Comentários – Auditoria de TI – CGM/SP

Olá pessoal! Estou aqui para comentar as questões de Auditoria de TI da CGM-SP. O problema é que pouquíssimas questões foram de fato de auditoria de TI!!! A banca optou por cobrar, na maioria das questões, conhecimentos de auditoria geral e pior… de normas ISO que nem sequer estavam explícitas no edital (como foi feito para outro cargo no mesmo edital).

É uma pena que fiquemos expostos a este tipo de conduta. Vamos às questões e pelos meus comentários vocês entenderão melhor o que estou falando.

Vejo a possibilidade de 03 recursos exatamente sob a alegação de o conhecimento exigido não constava em edital.

Abços e Boa Sorte!
Fábio Alves.

Questões de Auditoria de TI – CGM/SP – Versão 03

31. Na revisão da materialidade no decorrer do processo de auditoria, se o auditor concluir que é apropriada a materialidade mais baixa para as demonstrações contábeis tomadas em conjunto (e, se aplicável, para o nível ou níveis de materialidade para classes específicas de transações, saldos contábeis ou divulgação) do que inicialmente determinado, o auditor deve

(A) determinar se é necessário revisar a materialidade para execução da auditoria e se a natureza, a época e a extensão dos procedimentos adicionais de auditoria continuam apropriados.
(B) definir um novo nível de materialidade para execução da auditoria, independentemente da natureza e da extensão dos procedimentos adicionais.
(C) informar as pessoas envolvidas que não é possível realizar a auditoria com a materialidade previamente determinada, uma vez que a materialidade nunca pode ser revisada para baixo.
(D) revisar a materialidade para execução da auditoria e solicitar aprovação do superior imediato para a execução dos novos níveis adotados, não sendo necessário, nesse momento, verificar a adequação dos procedimentos adicionais.
(E) perguntar para os envolvidos nos trabalhos qual seria o nível mais adequado para a definição da nova materialidade.

Comentários: Esta questão foi extraída da NBC TA 320 que versa sobre Materialidade no Planejamento e na Execução da Auditoria. Nesta está definido o seguinte:

“Se o auditor concluir que é apropriada a materialidade mais baixa para as demonstrações contábeis tomadas em conjunto (e, se aplicável, o nível ou níveis de materialidade para classes específicas de transações, saldos contábeis ou divulgação) do que inicialmente determinado, o auditor deve determinar se é necessário revisar a materialidade para execução da auditoria e se a natureza, a época e a extensão dos procedimentos adicionais de auditoria continuam apropriados.”

Gabarito: A

Não vejo possibilidade de recurso.

32. O processo de análise de riscos, em conformidade com a estrutura de gestão de riscos, é precedida e sucedida, respectivamente,

(A) pela avaliação de riscos e pelo tratamento de riscos.
(B) pela avaliação de riscos e pela identificação de riscos.
(C) pelo tratamento de riscos e pela avaliação de riscos.
(D) pela identificação de riscos e pela avaliação de riscos.
(E) pela identificação de riscos e pelo tratamento de riscos.

Comentários: Infelizmente esta é mais uma questão (a 37 e 38 também) embasada em uma norma ISO que não estava explícita no edital. De acordo com a ISO 31000, que define princípios e diretrizes genéricas para a gestão de riscos, estabelecendo que o processo de avaliação de riscos é formado pelos seguintes passos:

• Identificação de riscos;
• Análise de riscos; e
• Avaliação de riscos;

Gabarito: D

Possível recurso: A questão foi claramente inspirada na ISSO 31000, norma que não consta expressa no edital do concurso, como por exemplo as normas NBR 12721, NBR 13752 e NBR 14653 – antiga NBR 5676 cujos conhecimentos foram exigidos e expressos no edital para o cargo AUDITOR MUNICIPAL DE CONTROLE INTERNO – área: INFRAESTRUTURA.

Além deste fato, que por si só compromete a isonomia do certame, há a definição do COSO II para a estrutura de análise de riscos conforme a publicação “Gerenciamento de Riscos Corporativos – Estrutura Integrada”. Para o COSO II, tal estrutura contém:

1. Ambiente Interno;
2. Fixação de Objetivos;
3. Identificação de eventos (riscos);
4. Avaliação de Riscos;
5. Resposta ao Risco;
6. Atividade de Controle;
7. Informações e Comunicações; e
8. Monitoramento.

Como pode-se perceber, de acordo com o COSO II não há um processo denominado “análise de riscos” e portanto, considerando os ensinamentos da referida organização (que é voltada para o controle), não existe a estrutura citada no comando da questão.

Ante todo o exposto e buscando a manutenção do princípio da isonomia que rege os concursos públicos, solicito à ilustre banca a anulação da questão.

33. O conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger os ativos, produzir dados contábeis confiáveis e ajudar a administração na condução ordenada dos negócios da empresa é representada pela área de

(A) Controladoria.
(B) Controles Internos.
(C) Contabilidade ou Finanças.
(D) Auditoria Externa.
(E) Auditoria Interna.

Comentários: Estudamos a definição do COSO para controle interno, mas a VUNESP “resolveu” utilizar a definição dada por Almeida (1996, P.50) que diz o seguinte:

“o controle interno representa em uma organização o conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger os ativos, produzir dados contábeis confiáveis e ajudar a administração na condução ordenada dos negócios da empresa”.

Portanto, gabarito letra B.

Mas percebam que a banca poderia ter utilizado qualquer autor. Mesmo assim penso que o candidato mais atento e que manteve a calma conseguiu acertar a questão.

Não há possibilidade de recurso.

34. Em conformidade com o Art. 18 do Decreto Municipal da Cidade de São Paulo no 54.785 de 23 de janeiro de 2014, a coordenação e o monitoramento do planejamento de tecnologia da informação e da comunicação da Administração Pública Municipal, acompanhando e avaliando seus processos, é atribuição

(A) do Órgão Consultivo e de Participação Social.
(B) dos Órgãos e Entidades Seccionais.
(C) da Coordenação de Governança e Políticas de Tecnologia da Informação e Comunicação.
(D) da Coordenação de Planejamento de Tecnologia da Informação e Comunicação.
(E) da Secretaria Municipal de Planejamento, Orçamento e Gestão.

Comentários: Questão literal sobre o decreto 54.785 (como era de se esperar). Mas a VUNESP resolveu tratar das duas coordenações que compõem a Coordenadoria de Gestão de Tecnologia da Informação e Comunicação – CGTIC e talvez tenha complicado a vida de alguns! Como vimos na nossa aula, a Coordenação de Planejamento de Tecnologia da Informação e Comunicação tem por atribuições coordenar e monitorar o planejamento de tecnologia da informação e comunicação da Administração Pública Municipal, acompanhando e avaliando seus processos.

Gabarito: D.

Não há possibilidade de recurso.

35. Dentre as metodologias adotadas na fase de prestação de serviços da área de Tecnologia da Informação, o SLA é definido por
(A) uma ferramenta de apoio à decisão que utiliza um gráfico em forma de árvore ou um modelo de decisões com as possíveis consequências.
(B) um processo que faz a ligação entre a organização de TI e clientes.
(C) um conjunto de conceitos e práticas das operações e do desenvolvimento de TI.
(D) um acordo que determina o ponto em que a receita obtida é igual aos custos associados para a geração da receita.
(E) um acordo negociado e projetado para criar um entendimento comum sobre serviços, prioridades e responsabilidades.

Comentários: Mais uma questão direta. Esta poderia ser resolvida por eliminação. SLA não é uma ferramenta (letra A), SLA não é um processo (letra B), SLA não são conceitos (letra C) e SLA nada tem a ver com custos x receitas (letra D). Só sobra a letra E.

Gabarito: E

Não há possibilidade de recurso.

36. A suscetibilidade da informação sobre o objeto a uma distorção relevante, pressupondo que não haja controles, é a definição de

(A) risco inerente.
(B) materialidade.
(C) risco de detecção.
(D) risco de controle.
(E) asseguração razoável.

Comentário: A expressão chave no comando da questão é “pressupondo que não haja controles”. Quando verificamos os riscos diretamente ligados à natureza da área ou sistema auditado, sem considerar os controles existentes, estamos falando de risco inerente.

Gabarito: A

Não há possibilidade de recurso.

37. A auditoria é caracterizada pela confiança em um conjunto de princípios. A aderência a esses princípios é um pré-requisito para se fornecer conclusões de auditoria que são pertinentes e suficientes para permitir que auditores que trabalham independentemente entre si, cheguem a conclusões semelhantes em circunstâncias semelhantes. O princípio de auditoria que determina o método racional para alcançar conclusões de auditoria confiáveis e reproduzíveis em um processo sistemático é representado

(A) pelo devido cuidado profissional.
(B) pela apresentação justa.
(C) pela conduta ética.
(D) pela independência.
(E) pela abordagem baseada em evidência.

Comentários: Idem à questão 38 (vide comentário abaixo). Mas nesta questão considero que era possível o candidato acertar mesmo sem ter conhecimento da norma ISO que traz especificamente o texto cobrado. De qualquer maneira, penso que cabe recurso nos mesmos moldes da questão 38.

Gabarito: E

Possível recurso nos mesmos moldes da questão 38.

38. Assegurar a competência de auditores e líderes de equipe de auditoria, realizar auditorias e manter registros do programa de auditoria, são atividades contidas no(s)
(A) processo de recursos do programa de auditoria.
(B) registros do programa de auditoria.
(C) monitoramento e análise crítica do programa de auditoria.
(D) processo de implementação do programa de auditoria.
(E) procedimentos do programa de auditoria.

Comentários: A VUNESP utilizou uma lista de “coisas” a serem realizadas dentro dos “procedimentos do programa de auditoria”, mas que está prevista na ISSO 19011. Esta norma fornece orientação sobre a gestão de programas de auditoria, sobre a realização de auditorias internas ou externas de sistemas de gestão da qualidade e/ou ambiental. Observe que há a “palavra” sistema… talvez a VUNESP tenha achado que isso tem a ver com Tecnologia da Informação.

Gabarito: E

Possível recurso: Esta questão claramente foi extraída da Norma NBR ISO 19011, porém a referida norma trata de Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental. Sistemas de gestão da qualidade e/ou ambiental não guardam, a princípio, nenhuma relação direta com Auditoria de Tecnologia da Informação ou mesmo com Auditoria em Sistemas de Informação, já que um “sistema de gestão da qualidade e/ou ambiental pode ser informatizado ou não. Por definição, sistema é tão somente um conjunto de elementos, concretos ou abstratos, intelectualmente organizados.

Além do referido fato, cabe mencionar que a norma supracitada não se encontra expressa no edital do concurso.

Ante o exposto solicito à ilustre banca que anule questão pois resta comprovado que o conhecimento exigido para resolução na questão não consta mencionado no edital ferindo assim, o princípio da isonomia.

39. De acordo com o artigo 9o do Decreto Municipal no 55.005 de 4 de abril de 2014, as aquisições de bens e as contratações de serviços de tecnologia da informação e comunicação não previstas nesse decreto deverão ser previamente autorizadas
(A) pela Secretaria Municipal de Serviços.
(B) pelo Órgão Central.
(C) pela Secretaria Municipal de Finanças e Desenvolvimento Econômico.
(D) pela Controladoria Geral do Município.
(E) pela Secretaria Municipal de Planejamento, Orçamento e Gestão.

Comentários: Questão direta cobrando a literalidade do Decreto 55.005! Reza o art. 9º:

“Art. 9o As aquisições de bens e as contratações de serviços de tecnologia da informação e comunicação não previstas neste decreto deverão ser previamente autorizadas pelo Órgão Central.”

Gabarito: B

Não há possibilidade de recurso.

40. A distorção ou o desvio que é comprovadamente não representativo de distorção ou desvio em uma população denomina-se
(A) estratificação.
(B) taxa tolerável de desvio.
(C) anomalia.
(D) amostragem estatística.
(E) unidade de amostragem.

Comentários: Mais uma questão bem direta que cobra as definições constantes em normas de auditoria geral. Como vimos, anomalia é a distorção ou o desvio que é comprovadamente não representativo em uma população.

Gabarito: C

Não há possibilidade de recurso.