AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) - QUESTIONÁRIO UNIDADE I

Prévia do material em texto

AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) - QUESTIONÁRIO UNIDADE I 
 
 Pergunta 1 
0,25 em 0,25 pontos 
 
Marque a alternativa que representa uma vulnerabilidade ligada ao serviço de confidencialidade. 
Resposta 
Selecionada: 
b. Uma escuta telefônica ilegal nos telefones de um ministério. 
Respostas: a. Um sistema que contém um bug que trava algumas funcionalidades de um sistema de 
gestão quando chega o primeiro dia do mês. 
 b. Uma escuta telefônica ilegal nos telefones de um ministério. 
 c. A geração de registros (logs) em um sistema depois de uma pane. 
 d. Um controle de segurança voltado para garantir que uma comunicação ocorra com alto 
desempenho. 
 e. Uma máquina sem antivírus. 
Comentário da resposta: Resposta: B 
Comentário: Conversas confidenciais podem ser gravadas. 
 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
Sérgio desenvolveu um sistema que controla a entrada e saída de produtos da expedição. À medida que o sistema 
passou a ser utilizado, os usuários começaram a perceber que algumas entradas estavam erradas. Uma auditoria 
constatou que quando uma entrada contém uma data antiga, o sistema registra apenas a metade da quantidade que 
entra. Trata-se de um problema gerado na criação do programa. A respeito deste problema, marque a alternativa 
correta. 
 
Resposta 
Selecionada: 
d. Trata-se de uma vulnerabilidade, pois mesmo não sendo proposital é uma falha gerada 
no desenvolvimento. 
Respostas: a. Trata-se de um ameaça, já que Sérgio nunca teve a intenção de prejudicar a empresa. 
 b. O problema está no processo de auditoria justamente porque o problema foi detectado 
durante a auditoria. 
 c. Como o problema está nas datas antigas, trata-se de uma ameaça sobre a privacidade dos 
dados. 
 d. Trata-se de uma vulnerabilidade, pois mesmo não sendo proposital é uma falha gerada 
no desenvolvimento. 
 e. O problema ocorreu porque os usuários não duplicaram os valores de entrada com datas 
antigas. 
Comentário da resposta: Resposta: D 
Comentário: O erro na programação é uma falha = vulnerabilidade. 
 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
Duas empresas (A e B) estão tentando estabelecer uma comunicação por meio de um canal seguro. A empresa A já 
está conectada, mas está recebendo um aviso de que a empresa B não está conseguindo colocar a chave (senha) 
correta para fechar a conexão. Marque a alternativa correta a respeito do serviço de segurança afetado. 
 
Resposta Selecionada: b. Autenticação – impede a entrada de um usuário não cadastrado. 
Respostas: a. Controle de acesso – impede a entrada de um usuário não cadastrado. 
 b. Autenticação – impede a entrada de um usuário não cadastrado. 
 c. Autenticação – protege uma informação contra a divulgação. 
 
 d. Privacidade – protege uma informação contra o compartilhamento indevido. 
 e. Controle de acesso – impede que uma informação seja compartilhada indevidamente. 
Comentário da resposta: Resposta: B 
Comentário: Neste caso a autenticação se dá pela senha. 
 
 Pergunta 4 
0,25 em 0,25 pontos 
 
Marque a alternativa que explica corretamente uma das características imprescindíveis de uma Política de Segurança 
da Informação (PSI). 
 
Resposta 
Selecionada: 
c. Respaldo: quando a alta direção ratifica o apoio à PSI. 
Respostas: a. Aplicabilidade: quando o gerenciamento dos sistemas da empresa é realizado por 
aplicativos. 
 b. Clareza: quando os processos da PSI são escritos de uma forma que dificulta a 
compreensão. 
 c. Respaldo: quando a alta direção ratifica o apoio à PSI. 
 d. Estratificação: quando os funcionários são treinados para exercerem com eficiência as 
regras da PSI. 
 e. Conhecimento: quando o responsável por redigir a PSI possui grande conhecimento 
técnico. 
Comentário da resposta: Resposta: C 
Comentário: Apenas com o respaldo da direção uma PSI pode funcionar. 
 
 
 Pergunta 5 
0,25 em 0,25 pontos 
 
A norma ABNT NBR ISO 19011 divide o fluxo de gerenciamento dos processos em duas partes. A seção 5, 
Gerenciando um Programa de Auditoria, diz respeito à forma como um processo de auditoria deve ser preparado e 
gerido para que funcione a contento. A seção 6, Conduzindo uma Auditoria, está relacionada à forma como as 
operações devem ser realizadas em um processo de auditoria. Qual alternativa expõe, respectivamente, uma 
atividade da seção 5, seguida de uma atividade da seção 6? 
 
Resposta 
Selecionada: 
e. 1 - Estabelecendo objetivos do processo de auditoria; 2 - Concluindo o processo de 
auditoria. 
Respostas: a. 1 - Distribuir o relatório de auditoria; 2 - Preparar as atividades de auditoria. 
 b. 1 - Conduzindo as atividades da auditoria; 2 - Monitorando o programa de auditoria. 
 c. 1 - Estabelecendo o processo de auditoria; 2 - Monitorando o processo de auditoria. 
 d. 1 - Analisando criticamente o processo de auditoria; 2 - Estabelecendo objetivos do 
processo de auditoria 
 e. 1 - Estabelecendo objetivos do processo de auditoria; 2 - Concluindo o processo de 
auditoria. 
Comentário da 
resposta: 
Resposta: E 
Comentário: 1 - Estabelecer objetivos é o primeiro processo da seção 5; 2 - Concluir a 
auditoria é o quinto processo da seção 6. 
 
 
 Pergunta 6 
0,25 em 0,25 pontos 
 
A independência do processo é uma das qualidades mais importantes requeridas de um auditor/auditoria. Marque a 
alternativa que explica corretamente um caso de independência no processo de auditoria. 
 
Resposta 
Selecionada: 
c. Um funcionário que participa da auditoria interna e expõe resultados que mostram o baixo 
desempenho do próprio setor está praticando a independência de auditoria. 
 
Respostas: a. Um auditor que baseia seu trabalho nos próprios interesses está praticando uma auditoria 
independente. 
 b. Uma empresa que contrata uma auditoria externa e pressiona por resultados que lhe 
interessam está colaborando para uma auditoria independente. 
 c. Um funcionário que participa da auditoria interna e expõe resultados que mostram o baixo 
desempenho do próprio setor está praticando a independência de auditoria. 
 d. Uma auditoria conjunta e que não expõe resultados que mostram o baixo desempenho de 
um setor está praticando auditoria independente. 
 e. Uma auditoria de primeira parte que não expõe resultados que mostram o baixo 
desempenho de um setor está praticando auditoria independente. 
Comentário da resposta: Resposta: C 
Comentário: A auditoria sem interesses e vieses é a auditoria independente. 
 
 Pergunta 7 
0,25 em 0,25 pontos 
 
Jonas está participando do processo de auditoria da própria empresa. Também há auditores contratados de duas 
empresas diferentes que estão realizando uma série de levantamentos a fim de entender os processos e controles 
utilizados na empresa. Inicialmente, o foco era apenas encontrar formas de otimizar alguns sistemas da empresa, 
gerando mais desempenho e produtividade. Contudo, à medida que os dados foram sendo levantados, novas 
possibilidades e formas de trabalho foram aparecendo. Isso levou a uma mudança nos objetivos: agora novos 
processos devem ser analisados e validados durante a auditoria. O trabalho de Jonas até aumentou. Ele agora 
também vai auxiliar na validação destes novos processos. Em relação a este cenário, marque a alternativa errada. 
 
Resposta 
Selecionada: 
e. O fato de Jonas auxiliar na validação dos processos quebra a independência do processo 
de auditoria. 
Respostas: a. Jonas está participando de uma auditoria que é, ao mesmo tempo, combinada e conjunta. 
 b. O processo realizado envolve uma auditoria de dados. 
 c. O escopo da auditoria passou por mudanças ao longo do processo. 
 d. Além de encontrar inconformidades, uma das funções da auditoria é justamente levantar 
riscos e oportunidades. 
 e. O fato de Jonas auxiliar na validação dos processos quebra a independência do processo 
de auditoria. 
Comentário da resposta: Resposta: E 
Comentário: De forma alguma não há nada no texto que leve a essa conclusão. 
 
 
 Pergunta8 
0,25 em 0,25 pontos 
 
Analise as afirmativas e marque a alternativa correta. 
 
I. Auditoria de primeira parte: auditoria interna, realizada para melhorar a própria organização. 
II. Escopo da auditoria: abrangência e limites de uma auditoria. 
III. Auditoria de dados: aquela que verifica quanto vão custar os serviços de autoria. 
IV. Auditoria conjunta: executada por um único auditor em várias empresas diferentes. 
V. Conclusão de auditoria: resultado de uma auditoria após levar em consideração os objetivos de auditoria e todas 
as constatações de auditoria. 
 
Resposta Selecionada: b. A afirmativa III está errada, enquanto a V está correta. 
Respostas: a. As afirmativas I e IV estão corretas. 
 b. A afirmativa III está errada, enquanto a V está correta. 
 c. A afirmativa II está errada, enquanto a afirmativa III está correta. 
 d. As afirmativas II, IV e V estão corretas. 
 
 e. A afirmativa I está errada, enquanto a III está correta. 
Comentário da 
resposta: 
Resposta: B 
Comentário: I, II e V corretas, III e IV erradas. 
III: Auditoria de dados: uso de software de análise de dados, a partir de critérios pré-
definidos 
IV: Auditoria conjunta: executada em um único auditado por dois ou mais auditores. 
 
 Pergunta 9 
0,25 em 0,25 pontos 
 
Analise as afirmativas e marque a alternativa correta. 
 
I. Critérios de auditoria: conjunto de requisitos usados como uma referência com a qual a evidência objetiva é 
comparada. 
II. Auditoria de tecnologia: auditoria que depende de recursos tecnológicos para funcionar. 
III. Não conformidade: não atendimento de um requisito. 
IV. Constatações de auditoria: são as limitações técnicas da auditoria. 
V. Auditoria de segurança: cobre os aspectos de segurança. 
 
Resposta Selecionada: d. As afirmativas II e IV são as únicas erradas. 
Respostas: a. A afirmativa I é a única correta. 
 b. As afirmativas I e III são as únicas erradas. 
 c. As afirmativas IV e V são as únicas corretas. 
 d. As afirmativas II e IV são as únicas erradas. 
 e. As afirmativas II e III são as únicas corretas. 
Comentário da 
resposta: 
Resposta: D 
Comentário: II e IV são as únicas erradas. II: Auditoria de tecnologia: audita a própria gestão de TI, 
agindo sobre os processos, planejamento, atividades e métodos ligados à tecnologia. IV: 
Constatações de auditoria: resultados da avaliação de evidência de auditoria coletada, comparada 
com os critérios de auditoria 
 
 
 Pergunta 10 
0,25 em 0,25 pontos 
 
Analise as afirmativas e marque a alternativa correta. 
 
I. Auditoria combinada: em um único auditado, em dois ou mais sistemas de gestão. 
II. Auditoria de aplicativos: voltada para a análise de softwares e aplicações. 
III. Auditoria de licitações e contratos: verifica a viabilidade e as conformidades legais. 
IV. Fontes: nome dos funcionários envolvidos em uma auditoria investigativa. 
V. Evidência de auditoria: é o processo que elimina riscos associados aos objetos investigados pela auditoria. 
 
Resposta Selecionada: c. A afirmativa III está correta, enquanto a IV está errada. 
Respostas: a. A afirmativa I está correta, enquanto a II está errada. 
 b. A afirmativa II está correta, enquanto a III está errada. 
 c. A afirmativa III está correta, enquanto a IV está errada. 
 d. A afirmativa IV está correta, enquanto a V está errada. 
 e. A afirmativa V está correta, enquanto a I está errada. 
Comentário da 
resposta: 
Resposta: C 
Comentário: I, II e III estão corretas, IV e V estão erradas. 
IV: Fontes: um processo de auditoria depende do levantamento e análise de informações e 
registros, pessoas e situações. 
V: Evidência de auditoria: registros, apresentação de fatos ou outras informações pertinentes 
aos critérios de auditoria e verificáveis.