Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 UNIVERSIDADE SALGADO DE OLIVEIRA Professor Celso Cardoso Neto celsocn17@gmail.com 1-1 mailto:celsocn@oi.com.br 2 UNIDADE 3 - SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE I - MARQUE COM UM X A RESPOSTA CORRETA 1. Analise as afirmativas abaixo, relacionadas à AUDITORIA. I - A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos contábeis da organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos dados manipulados pelo computador. II - A auditoria estabelece e mantém procedimentos documentados para planejamento e utilização dos recursos computacionais da empresa, verificando aspectos de segurança e qualidade. III - A auditoria de sistemas acontece com o estabelecimento de metodologias, objetivos de controle e procedimentos a serem adotados por todos aqueles que operam ou são responsáveis por equipamentos de TI e/ou sistemas dentro da organização. Assinale a opção de resposta correta. ( ) Apenas a afirmativa I está correta. ( ) Apenas a afirmativa II está correta. ( ) Apenas a afirmativa III está correta. ( ) Apenas as afirmativas I e III estão corretas. ( ) Todas as afirmativas estão corretas. 2. Analise as afirmativas abaixo, relacionadas ao PLANEJAMENTO e CONTROLE em AUDITORIA. I - Controle é a função administrativa que determina antecipadamente quais são os objetivos que devem ser atingidos e como se deve fazer para alcançá-los. II - O planejamento define onde se pretende chegar, o que deve ser feito, quando, como, e em que sequência. III - Objetos de controle são metas de controle a serem alcançadas ou efeitos negativos a serem evitados traduzidos em procedimentos de auditoria. Assinale a opção de resposta correta. ( ) Apenas a afirmativa I está correta. ( ) Apenas a afirmativa II está correta. ( ) Apenas a afirmativa III está correta. ( ) Apenas as afirmativas II e III estão corretas. ( ) Todas as afirmativas estão corretas. 3 3. Analise as afirmativas abaixo, relacionadas ao PLANEJAMENTO em AUDITORIA. I. Evitar sobrecarga de trabalho. II. Não ter disponível a equipe apropriada para o trabalho. III. Permitir a realização de um exame adequado e eficiente que facilite alcançar os objetivos do auditor. IV. Facilitar o controle sobre o desenvolvimento do trabalho e sobre o tempo que nele se gasta. V. Demora na identificação de problemas significativos que afetam o objetivo global do exame. VI. Estabelecer racionalmente a extensão dos diversos procedimentos de auditoria. VII. Omitir a eliminação de procedimentos desnecessários de auditoria em função dos objetivos globais VIII. Esquecimento de áreas importantes de análise ou reconhecimento em ocasião em que não seja mais possível ou econômica a sua verificação. Constituem objetivos do planejamento do trabalho de auditoria as afirmativas de números: ( ) I, III, IV e VI ( ) I, II, V e VII ( ) I, III, VI e VIII ( ) II, III, V e VII ( ) II, IV, VI e VIII 4. Em AUDITORIA, o planejamento organizacional e todos os métodos e procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus ativos, verificar a adequação e o suporte dos dados contábeis, promover a eficiência operacional e encorajar a aderência às políticas definidas pela direção, com o objetivo de evitar fraudes, erros, ineficiências e crises nas empresas define o conceito de ( ) Controle interno ( ) Tática integralizada ( ) Diretriz operacional ( ) Gerência globalizada ( ) Estratégia organizacional 5. No que diz respeito ao Controle em Auditoria, observe os fragmentos abaixo. (I) ___________________ – quando salvaguarda os ativos da empresa e promove o bom desenvolvimento dos negócios, protegendo as empresas e as pessoas que nela trabalham; (II) ___________________ – quando apropriado ao tamanho da empresa e ao porte das operações, objetividade ao que controlar e simples na sua aplicação; (III) ___________________ – quando o benefício de o manter é maior que o seu custo (custo/benefício). Os termos que completam as lacunas do fragmento acima são, respectivamente: ( ) Úteis, Práticos e Econômicos ( ) Úteis, Econômicos e Práticos ( ) Econômicos, Úteis e Práticos ( ) Práticos, Úteis e Econômicos ( ) Práticos, Econômicos e Úteis 4 6. Observe os fragmentos a seguir. No que diz respeito às Funções dos Gerentes/Administradores está a de estabelecer objetivos/metas e a sistemática prevê: (I) ___________________ – que é a determinação, o claro possível, de como iremos agir para viabilizar a consecução daqueles objetivos/metas. É, portanto, estabelecer as diretrizes, estratégias e políticas que nortearão o desempenho de todos na empresa, responsáveis pelo atingimento dos objetivos/metas. (II) ___________________ – a colocação, a disposição dos recursos, conforme previstos no planejamento, para que se possa agir e cumprir com os objetivos- metas. Organizar é colocar o recurso certo, no lugar e no momento certo, sempre como determinado pelo planejamento. É deixar bem claro quem faz o que, por que, onde, quando e como. (III) ___________________ – sem ação nada realiza. Assim, esse é o meio de nos assegurarmos de que cada um cumprirá com o quanto lhe tenha sido designado. É fazer cumprir ordens dadas. (IV) ___________________ – é o aspecto mais humano do conjunto de funções. É saber orientar, ensinar, avaliar, premiar e, quando necessário, punir. É a harmonização do trabalho das pessoas, uma forma de transformar um grupo em uma equipe. Um grupo de trabalho se transforma em equipe quando o líder possuir for capaz de exercer adequada coordenação. (V) ___________________ – é a verificação do andamento dos trabalhos e das realizações, comparado com aquilo que tínhamos em vista (nossos objetivos, metas, orçamentos, etc.) e, quando detectado que algo se comporta de modo inadequado ao que pretendemos e /ou que os resultados menos favoráveis estão sendo alcançados, tomar as necessárias medidas de correção de rumo, atual e futuro. Essa ação normalmente é realizada mediante a avaliação, comparação de números (quantidades, valores, percentagens, etc.). Os termos que completam as lacunas do fragmento acima são, respectivamente: ( ) Planejar, Organizar, Comandar, Coordenar e Controlar ( ) Organizar, Comandar, Coordenar, Controlar e Planejar ( ) Comandar, Coordenar, Controlar, Planejar e Organizar ( ) Coordenar, Controlar, Planejar, Organizar e Comandar ( ) Controlar, Planejar, Organizar, Comandar e Coordenar 7. Com relação às equipes de auditoria, estas deverão ser constituídas de acordo com as características, objetivos e prazos de cada trabalho e ênfase especial deve ser dirigida para diversos aspectos. Assinale V para a afirmativa verdadeira e F para a falsa. ( ) Devem ser aproveitados o conhecimento e experiência dos membros da equipe com relação à empresa e a área a ser auditada; ( ) Deve haver rotação na formação das equipes de trabalho de modo a dar aos elementos da Auditoria Interna a oportunidade de desenvolvimento nas diversas áreas ou Unidades da empresa; ( ) O número de elementos da equipe deve ser fixo em número de 10(dez) auditores, independente do volume de trabalho a ser realizado. ( ) A escolha das equipes de trabalho independe do Coordenador da área de auditoria interna. As afirmativas são, respectivamente, ( ) V, V, F e F ( ) V, F, F e F ( ) F, V, V e V ( ) V, F, V e F ( ) V, F, F e V 5 8. Relacione as fases da metodologia de auditoria em sistemas de informação com as respectivas descrições. a) FASES: (I) PLANEJAMENTO E CONTROLE DO PROJETO DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO (II) LEVANTAMENTO DO SISTEMA DE INFORMAÇÃO A SER AUDITADO (III) IDENTIFICAÇÃOE INVENTÁRIO DOS PONTOS DE CONTROLE (IV) PRIORIZAÇÃO E SELEÇÃO DOS PONTOS DE CONTROLE DO SISTEMA AUDITADO (V) AVALIAÇÃO DOS PONTOS DE CONTROLE (VI) CONCLUSÃO DA AUDITORIA (VII) ACOMPANHAMENTO DA AUDITORIA b) DESCRIÇÕES: ( ) Nesta etapa, busca-se identificar os diversos pontos de controle que merecem ser validados no contexto do sistema escolhido. ( ) Nesta etapa, o follow-up deve ser efetuado até que todas as recomendações tenham sido executadas e as fraquezas tenham sido eliminadas ou atinjam um nível tolerável pela organização. ( ) Nesta etapa, inicia-se o processo com a coleta das informações relevantes sobre o sistema, uma vez que o escopo de trabalho foi delimitado. ( ) Nesta etapa, iniciam-se os trabalhos com o planejamento initial das ações e recursos necessários para a execução da auditoria. ( ) Nesta etapa, ao finalizar a execução dos testes de validação dos pontos de controle, deve-se elaborar um relatório de auditoria contendo o resultado encontrado, qualquer que seja ele. ( ) Nesta etapa, busca-se a seleção e priorização dos pontos de controle que foram inventariados na etapa anterior, que devem fazer parte do trabalho a ser realizado. ( ) Nesta etapa, os testes de validação dos pontos de controle são executados, segundo as especificações e parâmetros determinados nas etapas anteriores. É a auditoria propriamente dita! Assinale a alternativa que mostra a sequência correta, de cima para baixo. ( ) I, VI, IV, V, III, VII e II ( ) II, I, VI, IV, V, III e VII ( ) III, VII, II, I, VI, IV e V ( ) IV, V, III, VII, II, I e VI ( ) V, III, VII, II, I, VI e IV 9. Uma das fases da Metodologia de Auditoria em Sistemas de Informação pode ser considerada a AUDITORIA propriamente dita! Nessa fase, os testes de validação dos pontos de controle são executados, segundo as especificações e parâmetros determinados nas etapas anteriores. Essa fase é denominada ( ) PLANEJAMENTO E CONTROLE DO PROJETO DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO ( ) PRIORIZAÇÃO E SELEÇÃO DOS PONTOS DE CONTROLE DO SISTEMA AUDITADO ( ) LEVANTAMENTO DO SISTEMA DE INFORMAÇÃO A SER AUDITADO ( ) IDENTIFICAÇÃO E INVENTÁRIO DOS PONTOS DE CONTROLE ( ) AVALIAÇÃO DOS PONTOS DE CONTROLE 6 10. Ferramentas generalistas de Auditoria de Tecnologia da Informação são softwares de uso em ambiente batch, que podem processar, simular, analisar amostras, gerar dados estatísticos, sumarizar, apontar duplicidade e outras funções que o auditor desejar. Relacione os softwares com suas descrições. a) SOFTWARES: (I) ACL (Audit Command Language) (II) Audimation (III) Galileo (IV) Pentana b) DESCRIÇÕES: ( ) Versão americana do IDEA, feita pela Caseware. ( ) Software para extração e análise de dados desenvolvido no Canadá. ( ) Software de planejamento estratégico de auditoria, com planejamento e monitoramento de recursos, controle de horas, registro de check-Iists e programas de auditoria, inclusive de desenho e gerenciamento de plano de ação. ( ) Software integrado de gestão de auditoria. Inclui gestão de risco de auditoria, documentação e emissão de relatórios para auditoria interna. Assinale a alternativa que mostra a sequência correta, de cima para baixo. ( ) I, IV, III e II ( ) I, III, II e IV ( ) I, II, IV e III ( ) II, I, IV e III ( ) II, III, I e IV II – QUESTÕES DISCURSIVAS 11. As Normas de Auditoria estabelecem que o sistema de controle interno de uma empresa se decompõe em dois grupos de controle. a) Quais são? b) O que compreendem cada um deles? c) Exemplifique cada um deles. Resposta: 12. As TÉCNICAS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO representam também metodologias. Sobre este tema, descreva as seguintes técnicas: a) DADOS DE TESTE b) FACILIDADE DE TESTE INTEGRADO (ITF) c) SIMULAÇÃO PARALELA d) LÓGICA DE AUDITORIA EMBUTIDA NOS SISTEMAS e) RASTREAMENTO E MAPEAMENTO f) ANÁLISE DA LÓGICA DE PROGRAMAÇÃO Resposta: 7 GABARITO 1. Todas as afirmativas estão corretas. 2. Apenas as afirmativas II e III estão corretas. 3. I, III, IV e VI 4. Controle interno 5. Úteis, Práticos e Econômicos 6. Planejar, Organizar, Comandar, Coordenar e Controlar 7. V, V, F e F 8. III, VII, II, I, VI, IV e V 9. AVALIAÇÃO DOS PONTOS DE CONTROLE 10. II, I, IV e III II – QUESTÕES DISCURSIVAS 11. As Normas de Auditoria estabelecem que o sistema de controle interno de uma empresa se decompõe em dois grupos de controle. a) Quais são? b) O que compreendem cada um deles? c) Exemplifique cada um deles. Resposta: a) Quais são? • os de natureza contábil e • os de natureza administrativa b) O que compreendem cada um deles? (1) Os controles contábeis compreendem o plano de organização e todos os sistemas, métodos e procedimentos relativos a: ✓ salvaguarda dos bens, direitos e obrigações; ✓ fidedignidade dos registros financeiros. (2) Os controles administrativos compreendem o plano de organização, os sistemas, métodos e procedimentos pela direção com a finalidade de contribuir para: ✓ eficiência e eficácia operacional; ✓ obediência a diretrizes, políticas, normas e instruções da administração. c) Exemplifique cada um deles. ✓ São exemplos de controles contábeis: • sistema de autorização e aprovação de transações; • princípios de segregação de tarefas; • controles físicos sobre os bens e informações; • custódia de bens e direitos. ✓ São exemplos de controles administrativos: • programas de treinamento e desenvolvimento de pessoal; • métodos de programação e controle de atividades; • sistemas de avaliação e desempenho; • estudos de tempos e movimentos. 12. As TÉCNICAS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO representam também metodologias. Sobre este tema, descreva as seguintes técnicas: a) DADOS DE TESTE b) FACILIDADE DE TESTE INTEGRADO (ITF) c) SIMULAÇÃO PARALELA d) LÓGICA DE AUDITORIA EMBUTIDA NOS SISTEMAS e) RASTREAMENTO E MAPEAMENTO f) ANÁLISE DA LÓGICA DE PROGRAMAÇÃO 8 Resposta: a) DADOS DE TESTE Também conhecido por "test data" ou "testdeck", envolve o uso de um conjunto de dados especialmente projetados e preparados com o objetivo de testar as funcionalidades de entrada de dados do sistema. Após o processamento do arquivo deve-se verificar os resultados obtidos com os planejados. Esta técnica pressupõe que os dados sejam abrangentes e verifiquem principalmente os limites de cada intervalo permitido para as variáveis. Quanto mais combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste. Normalmente aplicada no ambiente batch. Vantagens: • os dados podem ser elaborados por pessoas que possuem um mínimo conhecimento técnico de informática. • Existem softwares que auxiliam na geração de dados e tornam a tarefa bastante simples. Desvantagem: • dificuldade em planejar e antecipar todas as combinações de transações que possam acontecer em ambiente de negócios das empresas. b) FACILIDADE DE TESTE INTEGRADO Também conhecida por Integrated Test Facility (ITF), é melhor aplicada em ambientes online e real time. Os dados de testes são introduzidos nos ambientes reais de processamento utilizando-se versões correntes da produção. O teste envolve a aplicação de entidades fictícias, tais como funcionários fantasmas na folha de pagamento ou cliente inexistente nas contas a receber. Os dados no processamento de transações reais são confrontados com os dados fictícios e os resultados, comparados com os predeterminados. Esta facilidade evita que se atualizem as bases reais da organização com os dados fictícios, criando-se arquivos de resultados em separado. Este procedimento é utilizado em ambiente de produção normal sem a anuência dos operadores ou do gerente de produção. Vantagem: • não acarreta custoadicional ou ambiente de processamento exclusivo, pois funciona no ambiente de produção das empresas. Desvantagens: • os efeitos das transações precisam ser estornados, dando trabalhos adicionais e operacionais quando são misturados com dados reais. • A quantidade e número de dados fictícios incluídos no ambiente de produção devem ser limitados, a fim de não comprometer o desempenho do sistema em produção. • Existe possibilidade de se contaminar dados reais com dados fictícios no ambiente de produção da empresa, causando grande transtorno para a organização. c) SIMULAÇÃO PARALELA Envolve o uso de um programa especialmente desenvolvido que, comprovadamente, atenda a todas as lógicas necessárias para o teste, simulando as funcionalidades do programa em produção. Faz-se o processamento das transações e/ou dados nos dois programas e compara-se os resultados. É possível utilizar a técnica para rotinas que apresentam resultados recorrentes que são incoerentes. 9 Neste processo, o auditor desenvolve o próprio programa para fazer execução paralela de dados atuais. Vantagens: • os testes podem ser feitos in loco; • os custos relacionados com a preparação de massa de dados ou dados fictícios que tomam tempo nas técnicas anteriores não existem, visto que o programa opera em ambiente real; • pode-se processar um grande volume de dados dos auditados, eliminando dúvidas que amostras pequenas e não abrangentes possam apresentar; • teste mais detalhado e mais representativo, dando maior segurança para o auditor. Desvantagens: • usualmente, executa-se simulação paralela com uma porção do total das transações de uma aplicação, não dando chance para um julgamento representativo; • o auditor necessitaria de uma habilidade específica para executar uma operação paralela, atentando para prever um impacto negativo sobre operações, que não é desejado. d) LÓGICA DE AUDITORIA EMBUTIDA NOS SISTEMAS Significa incluir a lógica de auditoria nos sistemas na fase de desenvolvimento. Relatórios de auditoria e logs do sistema podem ser impressos periodicamente para revisão e acompanhamento dos procedimentos operacionais. Vantagens: • todas as atividades do sistema podem ser monitoradas permanentemente com simples acesso do auditor; • não apresenta restrições quanto à entrada de dados que podem ser incluídos; • representa um dos métodos mais eficientes e eficazes de fazer auditoria. Desvantagem: • implantação da lógica de auditoria embutida nos sistemas exige custo adicional no desenvolvimento do sistema, na utilização dos recursos de máquinas e, até mesmo, perda de desempenho. e) RASTREAMENTO E MAPEAMENTO Também conhecida por accountability, consiste em criar e implementar uma trilha de auditoria para acompanhar os principais pontos da lógica do processamento das transações críticas, registrando seu comportamento e resultados para análise futura. As trilhas de auditoria são rotinas de controle que permitem recuperar de forma inversa as informações processadas, por meio da reconstituição da composição das mesmas, devidamente demonstradas, tanto de forma sintética quanto analítica, se for necessário. Vantagens: • ajuda na avaliação dos controles internos que devem ser seguidos; • permite criar alertas quanto à aplicação de controles operacionais e seus cumprimentos; • pode ser utilizado tanto em ambiente de teste como no ambiente de produção. Desvantagens: • exige que o auditor tenha habilidade avançada de tecnologia de informação para que possa interpretar as lógicas de programação; • aumenta o tempo de processamento de transações. f) ANÁLISE DA LÓGICA DE PROGRAMAÇÃO 10 Consiste, basicamente, na verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas aplicativos. Essa técnica pode ser feita manualmente nos principais programas do sistema ou nos mais críticos para o negócio, ou pode ser suportada por ferramentas automatizadas.
Compartilhar