem
• Monitoria permanente do sistema
–Desvantagens
• Custo adicional no desenvolvimento
• Perda no desempenho
142
Técnicas de Auditoria
• Mapeamento estatístico dos programas
–Necessita inclusão de instruções especiais 
no sistema. Esta técnica verifica:
• Frequência de utilização de rotinas
• Rotinas fraudulentas
• Rotinas de controle acionadas
• Outros tipos de rotina...
143
Técnicas de Auditoria
• Rastreamento dos programas
–O auditor rastreia a transação durante o 
processamento
–O passo-a-passo de uma operação é 
registrado
–Permite detectar ações fraudulentas e 
caminhos incorretos das transações
144
Técnicas de Auditoria
• Análise da lógica de programação
–Determina se a lógica da programação está 
em conformidade com a documentação
–O auditor deve ser conhecedor da linguagem 
de programação utilizada e técnicas de 
desenvolvimento de software
145
Técnicas de Auditoria
• Análise de log
–O log é um arquivo que registra acessos e 
erros de um sistema
–Ao analisar este arquivo, o auditor pode:
• Monitorar e determinar erros de programa
• Flagrar uso de programas fraudulentos
• Captar tentativas de acesso indevido
146
Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Atividade 5
148
Atividade 1
Qual a diferença entre o teste integrado e a 
simulação paralela quanto ao uso dos dados? 
O teste integrado utiliza 
dados artificiais enquanto a 
simulação paralela utiliza 
os dados reais do sistema.
149
Atividade 2
Quais são os tipos de entrevista utilizados em 
auditoria de sistemas?
- Estruturada
- Não estruturada
- Semiestruturada
150
Atividade 3
Qual a importância de se possuir logs de 
sistemas?
Os logs possuem informações 
sobre a utilização, acesso e 
erros do sistema, importantes 
para monitoramento e auditoria.
Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Aula 6
Conteúdo da Aula
• Auditoria de controles organizacionais e 
operacionais
• Descrição de cargos em TI
152
Auditoria de controles organizacionais 
e operacionais
• Controles organizacionais e operacionais
–Controles administrativos
• Processo de fluxo das transações
• Auxiliam no cumprimento dos objetivos do 
negócio
153
Auditoria de controles organizacionais 
e operacionais
• Responsabilidades destes controles:
–Delineamento das responsabilidades
–Coordenação de orçamento de capital
–Desenvolvimento das políticas (informática)
– Intermediação com terceiros
–Gerenciamento de suprimentos
–Desenvolvimento de plano de capacitação
154
Auditoria de controles organizacionais 
e operacionais
• Políticas organizacionais
– Importantes para que os objetivos da 
organização sejam alcançados
–Devem ser seguidas por todos os 
funcionários de uma empresa
–Seu descumprimento pode significar 
demissão por justa causa
155
Auditoria de controles organizacionais 
e operacionais
• Políticas organizacionais
156
Auditoria de controles organizacionais 
e operacionais
• Sequência do processo de implantação de 
uma política organizacional
1. Identificação dos recursos críticos
2. Classificação das informações
3. Identificação das possíveis ameaças e 
análise de risco
157
Auditoria de controles organizacionais 
e operacionais
4. Objetivos de segurança a serem 
alcançados
5. Elaboração de proposta da política
6. Discussão com os envolvidos
7. Apresentação de documento formal à 
gerência superior
158
Auditoria de controles organizacionais 
e operacionais
8. Aprovação pela gerência superior
9. Divulgação e implantação
10. Avaliação da política e identificação das 
mudanças
11. Revisão e implementação definitiva
159
Auditoria de controles organizacionais 
e operacionais
• Classificação da informação
–Públicas ou de uso irrestrito
– Internas ou de uso interno
–Confidenciais
–Secretas
160
Auditoria de controles organizacionais 
e operacionais
• Após implantação da política
–Deve ser divulgada
–Pode ser necessário treinamento aos 
colaboradores
–A avaliação é feita, normalmente, durante 
período de 6 meses a 1 ano
161
Auditoria de controles organizacionais 
e operacionais
• Após revisão:
– Implantação definitiva
• Após implantação definitiva
–Não pode ser alterada
• Os procedimentos podem ser alterados, 
porém a política em si, não.
162
Auditoria de controles organizacionais 
e operacionais
• Violação da política
–É de difícil detecção
–Procedimentos
• Podem ser adotados visando evitar violações
–Deve-se investigar as violações
163
Auditoria de controles organizacionais 
e operacionais
• A Violação da política pode ocorrer por:
–Negligência, Erro, Acidente, Problema no 
plano de sistemas de informação, ação 
deliberada, entre outros
A política deve possuir ação a ser tomada 
em caso de violação, incluindo correção 
de vulnerabilidades
164
Auditoria de controles organizacionais 
e operacionais
• Descrição de cargos em TI
–Auxiliam a implantação consistente de 
controles internos na área de tecnologia da 
informação.
165
Auditoria de controles organizacionais 
e operacionais
• Supervisor de infraestrutura de TI
–Planejar a capacidade da TI
–Buscar recursos para o ambiente
–Coordenar ações para projetos e metas
–Garantir o perfeito funcionamento da TI com 
equipe técnica competente
166
Auditoria de controles organizacionais 
e operacionais
• Administrador de redes
– Instalar e fornecer suporte aos servidores
–Administrar contas de usuários e acessos
–Monitorar desempenho da rede
–Adotar ações para implantação de novas 
tecnologias
167
Auditoria de controles organizacionais 
e operacionais
• Administrador de bancos de dados
–Planejar e executar os backups
– Implantar ajustes e melhorias quando do 
surgimento de novas tecnologias
–Planejar e implantar estratégias para o uso 
dos bancos de dados
–Administrar o ambiente de bancos de dados
168
Auditoria de controles organizacionais 
e operacionais
• Administrador de segurança
– Implantar a política de segurança
–Detectar invasões e realizar as correções
– Identificar vulnerabilidades da rede
–Manter a estrutura de segurança atualizada
–Pesquisar falhas de segurança em geral e 
manter a melhoria contínua
169
Auditoria de controles organizacionais 
e operacionais
• Analista de sistemas
–Especificar requisitos junto aos clientes
–Analisar e projetar aplicativos
–Manter serviço de verificação de aplicativos
–Testar sistemas desenvolvidos
–Manter documentação atualizada
–Dar suporte e fazer ajustes nos aplicativos
170
Auditoria de controles organizacionais 
e operacionais
• Web designer
– Implementar soluções de design propostas e 
aprovadas pelos responsáveis
–Efetuar manutenção em sites
–Pesquisar sobre novas ferramentas de 
design
171
Auditoria de controles organizacionais 
e operacionais
• Profissional de suporte técnico
–Efetuar manutenção preventiva e corretiva 
dos equipamentos instalados
–Fazer inventário de hardware e software
–Fornecer suporte técnico aos usuários
–Acompanhar chamados até sua solução
172
Auditoria de controles organizacionais 
e operacionais
• Supervisor de service desk
–Documentar problemas operacionais
–Solucionar problemas secundários
–Encaminhar problemas específicos
–Controlar a qualidade na entrega do serviço
173
Auditoria de controles organizacionais 
e operacionais
• Supervisor de restart/recovery
–Definir procedimentos para recuperação de 
dados
–Definir rotinas de backup
– Instalar no-breaks e anti-vírus
– Implementar hot-site
–Providenciar cold-site
174
Auditoria de controles organizacionais 
e operacionais
• Bibliotecário
–Manter controle sobre a responsabilidade de 
se manter a documentação de sistemas 
–Manter bibliotecas de consulta
175
Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Atividade 6
177
Atividade 1
O que pode ser alterado após a implantação 
definitiva de uma políticaorganizacional? 
Apenas os procedimentos.
178
Atividade 2
Por quem devem ser seguidas as políticas 
organizacionais de uma empresa? 
Por todos os funcionários.
179
Atividade 3
Qual ou quais as funções responsáveis pelo 
backup dos dados?
Administrador de bancos 
de dados e supervisor de 
restart/recovery.
180
Atividade 4
Cite 2 funções do administrador de 
segurança.
1. Implantar as políticas 
de segurança
2. Manter a estrutura 
atualizada
Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Aula 7
Conteúdo da Aula
• Auditoria direcionada
–Auditoria de redes
–Auditoria de hardware
–Auditoria de controles de acesso
–Auditoria de aquisição, desenvolvimento, 
documentação e manutenção de sistemas
182
Auditoria Direcionada
• Auditoria de redes
–De suma importância para as organizações
–Pode ser dividida em:
• Intranet
• Internet
• Extranet
183
Auditoria Direcionada
• Objetivos da auditoria de redes
–Segurança física
–Segurança lógica
–Segurança de enlace
–Segurança de aplicação
184
Auditoria Direcionada
• Itens avaliados na auditoria de redes
–Planejamento da rede com visão estratégica
–Desenho das arquiteturas e topologias
– Implantação dos projetos
–Monitoramento:
• Desempenho
• Interceptações
185
Auditoria Direcionada
• Checklist para auditoria de redes
–Verificar as políticas organizacionais;
–Verificar os controles de ambiente.
• Plataforma: hardware, software, etc.
–Verificar controles sobre o software;
–Verificar controles de segurança;
–Outros...
186
Auditoria Direcionada
• Auditoria de hardware
–Visa implantar procedimentos de segurança 
física dos equipamentos;
–Manter inventários é de grande importância;
–Padronização na aquisição de 
equipamentos.
• Compatibilidade
187
Auditoria Direcionada
• Manutenção de hardware
–Prazo de atendimento dos chamados;
–Tempo máximo para resolução de 
problemas;
–Período coberto por contratos.
• Madrugada, fins de semana, feriados, etc.
188
Auditoria Direcionada
• A auditoria de hardware garante:
–Proteção dos equipamentos
• Servidores, CPUs, Terminais...
–Equipamento de restrição de acesso
• Impossibilitar o acesso de pessoas não 
autorizadas em ambientes da organização.
189
Auditoria Direcionada
• Checklist para auditoria de hardware
–Verificar controles de acesso físico ao 
ambiente de TI;
–Verificar controles de acionamento e 
desligamento de máquinas;
–Verificar localização e infraestrutura do CPD;
–Controle de backup e off-site.
190
Auditoria Direcionada
• Auditoria de controles de acesso
–O controle de acesso pode ser dividido em:
• Acesso físico: relativo à entrada de pessoas 
em recintos.
• Acesso lógico: relativo ao acesso às 
informações.
191
Auditoria Direcionada
• Controles de acesso físico
–Crachás
–Biometria
• Controles de acesso lógico
–Senhas
• Deve-se tomar cuidados ao criar senhas!
–Logs: sem acesso
192
Auditoria Direcionada
• Checklist para auditoria de controles de 
acesso
–Verificar políticas de segurança;
–Verificar rotinas e procedimentos para 
atribuição ou modificação do nível de 
acesso;
–Verificar software de controle de acesso.
193
Auditoria Direcionada
• Checklist para auditoria de controles de 
acesso
–Verificar os controles de acesso às 
transações;
–Verificar controle da utilização de software;
–Verificar controle da utilização de rede.
194
Auditoria Direcionada
• Auditoria de aquisição, desenvolvimento, 
documentação e manutenção de sistemas
–Dúvida:
• Comprar ou Desenvolver software?
–Softwares prontos são mais baratos, mas...
• Supre as necessidades?
195
Auditoria Direcionada
• Aquisição ou Desenvolvimento
–Considerar a viabilidade:
• Econômica
• Operacional
• Técnica
–Tomar decisão final
196
Auditoria Direcionada
• Ações em caso de aquisição
–Planejamento das aquisições
–Documentação dos requisitos
–Cotações, ofertas, propostas
–Seleção da melhor proposta
–Contrato e relacionamento com fornecedor
–Fechamento do contrato
197
Auditoria Direcionada
• Roteiro para a auditoria (verificar):
–Aprovação para início do projeto
–Definição dos requisitos
–Declaração do escopo
–Definição das atividades do projeto
–Cronograma do projeto
–Orçamento do projeto
198
Auditoria Direcionada
• Roteiro para a auditoria (verificar):
–Definição da equipe e outros recursos
–Necessidades de treinamento
–Plano de implantação
–Plano de contingência e riscos
–Atualização da biblioteca de produção
199
Auditoria Direcionada
• É necessário também:
–Testar o sistema
• Garantir que os requisitos funcionais e não 
funcionais são atendidos.
–Documentar o sistema
• Documentação deve seguir linguagem e 
padrões corretos.
200
Auditoria Direcionada
• Sobre a documentação, deve-se verificar:
–Se está em uma biblioteca;
–Se segue os padrões;
–Se possui narrativas;
–Se possui fluxograma do sistema e arquivos;
–Se possui manual de operação do usuário.
201
Auditoria Direcionada
• A auditoria direcionada a este caso deve 
verificar se:
–Há necessidade de um sistema novo;
–Se os usuários fazem recomendação sobre 
aquisição ou desenvolvimento interno;
–Se as funcionalidades, tecnologia e 
segurança são esclarecidos (aquisição);
202
Auditoria Direcionada
–Se os usuários são treinados para operar o 
sistema;
–Se a manutenção pode ser feita sem 
interrupção das operações;
–Se a documentação está disponível.
203
Auditoria Direcionada
• Checklist:
–Especificação do sistema
• Procedimentos para elaboração de requisitos
–Aquisição de sistemas
• Procedimento para envolvimento de usuários 
na seleção, especificação ou modificação de 
sistemas.
204
Auditoria Direcionada
• Procedimentos que determinam prioridades 
para projetos de desenvolvimento e 
manutenção.
• Procedimentos para rever as especificações 
dos projetos por pessoal de operação.
205
Auditoria Direcionada
–Programação
• A organização desenvolve ou modifica 
sistemas internamente.
–Teste
• Procedimentos para testar aplicativos 
novos ou que sofreram alterações.
206
Auditoria Direcionada
–Documentação
• Manutenção da documentação para 
sistemas significativos.
–Manutenção
• Manutenção de programas está sujeita 
aos padrões de programação.
207
Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Atividade 7 
209
Atividade 1
Dê dois exemplos de controle de acesso 
físico.
O uso de crachás ou 
cartões de identificação e 
biometria.
210
Atividade 2
Dê dois exemplos de controle de acesso 
físico biométrico.
Reconhecimento de 
impressão digital e 
reconhecimento de íris.
211
Atividade 3
Quais são os três tipos de redes?
Intranet, Internet e Extranet
212
Atividade 4
O que deve ser considerado ao optar por 
aquisição ou desenvolvimento interno de 
sistemas?
A viabilidade econômica, 
operacional e técnica.
Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Aula 8
Conteúdo da Aula
• Auditoria direcionada
–Auditoria de operação
–Auditoria de suporte técnico
–Auditoria de aplicativos
–Auditoria de eventos
214
Auditoria Direcionada
• Auditoria de operação
–É a auditoria das operações de um sistema.
–São algumas das operações:
• Inicialização do sistema
• Desligamento do sistema
• Monitoramento dos sistemas e redes
• Plano de capacidade da TI
215
Auditoria Direcionada
• Gerenciamento de bibliotecas e backups
• Automação da produção
• Coordenação e programação de atualização de 
equipamentos
• Plano de recuperação de desastres
• Gerenciamento do service desk
216
Auditoria Direcionada
• Principal objetivo
–Verificar a existência de controles internos 
que garantam que as operações da 
organização estão em conformidade.
• Verificar também se os controles são 
suficientes.
217
Auditoria Direcionada
• Checklist
–Controle sobre o processo operacional
–Controle sobre o monitoramento
–Controle sobre as entradas off-line
–Controles de restart/recovery
–Controles que