SEG_E_AUDIT_SIST_EAD_EXERCÍCIOS_3_UNIDADE_3_E_GABARITO

Prévia do material em texto

1 
 
 
UNIVERSIDADE SALGADO DE OLIVEIRA 
 
 
 
 
 
Professor Celso Cardoso Neto 
celsocn17@gmail.com 
1-1 
mailto:celsocn@oi.com.br
 
 2 
UNIDADE 3 - SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE 
I - MARQUE COM UM X A RESPOSTA CORRETA 
1. Analise as afirmativas abaixo, relacionadas à AUDITORIA. 
I - A auditoria de sistemas de informação visa verificar a conformidade não dos 
aspectos contábeis da organização, mas sim do próprio ambiente 
informatizado, garantindo a integridade dos dados manipulados pelo 
computador. 
II - A auditoria estabelece e mantém procedimentos documentados para 
planejamento e utilização dos recursos computacionais da empresa, 
verificando aspectos de segurança e qualidade. 
III - A auditoria de sistemas acontece com o estabelecimento de metodologias, 
objetivos de controle e procedimentos a serem adotados por todos aqueles que 
operam ou são responsáveis por equipamentos de TI e/ou sistemas dentro da 
organização. 
Assinale a opção de resposta correta. 
( ) Apenas a afirmativa I está correta. 
( ) Apenas a afirmativa II está correta. 
( ) Apenas a afirmativa III está correta. 
( ) Apenas as afirmativas I e III estão corretas. 
( ) Todas as afirmativas estão corretas. 
 
2. Analise as afirmativas abaixo, relacionadas ao PLANEJAMENTO e CONTROLE em 
AUDITORIA. 
I - Controle é a função administrativa que determina antecipadamente quais são 
os objetivos que devem ser atingidos e como se deve fazer para alcançá-los. 
II - O planejamento define onde se pretende chegar, o que deve ser feito, 
quando, como, e em que sequência. 
III - Objetos de controle são metas de controle a serem alcançadas ou efeitos 
negativos a serem evitados traduzidos em procedimentos de auditoria. 
 
Assinale a opção de resposta correta. 
( ) Apenas a afirmativa I está correta. 
( ) Apenas a afirmativa II está correta. 
( ) Apenas a afirmativa III está correta. 
( ) Apenas as afirmativas II e III estão corretas. 
( ) Todas as afirmativas estão corretas. 
 
 
 
 3 
3. Analise as afirmativas abaixo, relacionadas ao PLANEJAMENTO em AUDITORIA. 
I. Evitar sobrecarga de trabalho. 
II. Não ter disponível a equipe apropriada para o trabalho. 
III. Permitir a realização de um exame adequado e eficiente que facilite alcançar 
os objetivos do auditor. 
IV. Facilitar o controle sobre o desenvolvimento do trabalho e sobre o tempo 
que nele se gasta. 
V. Demora na identificação de problemas significativos que afetam o objetivo 
global do exame. 
VI. Estabelecer racionalmente a extensão dos diversos procedimentos de 
auditoria. 
VII. Omitir a eliminação de procedimentos desnecessários de auditoria em 
função dos objetivos globais 
VIII. Esquecimento de áreas importantes de análise ou reconhecimento em 
ocasião em que não seja mais possível ou econômica a sua verificação. 
 
Constituem objetivos do planejamento do trabalho de auditoria as afirmativas de 
números: 
( ) I, III, IV e VI ( ) I, II, V e VII ( ) I, III, VI e VIII 
( ) II, III, V e VII ( ) II, IV, VI e VIII 
 
4. Em AUDITORIA, o planejamento organizacional e todos os métodos e 
procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus ativos, 
verificar a adequação e o suporte dos dados contábeis, promover a eficiência 
operacional e encorajar a aderência às políticas definidas pela direção, com o 
objetivo de evitar fraudes, erros, ineficiências e crises nas empresas define o 
conceito de 
( ) Controle interno ( ) Tática integralizada 
( ) Diretriz operacional ( ) Gerência globalizada 
( ) Estratégia organizacional 
 
5. No que diz respeito ao Controle em Auditoria, observe os fragmentos abaixo. 
(I) ___________________ – quando salvaguarda os ativos da empresa e promove 
o bom desenvolvimento dos negócios, protegendo as empresas e as pessoas 
que nela trabalham; 
(II) ___________________ – quando apropriado ao tamanho da empresa e ao 
porte das operações, objetividade ao que controlar e simples na sua aplicação; 
(III) ___________________ – quando o benefício de o manter é maior que o seu 
custo (custo/benefício). 
 
Os termos que completam as lacunas do fragmento acima são, respectivamente: 
( ) Úteis, Práticos e Econômicos ( ) Úteis, Econômicos e Práticos 
( ) Econômicos, Úteis e Práticos 
( ) Práticos, Úteis e Econômicos ( ) Práticos, Econômicos e Úteis 
 
 
 
 4 
6. Observe os fragmentos a seguir. No que diz respeito às Funções dos 
Gerentes/Administradores está a de estabelecer objetivos/metas e a sistemática 
prevê: 
(I) ___________________ – que é a determinação, o claro possível, de como 
iremos agir para viabilizar a consecução daqueles objetivos/metas. É, portanto, 
estabelecer as diretrizes, estratégias e políticas que nortearão o desempenho 
de todos na empresa, responsáveis pelo atingimento dos objetivos/metas. 
(II) ___________________ – a colocação, a disposição dos recursos, conforme 
previstos no planejamento, para que se possa agir e cumprir com os objetivos-
metas. Organizar é colocar o recurso certo, no lugar e no momento certo, 
sempre como determinado pelo planejamento. É deixar bem claro quem faz o 
que, por que, onde, quando e como. 
(III) ___________________ – sem ação nada realiza. Assim, esse é o meio de nos 
assegurarmos de que cada um cumprirá com o quanto lhe tenha sido 
designado. É fazer cumprir ordens dadas. 
(IV) ___________________ – é o aspecto mais humano do conjunto de funções. É 
saber orientar, ensinar, avaliar, premiar e, quando necessário, punir. É a 
harmonização do trabalho das pessoas, uma forma de transformar um grupo 
em uma equipe. Um grupo de trabalho se transforma em equipe quando o líder 
possuir for capaz de exercer adequada coordenação. 
(V) ___________________ – é a verificação do andamento dos trabalhos e das 
realizações, comparado com aquilo que tínhamos em vista (nossos objetivos, 
metas, orçamentos, etc.) e, quando detectado que algo se comporta de modo 
inadequado ao que pretendemos e /ou que os resultados menos favoráveis 
estão sendo alcançados, tomar as necessárias medidas de correção de rumo, 
atual e futuro. Essa ação normalmente é realizada mediante a avaliação, 
comparação de números (quantidades, valores, percentagens, etc.). 
 
Os termos que completam as lacunas do fragmento acima são, respectivamente: 
( ) Planejar, Organizar, Comandar, Coordenar e Controlar 
( ) Organizar, Comandar, Coordenar, Controlar e Planejar 
( ) Comandar, Coordenar, Controlar, Planejar e Organizar 
( ) Coordenar, Controlar, Planejar, Organizar e Comandar 
( ) Controlar, Planejar, Organizar, Comandar e Coordenar 
 
7. Com relação às equipes de auditoria, estas deverão ser constituídas de acordo com 
as características, objetivos e prazos de cada trabalho e ênfase especial deve ser 
dirigida para diversos aspectos. Assinale V para a afirmativa verdadeira e F para a 
falsa. 
( ) Devem ser aproveitados o conhecimento e experiência dos membros da equipe 
com relação à empresa e a área a ser auditada; 
( ) Deve haver rotação na formação das equipes de trabalho de modo a dar aos 
elementos da Auditoria Interna a oportunidade de desenvolvimento nas 
diversas áreas ou Unidades da empresa; 
( ) O número de elementos da equipe deve ser fixo em número de 10(dez) 
auditores, independente do volume de trabalho a ser realizado. 
( ) A escolha das equipes de trabalho independe do Coordenador da área de 
auditoria interna. 
 
As afirmativas são, respectivamente, 
( ) V, V, F e F ( ) V, F, F e F ( ) F, V, V e V 
( ) V, F, V e F ( ) V, F, F e V 
 
 
 5 
8. Relacione as fases da metodologia de auditoria em sistemas de informação com 
as respectivas descrições. 
a) FASES: 
(I) PLANEJAMENTO E CONTROLE DO PROJETO DE AUDITORIA DE 
SISTEMAS DE INFORMAÇÃO 
(II) LEVANTAMENTO DO SISTEMA DE INFORMAÇÃO A SER AUDITADO 
(III) IDENTIFICAÇÃOE INVENTÁRIO DOS PONTOS DE CONTROLE 
(IV) PRIORIZAÇÃO E SELEÇÃO DOS PONTOS DE CONTROLE DO 
SISTEMA AUDITADO 
(V) AVALIAÇÃO DOS PONTOS DE CONTROLE 
(VI) CONCLUSÃO DA AUDITORIA 
(VII) ACOMPANHAMENTO DA AUDITORIA 
 
b) DESCRIÇÕES: 
( ) Nesta etapa, busca-se identificar os diversos pontos de controle que 
merecem ser validados no contexto do sistema escolhido. 
( ) Nesta etapa, o follow-up deve ser efetuado até que todas as 
recomendações tenham sido executadas e as fraquezas tenham sido 
eliminadas ou atinjam um nível tolerável pela organização. 
( ) Nesta etapa, inicia-se o processo com a coleta das informações 
relevantes sobre o sistema, uma vez que o escopo de trabalho foi 
delimitado. 
( ) Nesta etapa, iniciam-se os trabalhos com o planejamento initial das 
ações e recursos necessários para a execução da auditoria. 
( ) Nesta etapa, ao finalizar a execução dos testes de validação dos pontos 
de controle, deve-se elaborar um relatório de auditoria contendo o 
resultado encontrado, qualquer que seja ele. 
( ) Nesta etapa, busca-se a seleção e priorização dos pontos de controle 
que foram inventariados na etapa anterior, que devem fazer parte do 
trabalho a ser realizado. 
( ) Nesta etapa, os testes de validação dos pontos de controle são 
executados, segundo as especificações e parâmetros determinados nas 
etapas anteriores. É a auditoria propriamente dita! 
 
Assinale a alternativa que mostra a sequência correta, de cima para baixo. 
( ) I, VI, IV, V, III, VII e II ( ) II, I, VI, IV, V, III e VII 
( ) III, VII, II, I, VI, IV e V ( ) IV, V, III, VII, II, I e VI 
( ) V, III, VII, II, I, VI e IV 
 
9. Uma das fases da Metodologia de Auditoria em Sistemas de Informação pode ser 
considerada a AUDITORIA propriamente dita! Nessa fase, os testes de validação 
dos pontos de controle são executados, segundo as especificações e parâmetros 
determinados nas etapas anteriores. Essa fase é denominada 
( ) PLANEJAMENTO E CONTROLE DO PROJETO DE AUDITORIA DE SISTEMAS 
DE INFORMAÇÃO 
( ) PRIORIZAÇÃO E SELEÇÃO DOS PONTOS DE CONTROLE DO SISTEMA 
AUDITADO 
( ) LEVANTAMENTO DO SISTEMA DE INFORMAÇÃO A SER AUDITADO 
( ) IDENTIFICAÇÃO E INVENTÁRIO DOS PONTOS DE CONTROLE 
( ) AVALIAÇÃO DOS PONTOS DE CONTROLE 
 
 
 
 6 
10. Ferramentas generalistas de Auditoria de Tecnologia da Informação são 
softwares de uso em ambiente batch, que podem processar, simular, analisar 
amostras, gerar dados estatísticos, sumarizar, apontar duplicidade e outras 
funções que o auditor desejar. Relacione os softwares com suas descrições. 
a) SOFTWARES: 
(I) ACL (Audit Command Language) 
(II) Audimation 
(III) Galileo 
(IV) Pentana 
 
b) DESCRIÇÕES: 
( ) Versão americana do IDEA, feita pela Caseware. 
( ) Software para extração e análise de dados desenvolvido no Canadá. 
( ) Software de planejamento estratégico de auditoria, com planejamento e 
monitoramento de recursos, controle de horas, registro de check-Iists e 
programas de auditoria, inclusive de desenho e gerenciamento de plano 
de ação. 
( ) Software integrado de gestão de auditoria. Inclui gestão de risco de 
auditoria, documentação e emissão de relatórios para auditoria interna. 
 
Assinale a alternativa que mostra a sequência correta, de cima para baixo. 
( ) I, IV, III e II ( ) I, III, II e IV ( ) I, II, IV e III 
( ) II, I, IV e III ( ) II, III, I e IV 
 
II – QUESTÕES DISCURSIVAS 
11. As Normas de Auditoria estabelecem que o sistema de controle interno de uma 
empresa se decompõe em dois grupos de controle. 
a) Quais são? 
b) O que compreendem cada um deles? 
c) Exemplifique cada um deles. 
Resposta: 
 
12. As TÉCNICAS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO representam 
também metodologias. Sobre este tema, descreva as seguintes técnicas: 
a) DADOS DE TESTE 
b) FACILIDADE DE TESTE INTEGRADO (ITF) 
c) SIMULAÇÃO PARALELA 
d) LÓGICA DE AUDITORIA EMBUTIDA NOS SISTEMAS 
e) RASTREAMENTO E MAPEAMENTO 
f) ANÁLISE DA LÓGICA DE PROGRAMAÇÃO 
Resposta: 
 
 
 
 7 
GABARITO 
 
1. Todas as afirmativas estão corretas. 
2. Apenas as afirmativas II e III estão corretas. 
3. I, III, IV e VI 
4. Controle interno 
5. Úteis, Práticos e Econômicos 
6. Planejar, Organizar, Comandar, Coordenar e Controlar 
7. V, V, F e F 
8. III, VII, II, I, VI, IV e V 
9. AVALIAÇÃO DOS PONTOS DE CONTROLE 
10. II, I, IV e III 
 
II – QUESTÕES DISCURSIVAS 
11. As Normas de Auditoria estabelecem que o sistema de controle interno de uma 
empresa se decompõe em dois grupos de controle. 
a) Quais são? 
b) O que compreendem cada um deles? 
c) Exemplifique cada um deles. 
Resposta: 
a) Quais são? 
• os de natureza contábil e 
• os de natureza administrativa 
b) O que compreendem cada um deles? 
(1) Os controles contábeis compreendem o plano de organização e todos os 
sistemas, métodos e procedimentos relativos a: 
✓ salvaguarda dos bens, direitos e obrigações; 
✓ fidedignidade dos registros financeiros. 
(2) Os controles administrativos compreendem o plano de organização, os 
sistemas, métodos e procedimentos pela direção com a finalidade de contribuir 
para: 
✓ eficiência e eficácia operacional; 
✓ obediência a diretrizes, políticas, normas e instruções da administração. 
c) Exemplifique cada um deles. 
✓ São exemplos de controles contábeis: 
• sistema de autorização e aprovação de transações; 
• princípios de segregação de tarefas; 
• controles físicos sobre os bens e informações; 
• custódia de bens e direitos. 
✓ São exemplos de controles administrativos: 
• programas de treinamento e desenvolvimento de pessoal; 
• métodos de programação e controle de atividades; 
• sistemas de avaliação e desempenho; 
• estudos de tempos e movimentos. 
 
12. As TÉCNICAS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO representam 
também metodologias. Sobre este tema, descreva as seguintes técnicas: 
a) DADOS DE TESTE 
b) FACILIDADE DE TESTE INTEGRADO (ITF) 
c) SIMULAÇÃO PARALELA 
d) LÓGICA DE AUDITORIA EMBUTIDA NOS SISTEMAS 
e) RASTREAMENTO E MAPEAMENTO 
f) ANÁLISE DA LÓGICA DE PROGRAMAÇÃO 
 
 8 
Resposta: 
a) DADOS DE TESTE 
Também conhecido por "test data" ou "testdeck", envolve o uso de um conjunto de 
dados especialmente projetados e preparados com o objetivo de testar as 
funcionalidades de entrada de dados do sistema. 
Após o processamento do arquivo deve-se verificar os resultados obtidos com os 
planejados. 
Esta técnica pressupõe que os dados sejam abrangentes e verifiquem 
principalmente os limites de cada intervalo permitido para as variáveis. 
Quanto mais combinações de transações puderem ser feitas no arquivo de carga, 
maior será a cobertura do teste. 
Normalmente aplicada no ambiente batch. 
Vantagens: 
• os dados podem ser elaborados por pessoas que possuem um mínimo 
conhecimento técnico de informática. 
• Existem softwares que auxiliam na geração de dados e tornam a tarefa 
bastante simples. 
Desvantagem: 
• dificuldade em planejar e antecipar todas as combinações de transações que 
possam acontecer em ambiente de negócios das empresas. 
 
b) FACILIDADE DE TESTE INTEGRADO 
Também conhecida por Integrated Test Facility (ITF), é melhor aplicada em 
ambientes online e real time. 
Os dados de testes são introduzidos nos ambientes reais de processamento 
utilizando-se versões correntes da produção. 
O teste envolve a aplicação de entidades fictícias, tais como funcionários fantasmas 
na folha de pagamento ou cliente inexistente nas contas a receber. 
Os dados no processamento de transações reais são confrontados com os dados 
fictícios e os resultados, comparados com os predeterminados. 
Esta facilidade evita que se atualizem as bases reais da organização com os dados 
fictícios, criando-se arquivos de resultados em separado. 
Este procedimento é utilizado em ambiente de produção normal sem a anuência 
dos operadores ou do gerente de produção. 
Vantagem: 
• não acarreta custoadicional ou ambiente de processamento exclusivo, pois 
funciona no ambiente de produção das empresas. 
Desvantagens: 
• os efeitos das transações precisam ser estornados, dando trabalhos 
adicionais e operacionais quando são misturados com dados reais. 
• A quantidade e número de dados fictícios incluídos no ambiente de produção 
devem ser limitados, a fim de não comprometer o desempenho do sistema 
em produção. 
• Existe possibilidade de se contaminar dados reais com dados fictícios no 
ambiente de produção da empresa, causando grande transtorno para a 
organização. 
 
c) SIMULAÇÃO PARALELA 
Envolve o uso de um programa especialmente desenvolvido que, 
comprovadamente, atenda a todas as lógicas necessárias para o teste, simulando as 
funcionalidades do programa em produção. 
Faz-se o processamento das transações e/ou dados nos dois programas e 
compara-se os resultados. 
É possível utilizar a técnica para rotinas que apresentam resultados recorrentes que 
são incoerentes. 
 
 9 
Neste processo, o auditor desenvolve o próprio programa para fazer execução 
paralela de dados atuais. 
Vantagens: 
• os testes podem ser feitos in loco; 
• os custos relacionados com a preparação de massa de dados ou dados 
fictícios que tomam tempo nas técnicas anteriores não existem, visto que o 
programa opera em ambiente real; 
• pode-se processar um grande volume de dados dos auditados, eliminando 
dúvidas que amostras pequenas e não abrangentes possam apresentar; 
• teste mais detalhado e mais representativo, dando maior segurança para o 
auditor. 
 Desvantagens: 
• usualmente, executa-se simulação paralela com uma porção do total das 
transações de uma aplicação, não dando chance para um julgamento 
representativo; 
• o auditor necessitaria de uma habilidade específica para executar uma 
operação paralela, atentando para prever um impacto negativo sobre 
operações, que não é desejado. 
d) LÓGICA DE AUDITORIA EMBUTIDA NOS SISTEMAS 
Significa incluir a lógica de auditoria nos sistemas na fase de desenvolvimento. 
Relatórios de auditoria e logs do sistema podem ser impressos periodicamente para 
revisão e acompanhamento dos procedimentos operacionais. 
Vantagens: 
• todas as atividades do sistema podem ser monitoradas permanentemente 
com simples acesso do auditor; 
• não apresenta restrições quanto à entrada de dados que podem ser 
incluídos; 
• representa um dos métodos mais eficientes e eficazes de fazer auditoria. 
Desvantagem: 
• implantação da lógica de auditoria embutida nos sistemas exige custo 
adicional no desenvolvimento do sistema, na utilização dos recursos de 
máquinas e, até mesmo, perda de desempenho. 
 
e) RASTREAMENTO E MAPEAMENTO 
Também conhecida por accountability, consiste em criar e implementar uma trilha 
de auditoria para acompanhar os principais pontos da lógica do processamento das 
transações críticas, registrando seu comportamento e resultados para análise futura. 
As trilhas de auditoria são rotinas de controle que permitem recuperar de forma 
inversa as informações processadas, por meio da reconstituição da composição das 
mesmas, devidamente demonstradas, tanto de forma sintética quanto analítica, se for 
necessário. 
Vantagens: 
• ajuda na avaliação dos controles internos que devem ser seguidos; 
• permite criar alertas quanto à aplicação de controles operacionais e seus 
cumprimentos; 
• pode ser utilizado tanto em ambiente de teste como no ambiente de 
produção. 
Desvantagens: 
• exige que o auditor tenha habilidade avançada de tecnologia de informação 
para que possa interpretar as lógicas de programação; 
• aumenta o tempo de processamento de transações. 
 
f) ANÁLISE DA LÓGICA DE PROGRAMAÇÃO 
 
 10 
Consiste, basicamente, na verificação da lógica de programação para certificar que 
as instruções dadas ao computador são as mesmas já identificadas nas documentações 
dos sistemas aplicativos. 
Essa técnica pode ser feita manualmente nos principais programas do sistema ou 
nos mais críticos para o negócio, ou pode ser suportada por ferramentas automatizadas.