Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITORIA DE SISTEMAS Lupa Calc. CCT0776_A1_201908422173_V1 Aluno: RICARDO ALEXANDRE HEIL BARNI Matr.: 201908422173 Disc.: AUDITORIA DE SIST. 2021.3 EAD (GT) / EX Prezado (a) Aluno(a), Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha. Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS. 1. Há dois grandes meios de se ter uma equipe de auditoria. Com base na afirmativa marque a opção que indica os dois tipos de equipe de auditoria: EQUIPE INTERNA E CONSULTORIA EQUIPE EXTERNA E CONSULTORIA EQUIPE INTERNA E VIRTUAL EQUIPE PREESENCIAL E VIRTUAL EQUIPE INTERNA E EXTERNA Gabarito Comentado 2. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser: No mesmo nível das demais Diretorias. logo abaixo da direção executiva da empresa. Subordinada a Diretoria Jurídica. Subordinada a Diretoria de Tecnologia. Subordinada a diretoria Financeira. 3. Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Somente as sentenças I e III estão corretas Somente as sentenças I e II estão corretas Somente a sentença III está correta Somente as sentenças II e III estão corretas Todas as sentenças estão corretas Explicação: Todas as opções estão corretas. A auditoria foca nos controles internos. Verifica sua existencia e, em existindo, se são eficazes. Ela engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Gabarito Comentado 4. A preocupação em sobreviver frente um mercado cada vez mais competitivo e a busca pela melhoria contínua motivou empresas a investirem na auditoria de sistema da informação, ou seja, uma solução encontrada por gestores para problemas em potencial, como no caso da segurança dos dados manipulados através dos computadores na organização. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Podemos inferir que a Auditoria de Sistemas é uma atividade que engloba exame de sistemas, operações, processos e responsabilidades gerenciais de uma empresa PORQUE II - seu objetivo é a segurança de informações e recursos além de observar a conformidade com os padrões atuais. A respeito dessas asserções, assinale a opção correta. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. As asserções I e II são proposições falsas. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Explicação: => também são objetivos da auditoria de sistemas garantir a segurança dos serviços e acesso. A conformidade deve ser verificada em relação aos objetivos da empresa, politicas administrativas, orçamentos, regras, normas e padrões. 5. A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: ela necessita de autonomia para executar suas atividades os salários dos auditores são compatíveis com os dos diretores esta posição demonstra o status e o poder que a Auditoria possui ela diz para os gerentes como consertar as falhas encontradas os auditores não tem horário fixo para exercer suas atividades Explicação: Um auditor pode não se sentir a vontade para pedir ao seu gerente um plano de contingência caso ele não exista, Os auditores necessitam de flexibilidade e autonomia para exercerem seu trabalho. Gabarito Comentado 6. Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: abordagem com o computador abordagem interna ao computador abordagem através do computador abordagem ao redor do computador abordagem externa ao computador Gabarito Comentado 7. Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área. II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir os padrões profi ssionais aplicáveis. III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil. IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemas e Controles, seus membros devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Indique a opção que contenha todas as afirmações verdadeiras. II e III I e II I e III III e IV II e IV 8. As opções abaixo citam recursos passíveis de serem auditados pela Auditoria de Sistemas. Uma delas não esta correta. Identifique-a. Colaboradores, software e existência de plano de contingência Equipamentos eletrônicos da empresa, celulares e móveis. Software, hardware e visitantes. Móveis, escadas entre andares e colaboradores terceirizados. Pessoas, hardware e suprimentos. Explicação: Celulares pertencem às pessoas e não são recursos passíveis de serem auditados. Podem quando muito serem confiscados temporariamente na entrada das dependencias da empresa, e serem devolvidos na saida das pessoas. 1. CIPA ¿ Comissão Interna de Prevenção de Acidentes, tem como objetivo a prevenção de acidentes e doenças profissionais, tornando compatível o trabalho com a preservação da vida e da saúde do trabalhador. Assinale dentre as opções abaixo aquela que apresenta o documento que contem as disposições legais; Regulamentadora número 5 (NR 5) do Ministério da Educação; Regulamentadora número 7 (NR 5) do Ministério do Trabalho e Emprego. Regulamentadora número 5 (NR 5) do Ministério do planejamento; Regulamentadora número 5 (NR 5) do Ministério do Trabalho e Emprego. Regulamentadora número 5 (NR 5) do Ministério da Justiça; 2. Um plano de contingência pode ser definido como: A identificação de uma serie de ameaças e suas ponderações de probabilidade de ocorrência e provavel impacto gerado A solução de emergência para eventosnão identificados previamente Uma sequencia de ações para geração de arquivos cópia (back-ups) dos principais sistemas da empresa Uma sequencia de ações pre-definidas, a serem executadas na eventualidae da ocorrência de uma ameaça A manutenção de ambiente preparado para funcionar como back-up na eventualidade de uma parada do CPD da empresa 3. Assinale a opção verdadeira: Respostas de risco são ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria ações a serem seguidas na eventualidade da ocorrência de uma ameaça relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado atividades que devem ser evitadas para não gerar riscos Gabarito Comentado 4. Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: ameaça risco ataque vulnerabilidade impacto Explicação: Por definição, ameaça é um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso. 5. Ameaça é um evento que potencialmente remove, desabilita ou destrói um recurso. Para um call center, identifique qual das ameaças elencadas é FALSA. Sistema sem controle de acesso ao banco de dados dos clientes Ataque de hackers Pessoa fazendo-se passar por outra Greve de transportes Sistema com erro de identificação de clientes Explicação: Sistema com erro não é uma ameaça. É um erro. Não fazemos contingência para erros embora identifiquemos os erros em auditorias. Devemos partir do principio que as pessoas fazem seus trabalhos conforme o esperado (sistemas bem testados) Se houver greve de transportes os funcionários não conseguirão chegar ao trabalho, gerando uma parada de serviço. 6. Segundo Claudia Dias, as ameças podem ser classificadas como: _____________ e _______________. Marque a opção que completa corretamente a afirmativa: DELIBERADAS E PASSIVAS DELIBERADAS E ATIVAS ACIDENTAIS E PASSIVAS ACIDENTAIS E ATIVAS ACIDENTAIS E DELIBERADAS Gabarito Comentado 7. Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: sujeitos a aprovação da crítica do cliente prioritários para serem refeitos definidos pelo usuário como sendo os mais complexos essenciais para manter a continuidade do serviço que não devem ser descontinuados por terem caducado Gabarito Comentado 8. Sabendo que um dos objetivos do plano de contingência é manter a continuidade dos serviços, indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação a serem sistemas/processos críticos em uma agência bancária: I - Cadastro clientes novos. II - Pagamento de fatura de cartão de crédito com cheque. III - Saque no caixa em notas de R$ 20,00. F, V, F F, F, V V, F, V F, V, V V, V, F Explicação: I - Cadastro clientes novos. => FALSA. O serviço pode ser feito manualmente e, posteriormente, inserido no sistema. II - Pagamento de fatura de cartão de crédito com cheque.=> FALSA. O serviço pode ser feito manualmente e, posteriormente, inserido no sistema. III - Saque no caixa em notas de R$50,00.=> VERDADEIRA. É um sistema crítico pois necessariamente deve ser verificado o saldo do cliente para permitir o saque. 1. Sobre o trabalho de auditoria, podemos afirmar que: I) O auditor deve guardar as evidências relacionadas com as não conformidades encontradas durante o trabalho de campo; II) Existem determinados tipos de não conformidades que o auditor deve ajudar, orientando sobre a melhor solução que deve ser dada para o cenário encontrado; III) O auditado pode discordar de uma não conformidade, informando ao auditor por escrito e justificando a sua discordância. · Agora assinale a alternativa correta: Somente II e III são proposições verdadeiras. I, II e III são proposições verdadeiras. Somente I e II são proposições verdadeiras. Somente I é proposição verdadeira. Somente I e III são proposições verdadeiras. Gabarito Comentado 2. As fases de uma Auditoria de Sistemas são: Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up Projeto; Execução; Emissão e divulgação de requisitos; Follow-up Projeto; Execução; Emissão e divulgação de releases; Acompanhamento Planejamento; Exemplificação; Transmissão de relatórios; Backup Planejamento; Exemplificação; Transferência de relatórios; Backup Gabarito Comentado 3. As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica? Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos) Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Gabarito Comentado 4. AS fases de uma auditoria são: Planejamento ,Execução,Emissão e divulgação de relatórios e Follow-up Execução,Follow-up e emissão e de relatórios. Planejamento,Execução,Follow-up e Arquivamento Planejamento ,Execução e Arquivamento. Planejamento ,Execução,Emissão e divulgação de relatórios e Arquivamento. Gabarito Comentado 5. Na metodologia estudada, ponto de controle é: Uma unidade a ser auditada. Uma fraqueza encontrada no sistema auditado. Assinatura do auditor quando começa e quando termina o trabalho no dia. Assinatuda do auditor quando começa o trabalho no dia. Um controle de presença do auditor. Explicação: Ponto de controle é uma unidade a ser auditada. Unidade de controle interno, de controle de processo ou de controle de negócio. 6. Ao fazermos a analise de risco de um sistema para determinar seu escore de risco e, desta forma, prioriza-lo para ser auditado, devemos considerar: O número de arquivos do sistema, o nivel tecnico dos operadores do sistema e seu volume médio diário de transações seu volume médio diário de transações, seu custo de desenvolvimento e o impacto em outros sistemas O número de periféricos necessários, a linguagem de desenvolvimento e o local físico do CPD a linguagem de desenvolvimento, o custo de treinamento dos desenvolvedores e o número de interface com outros sistemas O custo do sistema, o local físico do CPD e o número de arquivos do sistema Gabarito Comentado 7. Na metodologia estudada, ponto de auditoria significa: Assinatuda do auditor quando começa o trabalho no dia. Uma fraqueza encontrada no sistema auditado. Uma unidade a ser auditada. Assinatura do auditor quando começa e quando termina o trabalho no dia. Um controle de presença do auditor. Explicação:Se encontrarmos uma fraqueza ao analisarmos um controle interno, um controle de processo ou um controle de negócios, essa fraqueza é chamada de ponto de auditoria e deve ser imediatamente reportada à area auditada (primeiro verbalmente e em seguida, por escrito). 8. Você esta auditando um Sistema de Folha de Pagamento e fará uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas, da área de Recursos Humanos e da área de Contabilidade a fim de informar que o sistema foi selecionado para ser auditado. Esta reunião é feita na fase do trabalho de auditoria chamada de: planejamento levantamento priorização de sistemas a serem auditados execução controle 1. Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando: programa de computador entrevista simulação paralela rastreamento questionário 2. Na visita in loco o auditor poderá obter dados através de Marque a opção INCORRETA: observações teste documentação mensagem de voz informação solicitada Explicação: Receber mensagem pode ser recebida em qualquer local, não necessitando ser em visitas in loco. 3. Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a seguir: I - Nos softwares utilitários as aplicações não podem ser feitas online já que eles gravam diversos arquivos para serem analisados em separado. II - Uma vantagem dos softwares utilitários é que são fáceis de serem aprendidos. III - Os softwares utilitários são desenvolvidos para a Auditoria conforme sua específica utilização. V, F, V V, F, F F, V, F V, V, F F, V, V Explicação: I - Nos softwares utilitários as aplicações não podem ser feitas online já que eles gravam diversos arquivos para serem analisados em separado.=> Falso. Essa característica é dos softwares generalistas. II - Uma vantagem dos softwares utilitários é que são fáceis de serem aprendidos.=> Verdadeiro III - Os softwares utilitários são desenvolvidos para a Auditoria conforme sua específica utilização.=> Falso. Essa característica é dos softwares especialistas. 4. Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a seguir: I - Os softwares especialistas normalmente são comprados prontos. II - Os softwares utilitários tem a vantagem de processar vários arquivos ao mesmo tempo. III - Os softwares generalistas não proveem cálculos específicos para sistemas específicos. V, V, F F, F, V F, V, F F, V, V V, F, V Explicação: I - Os softwares especialistas normalmente são comprados prontos. => Falso. os softwares especialistas são desenvolvidos conforme necessidades dos auditors e normalmente não são encontrados prontos para venda. II - Os softwares utilitários tem a vantagem de processar vários arquivos ao mesmo tempo.=> Falso. Essa característica é dos softwares generalistas. III - Os softwares generalistas não proveem cálculos específicos para sistemas específicos.=> Verdadeiro. 5. Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista __________ independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation) Nmap Pentana Snort Nessus Cobit Explicação: COBIT (Control Objectives for Information and Related Technologies) é framework de boas práticas criado pela ISACA (Information Systems Audit and Control Association) para a governança de tecnologia de informação (TI). O Information Systems Audit and Control Foundation® (ISACF® pertence ao ISACA Gabarito Comentado 6. Considerando as opções abaixo identifique a correta para a seguinte questão:Podemos realizar uma auditoria de sistemas naqueles que estiverem em : documentação ou em testes. desenvolvimento ou aquisição de software desenvolvimento ou aquisição de hardware desenvolvimento ou em operação. aquisição de hardware ou de software. 7. Quando a auditorias de sistemas ocorre em sistremas em desenvolvimento, a atenção dos auditores é focada em qual etapa do desenvolvimento? Naquilo que foi planejado em termos de controles internos, orçamentos de hardware para os sistemas. Naquilo que foi planejado em termos de controles internos, processos custos de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de testes internos, processos e controles de negócios a serem desenvolvidos; Naquilo que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados nos sistemas. Nos controles internos, processos e controles de negócios a serem implementados nos sistemas. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: ( ) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & Analysis). ( ) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem características pouco comuns, como, por exemplo, sistemas de leasing e sistemas de câmbio. ( ) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. ( ) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle de forma remota, através de um programa instalado no seu computador. ( ) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam formulários especiais para coleta de dados. · Agora assinale a alternativa correta: V,V,V,V,V V,V,V,F,F F,F,F,V,V F,F,F,F,F V,V,V,V,F 1. Classifique os testes de auditoria abaixo quanto a serem testes de observância (O) ou testes substantivos (S). I - Verificar se há controle de lote de transações digitadas e se o total nele informado confere com o total constante no relatório de movimento do dia. II - Conferir documentos dos clientes com documentos registrados no cadastro de clientes. III - Obter evidências de controle de acesso à base de dados por pessoas autorizadas. O, O, S O, S, O O, S, S S, O, O S, O, S Explicação: I - Verificar se há controle de lote de transações digitadas e se o total nele informado confere com o total constante no relatório de movimento do dia.=> teste substantivo. Processamento de grande massa de dados. II - Conferir documentos dos clientes com documentos registrados no cadastro de clientes.=> Teste de observância com intuito de verificar existencia e validade dos documentos dos clientes. III - Obter evidências de controle de acesso à base de dados por pessoas autorizadas.=> Teste de observância com intuito de verificar se politica de segurança de senhas esta sendo cumprida. 2. A simulação paralela trata-se da elaboração de um programa de computador para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controlea serem verificados. Esta técnica utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador, sendo simulado e elaborado pelo :. Analista de Sistema; Gerente do projeto; Analista e programador; Programador Auditor; 3. O Teste Substantivo é empregado pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para a sua opinião sobre determinados fatos. Como objetivos fundamentais dos testes substantivos, a constatação de que que as transações comunicadas/registradas realmente tenham ocorrido refere-se a que tipo de constatação: Avaliação da regra de Pareto; Parte interessada; Existência real; Avaliação e aferição; Avaliação da rede de PERT 4. Uma técnica sempre presente nas auditoiras se refere ao teste do sistema auditado. Esse teste faz a distinção de quais outros teste? Marque a opção que responde corretamente ao questionamento. Esse teste faz a distinção entre os teste de usuário e o teste de sistemas. Esse teste faz a distinção entre os teste de observância e o teste substantivo. Esse teste faz a distinção entre os teste de software e o teste substantivo. Esse teste faz a distinção entre os teste de unidade e o teste modular. Esse teste faz a distinção entre os teste de inteface e o teste de unidade. Gabarito Comentado 5. Uma técnica sempre presente nas auditorias se refere ao _______________________. Sendo que esta técnica está classificada em dois tipos diferentes chamados de teste de observância e teste substantivo. Com base na afirmativa marque a opção que a completa corretamente: teste do sistema complexo teste do sistema operado teste do sistema auditado teste do sistema desenvolvido teste do sistema observado Gabarito Comentado 6. Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: I. Eessa técnica pode ser utilizada por auditores iniciantes II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de transações no dia para não gerar desconfiança no pessoal da produção III. A base de dados real fica integra em relação aos dados inseridos. Marque a opção correta: só a opção II opções I e III só a opção I só a opção III opções I e II Gabarito Comentado 7. Quando os auditores querem obter evidências, isto é, provas suficientes e convincentes sobre transações, que lhe proporcionem fundamentação para suas opiniões eles utilizam que tipo de teste? Testes de observância; Testes substantivos Testes da caixa branca; Testes de regressão; Testes da caixa preta; 8. A técnica onde o auditor prepara um conjunto de dados com o objetivo de testar os controles programados para rotinas sistêmicas ou manuais é chamada de massa de dados dados de teste dados para simulação técnica indutiva técnica simulada Explicação: A técnica em questão chama-se dados de teste ou test data ou test deck A segurança da empresa é responsabilidade da área de TI da diretoria operacional da área de auditoria da gerencia administrativa de todos os envolvidos Gabarito Comentado 2. Uma politica organizacional representa os valores e o credo da empresa não devendo, portanto, ser alterada. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Após a revisão, a politica de segurança (texto e procedimentos) é implementada em definitivo. PORQUE II - as alterações que porventura venham a ocorrer devem ser alteradas nos seus procedimentos A respeito dessas asserções, assinale a opção correta. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições falsas. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. Explicação: A implantação da politica é em carater definitivo e não devemos trocar seu texto, apenas os procedimentos , quando necessário. 3. Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado. Identificação pela biometria de iris; Utilização de crachá; Matriz de riscos; Identificação biométrica; Controle de entrada e saída de funcionários; 4. Segurança é responsabilidade de todos. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - A empresa cria politicas de segurança para homogeneizar o comportamento das pessoas em relação ao objeto que deseja preservar PORQUE II - o comportamento das pessoas deve refletir a sua hierarquia funcional. A respeito dessas asserções, assinale a opção correta. As asserções I e II são proposições falsas. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. Explicação: É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades e não de sua hierarquia funcional. Mesmo porque as politicas também abrangem clientes, fornecedores, terceirizados. 5. Informações cuja violação seja extremamente crítica são classificadas como: confidenciais secretas internas de uso irrestrito de uso restrito Gabarito Comentado 6. As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve .................................... Marque a opção abaixo que completa a afirmativa: o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos a simulação de operações normais com oobjetivo de estimular a verificação de resultados recorrentes que são inconsistentes. 7. Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima. Políticas de Cargos e Salários; Políticas Administrativas, Políticas Comerciais; Políticas Orçamentárias Políticas de RH; 8. Toda informação tem um dono, é aquele que a gera. A informação a classificada como secreta , aponta que a sua violação interna ou externa é extremamente crítica. Este tipo de informação de deve ser autorizada para quantas pessoas? Somente 2 ou 3 pessoas; Somente dos integrantes da diretoria; Somente uma pessoa; Somente duas pessoas; Somente do auditor chefe; 1. Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes: Monitoramento dos desempenhod e possíveis interceptações nas redes; Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática; Processo de escolha do Gerente do Projeto. Desenho das arquiteturas e topologia da rede; Implementação dos projetos físicos e lógicos; 2. O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante à segurança, EXCETO de segurança física segurança lógica segurança de enlace segurança de aplicação segurança de complexidade Explicação: O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante à segurança física, lógica, de enlace e de aplicações. 3. Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento. II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos. Todas as sentenças estão corretas Apenas a sentença II está correta Apenas as sentenças I e II estão corretas Apenas a sentença III está correta Apenas as sentenças II e III estão corretas Gabarito Comentado 4. Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA Os auditores devem verificar a existência de políticas organizacionais sobre aquisição de equipamentos e se há evidencias de que ela está sendo aplicada Os auditores devem preocupar-se com a localização e infraestrutura do CPD A empresa deve possuir mecanismo para restringir acessos de pessoas ao ambiente de computador Na sala do CPD deve haver detectores de fumaça e aumento de temperatura para amenizar riscos de segurança física Os auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. 5. Em relação a controle de acesso, identifique a única afirmativa correta. A biometria é usada para assegurar o controle lógico das informações O assédio moral é um exemplo de engenharia social Um detector de porte de metais é necessário para evitar acesso físico indevido ao CPD Um arquivo de log de acessos ao banco de dados é utilizado para controle de acesso físico Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para acesso físico como lógico 6. Avaliar se o acesso ao local de instalação do CPD é restrito é preocupação do controle interno chamado: Controle sobre os recursos instalados Controle sobre o firewall instalado Localização e infraestrutura do CPD Controle sobre nível de acesso a aplicativos Controle de acesso físico a equipamentos de hardware, periféricos e de transporte 7. Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança da criação de arquivos log Segurança de programas de atualização Segurança da emissão e distribuição de relatórios Segurança quanto à disponibilidade da rede Segurança de atualização de senhas Gabarito Comentado 8. Os controles de acesso físico ao ambiente de Tecnologia de Informação abrange as preocupações abaixo EXCETO acesso à biblioteca externa acesso à central telefonica acesso à fitoteca listagens jogadas no lixo acesso aos back-ups Explicação: O acesso à central telefonica da empresa não é específico do ambiente de TI 1. Dentre as opções abaixo assinale aquela não se aplica, aos grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa. Administração do contrato ; Solicitação ; Pagamento de Fatura; Planejamento das aquisições ; Planejamento das solicitações ; 2. Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar se há controles para assegurar que: Marque a alternativa INCORRETA os usuários dos sistemas estejam envolvidos. dados de entrada e o meio de entrada desses dados no sistema sejam identificados. tenha sido fornecido treinamento para operar o sistema e então realiza-lo. ambientes de software e hardware apropriados sejam especificados. requisitos de segurança de informação sejam adequadamente considerados. Explicação: O treinamento para operar o sistema deve ser feito após o sistema ter sido desenvolvido ou alterado. 3. Para avaliarmos os sistemas aplicativos geralmente usamos as seguintes ferramentas EXCETO revisão documental teste dos controles internos observação questionários entrevista Explicação: A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos controles internos e programados como ferramentas de auditoria 4. Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa correta: I. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. II. Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade econômica, operacional e técnica.III. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. Todas as sentenças estão corretas Apenas a sentença I está correta Apenas as sentenças I e II estão corretas Apenas as sentenças I e III estão corretas Apenas as sentenças II e III estão corretas Gabarito Comentado 5. O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas. · Entre as alternativas abaixo, qual delas descreve três desses critérios? Integridade, confidencialidade e responsabilidade Confidencialidade, integridade e disponibilidade Responsabilidade, habilidade e atitude Conformidade, efetividade e responsabilidade Eficiência, responsabilidade e atitude Gabarito Comentado 6. Os testes são de fundamental //////// Os testes são de fundamental importância para novos aplicativos ou para a queles que sofreram manutenção. Deverá ser verificada se há rotinas e procedimentos estabelecidos para testar estes aplicativos. Aponte dentre as opções abaixo aquela que estã em conformidade com o enunciado. ,, Testes de regressão ; Testes da lógica dos programas;. Testes de controles e características de segurança;. Testes das interfaces com outros sistemas;. Testes da quantidade de vezes que o aplicativo pode ser processado; 7. As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias? As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa?; A documentação é consistente e disponível para orientar os usuários? Há procedimentos de formalização da real necessidade para um novo sistema?; Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno? Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários?; O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes? Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem?; As manutenções são feitas sem interrupção das operações normais da empresa? Gabarito Comentado 8. Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ? Auditoria de redes Auditoria de manutenção de sistemas Auditoria de desenvolvimnto de sistemas Auditoria de operações de sistemas Auditoria de suporte técnico 1. Devemos ter objetividade na escrita. Indique se inadequadas (I) ou adequadas (A) as afirmativas abaixo em relação à objetividade do que queremos transmitir: I - Os testes apresentados não representam uma boa população II - De 1000 situações testadas, 23 % apresentaram erro. III - Os testes concluíram que o acesso lógico ao sistema esta incorreto. I, I, A A, I, A I, A, I A, I, I A, A, I Explicação: I - Os testes apresentados não representam uma boa qualidade =>INADEQUADA ficamos sem saber quantos testes foram realizados , não sabemos o que é "uma boa qualidade" II - De 1000 situações testadas, 23 % apresentaram erro.=> ADEQUADA III - Os testes concluíram que o acesso lógico ao sistema esta incorreto. => INADEQUADA. Não sabemos o porquê da inadequação, o que esta incorreto no acesso lógico. 2. Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um ____________________ sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, incluindo a gerência da Auditoria). Marque a opção que completa corretamente a afirmativa: relatório DRAFT (rascunho) relatório online relatório parcial relatório expositivo relatório sequencial Gabarito Comentado 3. Para obter um bom resultado na confecção de um relatório de auditoria devemos Variar a estrutura das frases, ter tato e preferir parágrafos longos. Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas. Escrever do jeito que falamos, preferir verbos passivos e palavras curtas. Colocar a conclusão no final, preferir as frases e palavras curtas. Evitar palavras de efeito visual, usar palavras e parágrafos curtos. Gabarito Comentado 4. Em relação à construção de um relatório devemos I - Usar voz ativa em vez de voz passiva. II - Escrever frases completas mesmo que sua extensão seja longa. III - Devemos usar percentuais de resultados de testes caso a amostra seja pequena. Indique se as sentenças acima são falsas (F) ou verdadeiras (V). V, F, F F, V, F V, V, F F, F, V F, V, V Explicação: A fim de tornar nossa escrita mais compreensível, sempre que escrevermos um documento devemos observar os seguintes itens: - Usar voz ativa. - Frases curtas. - Não misturar fatos com opinião. - Não usar nomes próprios (exemplo: incompetência de fulano). - Sempre que possível, quantificar (se a amostra for pequena, não mencionar percentual). - Siglas devem ser explicitadas na primeira vez que aparecem. 5. Um relatório deve apresentar: Um relatório deve apresentar uma descrição correta e clara das falhas de modo a evitar má interpretação e mau entendimento. Devem ser incluídas informações de tamanho dos testes ou métodos de seleção de itens para teste, de modo que o leitor possa relacionar tal informação ao total da atividade e às falhas. Considerando a objetividade da escrita, qual das opções abaixo esta incorreta , em relação aos conceitos abordados. da escrita Ser mais convincente; Permitir que os fatos falem por si só; Ser menos aberto à disputas/discussões; Colocar comentários na perspectiva certa - evita o trivial. Poder ser facilmente mal interpretado. 6. Todos os documentos emitidos pela auditoria devem ser acompanhados (follow-up) até a sua definitiva conclusão. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Caso uma recomendação não tenha sido concluída, um novo relatório final de auditoria deve ser emitido. PORQUE II - Cada falha encontrada durante o trabalho de auditoria requer um relatório final de auditoria. A respeito dessas asserções, assinale a opção correta. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. As asserções I e II são proposições falsas. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. Explicação:O relatório final de auditoria é emitido apenas no final da auditoria. 7. Assim que uma falha é identificada em uma auditoria, ela deve: Ser comunicada ao gerente da Auditoria para inserção no relatório final Ser acertada pelo auditor e reportada a seguir para a gerencia auditada Ser comunicada verbalmente ao gerente da área auditada Ser reportada em relatório apropriado para acerto imediato Ser reportada à diretoria da empresa através de relatório de auditoria Gabarito Comentado 8. Para garantia de um bom relatório de auditoria , algumas regras devem ser observadas. Aponte dentre as opções abaixo a única que está correta; Use linguagem pomposa e dura;. Evite o fornecimento de detalhes suficientes, pois misto pode cair nas mãos de pessoas não autorizadas; Use linguagem concreta e específica: Evite o uso de linguagem concreta e específica: Não se preocupe om o uso excessivo de generalidades: 1. São aspectos de FORNECIMENTO DE SUPORTE a serem considerados na escolha de aquisição de um software ....marque a única alternativa INCORRETA Disponibilização do código fonte aberto Relação de clientes usuários do sistema Upgrade de versão Pesquisa por palavra ou string Implementação de solicitações da empresa feitas pelo fornecedor (customização) 2. Alguns aspectos devem ser considerados ao serem considerados na escolha de um software. Os aspectos relacionados à tecnologia é um deles. Aponte dentre as opções colocadas aquela que não está correta. Criptografia dos dados; Proteção documento aberto por vários usuário; Interface com o sistema operacional da empresa; Apoiar o planejamento anual dosd projetos de auditoria; Replicação do Banco de Dados; 3. O software de auditoria consiste em programas aplicativos cujo objetivo é auxiliar o auditor em suas tarefas rotineiras, melhorando seu desempenho. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Podemos desenvolver um sistema de auditoria em casa ou comprar um sistema pronto no mercado. Para tanto devemos fazer uma avaliação de ambos os casos e escolher o que tiver menor custo PORQUE II - o custo de um software de auditoria será absorvido pela área de Auditoria e não pela área do sistema auditado. A respeito dessas asserções, assinale a opção correta. As asserções I e II são proposições falsas. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. Explicação: Desenvolver um sistema de auditoria em casa ou comprar um sistema pronto no mercado requer uma avaliação, cuja tomada de decisão, por parte da administração, tem por fim um sistema que melhor atenda suas necessidades. (e não apenas a opção de menor custo) 4. Dentre os aspectos de fornecimento de suporte a serem considerados na escolha de um software generalista de auditoria de sistemas, devemos considerar: Facilidade para pesquisa por palavra ou string Disponibilização de código de fonte aberto Integração com e-mail Valor da licença de uso Log de alterações Gabarito Comentado 5. Devemos considerar alguns aspectos ao analisarmos um software de auditoria para aquisição. Em relação a aspectos relacionados a custos devemos considerar os seguintes pontos, EXCETO Serviços de manutenção Viagens e diárias Replicação do banco de dados Serviços de treinamento Valor da licença de uso Explicação: Replicação do banco de dados => é um aspecto relacionado à tecnologia e não a custos. 6. O software de auditoria consiste em programas aplicativos cujo objetivo é auxiliar o auditor em suas tarefas rotineiras, melhorando seu desempenho. Desenvolver um sistema de auditoria em casa, ou comprar um sistema pronto no mercado, requer uma avaliação, cuja tomada de decisão, por parte da administração, tem por fim um sistema que ______________ ______________________ Assinale dentre as opções abaixo assinale aquela que completa o conceito de forma adequada. tenha uma versão em inglês; melhor atenda suas necessidades. seja desenvolvido na linguagem Java apresente o menor custo; seja totalmente online/realtime 7. Quando em fase de aquisição de softwares para a Auditoria, a coleta de dados para identificação dos produtos disponíveis no mercado pode ser feita de várias formas EXCETO perguntas técnicas e específicas encaminhadas às empresas vendedoras. visitas a fornecedores e concorrentes reuniões com gerentes da área de Tecnologia da Informação através de demonstração dos produtos pelos representantes reuniões internas de discussão Explicação: reuniões com gerentes da área de Tecnologia da Informação => Não é ético perguntar ao auditado indicações sobre softwares para auditar as suas áreas. Pode haver alguma influência em não indicar um bom produto. 8. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: ( ) Faz parte das boas práticas de seleção de software de auditoria a análise de catálogos, prospectos, folders e documentação sobre esse software disponíveis no mercado. ( ) Faz parte das boas práticas de seleção de software de auditoria realizar visita nas empresas que já possuem o software e entrevistar alguns de seus usuários. ( ) Faz parte das boas práticas de seleção de software de auditoria desconsiderar as funcionalidades desse software, caso a empresa fornecedora seja reconhecidamente idônea. ( ) Faz parte das boas práticas de seleção de software de auditoria avaliar a tecnologia empregada no software, o seu custo, assim como, a capacidade e a disponibilidade de suporte técnico. ( ) Faz parte das boas práticas de seleção de software de auditoria avaliar o seu desempenho, versatilidade e consistência. A rastreabilidade, assim como, a compatibilidade e a capacidade de automação de processos têm um peso menor na escolha e podem ser desconsideradas. · Agora assinale a alternativa correta: V,V,F,V,F V,V,F,F,V V,V,V,V,V F,F,F,V,V F,F,V,F,V F F V F F
Compartilhar