1a Questão

Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos da segurança e
este objetivo é conhecido por:

consistência
integridade
credibilidade
confidencialidade
confiabilidade

2a Questão

Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e
apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso,
além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas
ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no
organograma da empresa deve ser:

Subordinada a Diretoria Jurídica.

No mesmo nível das demais Diretorias.
logo abaixo da direção executiva da empresa.
Subordinada a Diretoria de Tecnologia.
Subordinada a diretoria Financeira.

3a Questão

Considere as seguintes descrições:

I. Controle de acesso (físico e lógico)

II. Gravação e atualização autorizadas
III. Sistema disponível quando necessário
IV. Sistema funciona conforme requisitos
V. Sistema atuará conforme o esperado

• A opção que melhor representa o significado de cada uma delas respectivamente é:

Confidencialidade; Disponibilidade; Consistência; Integridade; e,

Confiabilidade.
Consistência; Confidencialidade; Integridade; Disponibilidade; e, Confiabilidade.
Confidencialidade; Confiabilidade; Integridade; Disponibilidade; e, Consistência.
Confidencialidade; Integridade; Disponibilidade; Consistência; e, Confiabilidade.
Confiabilidade; Integridade; Confidencialidade; Disponibilidade; e, Consistência.

4a Questão

Uma das funções clássicas de uma organização, segundo Antonio Gil, é o controle. Ao identificar que o
cronograma deverá estourar, ou seja, não será cumprido, o responsável deverá executar:

replanejamento
ações corretivas
retrabalho
 alterações de cronograma
respostas de risco

5a Questão

A preocupação em sobreviver frente um mercado cada vez mais competitivo e a busca pela melhoria
contínua motivou empresas a investirem na auditoria de sistema da informação, ou seja, uma solução
encontrada por gestores para problemas em potencial, como no caso da segurança dos dados manipulados
através dos computadores na organização.

Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.

I - Podemos inferir que a Auditoria de Sistemas é uma atividade que engloba exame de sistemas,
operações, processos e responsabilidades gerenciais de uma empresa

PORQUE

II - seu objetivo é a segurança de informações e recursos além de observar a conformidade com os

padrões atuais.

A respeito dessas asserções, assinale a opção correta.

As asserções I e II são proposições falsas.

As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.

Explicação:

=> também são objetivos da auditoria de sistemas garantir a segurança dos serviços e acesso. A
conformidade deve ser verificada em relação aos objetivos da empresa, politicas administrativas,
orçamentos, regras, normas e padrões.

6a Questão

Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta:

I. Está calçada em segurança e em controles internos
II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são
efetivos
III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma
determinada empresa

Somente as sentenças I e II estão corretas

Somente as sentenças I e III estão corretas
Somente a sentença III está correta
Todas as sentenças estão corretas
Somente as sentenças II e III estão corretas

Explicação:

Todas as opções estão corretas. A auditoria foca nos controles internos. Verifica sua existencia e, em
existindo, se são eficazes. Ela engloba o exame das operações, processos, sistemas e responsabilidades
gerenciais de uma determinada empresa

7a Questão
 Considerando os conceitos de avaliação e validação que envolvem as atividades de Auditoria de Sistemas,
classifique as seguintes atividades como sendo uma atividade de avaliação (A) ou uma atividade de
validação (V):

I - Dentre os 100 testes realizados, o sistema apresentou 5 registros com erro.

II - O sistema Folha de Pagamento carece de rotina de validação de digito de controle na matricula dos
colaboradores.

III - O sistema de Contas-correntes não apresenta estabilidade no saldo final do cliente em relação aos
centavos.

A, V, V
V, A, A
A, A, V
V, A, V
V, V, V

Explicação:

I - Dentre os 100 testes realizados, o sistema apresentou 5 registros com erro. => é uma atividade de
validação, um resumo dos testes realizados

II - O sistema Folha de Pagamento carece de rotina de validação de digito de controle na matricula dos
colaboradores.=> reflete uma opinião do auditor ao constatar que o refereido sistema não possui tal rotina,
o que significa uma fragilidade do sistema

III - O sistema de Contas-correntes não apresenta estabilidade no saldo final do cliente em relação aos
centavos.=> reflete um julgamento do auditor ao constatar resultados finais dos testes realizados

8a Questão

Há dois grandes meios de se ter uma equipe de auditoria. Com base na afirmativa marque a opção que
indica os dois tipos de equipe de auditoria:

EQUIPE EXTERNA E CONSULTORIA

EQUIPE INTERNA E EXTERNA
EQUIPE PREESENCIAL E VIRTUAL
EQUIPE INTERNA E VIRTUAL
EQUIPE INTERNA E CONSULTORIA

1a Questão

CIPA ¿ Comissão Interna de Prevenção de Acidentes, tem como objetivo a prevenção de acidentes e
doenças profissionais, tornando compatível o trabalho com a preservação da vida e da saúde do
trabalhador. Assinale dentre as opções abaixo aquela que apresenta o documento que contem as
disposições legais;

Regulamentadora número 5 (NR 5) do Ministério do planejamento;

Regulamentadora número 5 (NR 5) do Ministério da Justiça;
Regulamentadora número 5 (NR 5) do Ministério do Trabalho e Emprego.
Regulamentadora número 5 (NR 5) do Ministério da Educação;
Regulamentadora número 7 (NR 5) do Ministério do Trabalho e Emprego.
 2a Questão

plano de contingência é formado por 3 compontes: a) Plano de emergência b) plano de backup c) plano de
Recuperação. As descrições a seguir: 1).Seu objetivo é providenciar os recursos necessários para uma
eventual utilização do plano de emergência. 2). Formado pelas respostas de risco (ações a serem seguidas
na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo,
dentro do possível, a capacidade de funcionamento da empresa/sistema. 3). São as atividades e recursos
necessários para se passar da situação de emergência para a situação normal. Correspondem,
respectivamente a:

1c. 2b, 3a
1a, 2b, 3c
1b,2a,3c
1b, 2c, 3a
1c, 2a, 3b

3a Questão

Assinale a opção verdadeira:

Respostas de risco são

ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores
ações a serem seguidas na eventualidade da ocorrência de uma ameaça
relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado
ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório
final de auditoria
atividades que devem ser evitadas para não gerar riscos

4a Questão

O plano de contingência de uma área de negócio é desenvolvido

pelo gestor do negócio

pela própria área de negócios
pelo comite de sistemas da empresa
pelos auditores de sistema
pelo responsável pelo CPD (Centro de Processamento de Dados)

Explicação:

Os planos de negócio das diversas áreas de negócio são desenvolvidos pela própria área de negócios, podendo
ter ajuda do pessola de TI. Não é desenvolvido por uma pessoa apenas pois o enfoque deve ser para toda a
área.

5a Questão

Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a opção que não
se constitui uma ameaça;

Violação de integridade;
Indisponibilidade de serviços de informatica;
Ameça Concretizada;
Vazamento de Informação;
Troca de senha por invasão de hacker;
 6a Questão

Sabendo que um dos objetivos do plano de contingência é manter a continuidade dos serviços, indique se
falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação a serem sistemas/processos críticos em
uma agência bancária:

I - Cadastro clientes novos.

II - Pagamento de fatura de cartão de crédito com cheque.

III - Saque no caixa em notas de R$ 20,00.

F, V, F
V, F, V
F, V, V
V, V, F
F, F, V

Explicação:

I - Cadastro clientes novos. => FALSA. O serviço pode ser feito manualmente e, posteriormente, inserido
no sistema.

II - Pagamento de fatura de cartão de crédito com cheque.=> FALSA. O serviço pode ser feito
manualmente e, posteriormente, inserido no sistema.

III - Saque no caixa em notas de R$50,00.=> VERDADEIRA. É um sistema crítico pois necessariamente
deve ser verificado o saldo do cliente para permitir o saque.

7a Questão

Analise as seguintes afirmações relacionadas a Auditoria de Sistemas.

I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de
informações de dados, por meio de autorização e registro de responsabilidade.
II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para
prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho,
programação, testes e documentação de sistemas.
III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a
responsabilidade dos colaboradores auditados.
IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em
tecnologia da informação deve ser realizado ou planejado para a equipe de auditores do quadro de
colaboradores da organização.

Indique a opção que contenha todas as afirmações verdadeiras.

I e III
II e IV
I e II
II e III
III e IV

8a Questão

Os possíveis riscos de um sistema, negócio ou área devem ser levantados por uma equipe multidisciplinar,
envolvendo o objeto da contingência. Identifique qual das afirmativas é FALSA em relação ao que se é
discutido nessa reunião:

a frequencia com que tais riscos podem ocorrer

 a disponibilidade de recursos para elaboração do plano de emergência
os custos dos salários/hora das pessoas envolvidas na reunião
os estragos materiais, financeiros ou morais que poderão surgir caso o risco ocorra
os custos envolvidos na confecção do plano de contingência

Explicação:

Todos os itens devem ser considerados exceto o salario das pessoas envolvidas na reunião (este custo é da
área de segurança).

1a Questão

Marque a alternativa que preencha corretamente as lacunas:

A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de
implementação nela. Isto fica por conta dos ________________, que representam o como ela será
implementada.

política de segurança / procedimentos

política de segurança / acionistas majoritários
estrutura organizacional / grau de maturidade
política de segurança / programas
classificação da informação / programas

2a Questão

Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria:

guarda de ativos
processo de desenvolvimento
segurança do sistema
integridade de dados
conformidade

3a Questão

Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento.
Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na
estimativa de tempo que o auditor gastará no trabalho efetuado em cada:

comunicação de falha encontrada

unidade de controle
teste de unidade
ponto de auditoria
ponto de controle

4a Questão
Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de
controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o
sistema a ser auditado. É exemplo de controle de processo:

suprimento sensível
política empresarial
aceite do usuário
segurança do sistema
ordem de serviço

Explicação:

Controles internos de processo identificam se os processos existem e se estão coerentes com os padrões
da empresa. Conforme a lista que estudamos , somente a opção ACEITE DE USUÁRIO representa um
controle de processo.

5a Questão

As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica?

Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.

Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos)
Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de
rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados.
Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do
programa de computador para auditoria, simulado e elaborado pelo auditor.
Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor

6a Questão

Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria:

conformidade
segurança do sistema
integridade de dados
legibilidade operacional
processo de desenvolvimento

Explicação:

No planejamento de uma auditoria devemos verificar se existem controle internos no sistema auditado.
Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria de
segurança do sistema.

7a Questão

Na metodologia estudada, ponto de auditoria significa:

Uma unidade a ser auditada.

Uma fraqueza encontrada no sistema auditado.

Um controle de presença do auditor.
 Assinatuda do auditor quando começa o trabalho no dia.

Assinatura do auditor quando começa e quando termina o trabalho no dia.

Explicação:

Se encontrarmos uma fraqueza ao analisarmos um controle interno, um controle de processo ou um

controle de negócios, essa fraqueza é chamada de ponto de auditoria e deve ser imediatamente reportada
à area auditada (primeiro verbalmente e em seguida, por escrito).

8a Questão

O objetivo de auditoria que se preocupa se o sistema funciona conforme expectativa dos usuários
autorizados é:

integridade
confiabilidade
credibilidade
confidencialidade
consistência

Explicação:

Consistência é um atributo de sistema que indica que o sistema funciona conforme expectativa dos
usuários

1a Questão

A técnica de entrevista pode ser:

Marque a opção INCORRETA.

através de video conferência

estruturada
por telefone
pessoal
por correio

Explicação:

A entrevista não pode ser feita por correio. Neste caso estaríamos usando a tecnica de questionário.

2a Questão

Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a
alternativa correta:
( ) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de
personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command
language) e IDEA (Interactive Data Extraction & Analysis).

( ) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou

sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas
auditados que possuem características pouco comuns, como, por exemplo, sistemas de
leasing e sistemas de câmbio.

( ) Softwares utilitários são programas utilitários para funções básicas de processamento,

como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar
determinados campos de registros de um arquivo.

( ) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações
sobre os pontos de controle de forma remota, através de um programa instalado no seu
computador.

( ) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não

estruturadas utilizam formulários especiais para coleta de dados.

• Agora assinale a alternativa correta:

V,V,V,V,F
V,V,V,V,V

V,V,V,F,F
F,F,F,F,F
F,F,F,V,V

3a Questão

Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a seguir:

I - Os softwares especialistas normalmente são comprados prontos.

II - Os softwares utilitários tem a vantagem de processar vários arquivos ao mesmo tempo.

III - Os softwares generalistas não proveem cálculos específicos para sistemas específicos.

V, F, V
F, V, F
F, F, V
V, V, F
F, V, V

Explicação:

I - Os softwares especialistas normalmente são comprados prontos. => Falso. os softwares especialistas
são desenvolvidos conforme necessidades dos auditors e normalmente não são encontrados prontos para
venda.

II - Os softwares utilitários tem a vantagem de processar vários arquivos ao mesmo tempo.=> Falso. Essa
característica é dos softwares generalistas.
 III - Os softwares generalistas não proveem cálculos específicos para sistemas específicos.=> Verdadeiro.

4a Questão

Uma das vantagens de uso de softwares generalista é que:

podem processar header labels

o softaware aceita inclusão de testes de controles internos específicos tais como digito verificador
o software pode processar vários arquivos ao mesmo tempo
provê cálculos específicos para sistemas específicos tais como Contas-Correntes
as aplicações podem ser feitas online e utilizadas em outros sistemas

Explicação:

Dentre as vantagens de um software generalista temos a que ele pode processar vários arquivos ao
mesmo tempo

5a Questão

A Auditoria de Sistemas é uma atividade orientada para a avaliação dos procedimentos de

controle e segurança da informação, recursos, serviços e acessos, bem como, a
conformidade com objetivos da empresa, políticas, orçamentos, normas ou padrões.
Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em
operação.

• Para executar o seu trabalho, o auditor pode contar com três tipos de programas de
auditoria de tecnologia de informação, que são:

Softwares de instalação, Softwares de observação e Softwares de correção.

Softwares de instalação, Softwares de correção e Softwares de observação.
Softwares de instalação, Softwares de backup e Softwares de restore .
Softwares de instalação, Softwares de especialização e Softwares de proposição.
Softwares generalistas, Softwares especializados e Softwares utilitários.

6a Questão

Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem
embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas
utilitários:

a desvantagem é o extenso tempo em aprender sua utilização

os auditores não necessitam de muita experiência em programação
a vantagem é a execução de apenas funções padrões
podemos incluir testes específicos do sistema auditado
podemos usar cálculos específicos para os sistemas auditados

Explicação:
Um programa utilitário realiza funções que os sistemas operacionais não executam com tanta eficácia, como a
limpeza de disco rígido e a compactação de dados, por exemplo. Não é requerida especialização para utilização
desses programas.

7a Questão

O Senhor Alexandre possui uma Corretora de Seguros e resolveu investir em tecnologia da

informação para aumentar o diferencial competitivo de sua empresa. Para viabilizar a sua
estratégia ele contratou consultores com experiência em inovação na área de seguros. Os
consultores incluíram no projeto a utilização de um "Data Center", deixando a própria
Corretora como responsável pela execução do backup das operações diárias de serviço.

• Considerando o cenário apresentado, o tipo de software que melhor se aplica a

demanda da Corretora para a realização dos backups é:

Software Especialista.
Software Utilitário.
Software Generalista.
Software ERP.
Software CRM.

8a Questão

Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é
chamado de ______________________________. Estes, são porgramas desenvolvidos pelos auditores ou
sob encomenda. Sua finalidade é testar particularidades de sistemas auditados que possuem características
comuns. Marque a opção que completa corretamente a afirmativa:

SOFTWARE ESPECIALIZADO EM AUDITORIA

SOFTWARE ESPECIALISTA PARA CONTROLE E AUTOMAÇÃO
SOFTWARE PRÓPRIO E GENERALISTA
SOFTWARE ESPECIALISTA PARA CONSUMO PÚBLICO
SOFTWARE GENERALISTA

1a Questão

Lei com atenção a afirmativa e marque a opção que a completa corretamente: "... Este tipo de teste é de
fundamental importância na complementação dos testes de observância, considerando que são através dos
______________________ que o auditor tem condições de constatar sobre a fidedignidade das transações
e registros..."

testes de auditoria
testes de integridade
testes substantivos
testes de fidedignidade
testes de observância
 2a Questão

Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuar verificações
durante o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; -
Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade
de dados. Marque a opção que se refere a técnica citada:

Simulação Paralela
Facilidade De Teste Integrado
Teste do Sistema Auditado
Dados De Teste
Mapeamento Estatístico Dos Programas De Computador (Mapping)

Gabarito
Coment.

3a Questão

Quando os auditores querem obter evidências, isto é, provas suficientes e convincentes sobre transações,
que lhe proporcionem fundamentação para suas opiniões eles utilizam que tipo de teste?

Testes substantivos
Testes da caixa preta;
Testes de observância;
Testes da caixa branca;
Testes de regressão;

4a Questão

A técnica onde o auditor prepara um conjunto de dados com o objetivo de testar os controles programados
para rotinas sistêmicas ou manuais é chamada de

técnica simulada
técnica indutiva
dados de teste
dados para simulação
massa de dados

Explicação:

A técnica em questão chama-se dados de teste ou test data ou test deck

5a Questão
Uma técnica sempre presente nas auditoiras se refere ao teste do sistema auditado. Esse teste faz a
distinção de quais outros teste? Marque a opção que responde corretamente ao questionamento.

Esse teste faz a distinção entre os teste de usuário e o teste de sistemas.

Esse teste faz a distinção entre os teste de inteface e o teste de unidade.
Esse teste faz a distinção entre os teste de unidade e o teste modular.
Esse teste faz a distinção entre os teste de software e o teste substantivo.
Esse teste faz a distinção entre os teste de observância e o teste substantivo.

Gabarito
Coment.

6a Questão

Marque V para verdadeiro e F para falso.

A técnica Facilidade de Teste Integrado consiste em:

I - Testar situações inexistentes junto com os dados de produção.

II - Testar massa de dados preparada pela Auditoria em programas de produção integrados com programas
elaborados pela Auditoria.

III - Os resultados dos testes são enviados aos clientes e à Auditoria.

F, V, V
F, V, F
V, F, F
V, V, F
V, F, V

Explicação:

I - Testar situações inexistentes junto com os dados de produção. => Verdadeira

II - Testar massa de dados preparada pela Auditoria em programas de produção integrados com programas
elaborados pela Auditoria.=> Falsa. Os dados de teste criados pela Auditoria são misturados aos dados
reais e são processados pelos programas de Produção.

III - Os resultados dos testes são enviados aos clientes e à Auditoria.=> Falso. Nesta técnica, criam-se
arquivos de resultados em separado. Os dados criados, considerados inexistentes, não devem atualizar as
bases de dados.

7a Questão

Classifique os testes de auditoria abaixo quanto a serem testes de observância (O) ou testes substantivos
(S).
I - Obter cópia da documentação dos clientes inadimplentes.

II - Observar o uso de crachá das pessoas que transitam pela empresa

III - Obter saldos diários dos clientes

O, S, O
S, O, O
S, S, O
S, O, S
O, O, S

Explicação:

I - Obter cópia da documentação dos clientes inadimplentes. - teste de observância. Verificação de

documentos.

II - Observar o uso de crachá das pessoas que transitam pela empresa- teste de observância. Verificação
do cumprimento de politica de segurança.

III - Obter saldos diários dos clientes - teste substantivo. Processamento de uma massa de dados e
obtenção de um relatório que servirá como evidência do teste.

8a Questão

A quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade
de dados é uma técnica de computação que pode ser utilizada por auditores para efetuar verificações
durante o processamento de programas. Para tanto são utilizados:

Mapas de Ponto de Função;

Mapeamento estatísticos de testes de observância
Mapeamento estatístico de testes substantivos;
Mapeamento estatístico dos programas de computador
Mapeamento estatístico dos testes de regressão;